GuardDuty 启动的恶意软件扫描

启用由 GuardDuty 启动的恶意软件扫描后，每次 GuardDuty 生成调用 GuardDuty 启动的恶意软件扫描的调查发现时，都将在挂载到可能受影响的 Amazon EC2 资源的 Amazon Elastic Block Store（Amazon EBS）卷上启动一次无代理恶意软件扫描。在扫描启动之前，您必须为账户做好任何自定义准备。使用扫描选项时，您可以添加包含标签（与要扫描的资源相关），也可以添加排除标签（与在扫描过程中要跳过的资源相关）。自动扫描启动将始终考虑您的扫描选项。GuardDuty 还支持使用全局 GuardDutyExcluded:true 标签键值对。当您将此全局标签添加到某个 Amazon EC2 资源时，GuardDuty 将会启动扫描，然后跳过该资源。您也可以选择开启快照保留设置，来为可能检测到恶意软件的 EBS 卷保留快照。有关扫描选项、全局排除标签和快照设置的更多信息，请参阅设置快照保留期和 EC2 扫描覆盖范围。

当 GuardDuty 为同一 Amazon EC2 资源生成多个调查发现时，GuardDuty 只能在上次由 GuardDuty 发起的恶意软件扫描完成 24 小时后才能够启动扫描。有关如何扫描附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息，请参阅 GuardDuty 如何扫描 EBS 卷以检测恶意软件。

下图描述了 GuardDuty 启动的恶意软件扫描的工作原理。

有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息，请参阅 GuardDuty 恶意软件检测扫描引擎。

当发现恶意软件时，GuardDuty 会生成 EC2 恶意软件防护调查发现类型。如果 GuardDuty 未生成表明同一资源上有恶意软件的调查发现，则不会调用 GuardDuty 启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息，请参阅 Guarduty 中的按需恶意软件扫描。