GuardDuty 如何扫描 EBS 卷以检测恶意软件
本节介绍 EC2 恶意软件防护(包括由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描)如何扫描与 Amazon EC2 实例和容器工作负载关联的 Amazon EBS 卷。在继续之前,请考虑以下自定义项:
-
扫描选项:EC2 恶意软件防护提供了通过指定标签,从而在扫描过程中包含或排除 Amazon EC2 实例和 Amazon EBS 卷的功能。只有 GuardDuty 启动的恶意软件扫描支持带有用户定义标签的扫描选项。GuardDuty 启动的恶意软件扫描和按需恶意软件扫描都支持全局
GuardDutyExcluded标签。有关更多信息,请参阅 使用用户定义的标签扫描选项。 -
快照保留:EC2 恶意软件防护提供了在 AWS 账户中保留 Amazon EBS 卷快照的选项。默认情况下,此设置处于关闭状态。您可以为 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描选择使用快照保留。有关更多信息,请参阅 快照保留。
当 GuardDuty 生成一个或多个调用 GuardDuty 启动的恶意软件扫描的调查发现时,该活动将成为 GuardDuty 启动恶意软件扫描的原因。如果您的扫描选项未排除该实例,则 GuardDuty 将启动扫描。
要在与 Amazon EC2 实例关联的 Amazon EBS 卷上启动按需恶意软件扫描,请提供 Amazon EC2 实例的 Amazon 资源名称(ARN)。
按需恶意软件扫描或由 GuardDuty 自动启动的恶意软件扫描开始后,GuardDuty 会为挂载到可能受影响资源的相关 EBS 卷创建快照,并与 GuardDuty 服务账号共享,从而进行响应。当 GuardDuty 创建 EBS 卷的快照时,将会添加一个名为 GuardDutyScanId 的默认标签。此标签有助于 GuardDuty 访问快照。切勿移除此标签。根据这些快照,GuardDuty 在服务账户中创建一个加密的副本 EBS 卷。
扫描完成后,GuardDuty 会删除加密副本 EBS 卷和 EBS 卷的快照。默认情况下,快照保留设置处于关闭状态。但是,如果为快照启用了 Amazon EBS 快照锁定,则无论扫描结果和设置如何,都将保留快照。GuardDuty 无法修改 Amazon EBS 快照锁定设置。
以下列表描述了快照的保留行为(与 EBS 快照锁定情况无关):
- 快照保留已开启:
-
-
当发现恶意软件时,GuardDuty 会将快照保留在您的 AWS 账户中。
-
当未发现恶意软件时,除非快照被锁定,否则 GuardDuty 不会保留这些快照。
-
- 快照保留已关闭(默认设置):
-
-
无论是否发现恶意软件,都不会保留快照。
-
GuardDuty 无法删除锁定的 Amazon EBS 快照。
-
GuardDuty 将在服务账户中最多保留每个副本 EBS 卷 55 小时。如果服务中断,或者副本 EBS 卷及其恶意软件扫描出现故障,GuardDuty 对此类 EBS 卷的保留时间将不超过七天。延长卷保留期是为了对中断或故障进行分类并解决。在解决中断或故障后,或延长保留期届满后,GuardDuty EC2 恶意软件防护将从服务账户中删除副本 EBS 卷。
有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息,请参阅 GuardDuty 恶意软件检测扫描引擎。
