GuardDuty EC2 恶意软件防护
EC2 恶意软件防护通过扫描挂载到 Amazon Elastic Compute Cloud(Amazon EC2)实例以及在 Amazon EC2 上运行的容器工作负载的 Amazon Elastic Block Store(Amazon EBS)卷,来帮助检测可能存在的恶意软件。EC2 恶意软件防护提供了多种扫描选项,您可以决定在扫描时要包含还是排除特定的 Amazon EC2 实例。恶意软件防护还提供可在您的 GuardDuty 账户中保留 Amazon EBS 卷快照的选项,该卷附加在 Amazon EC2 实例或容器工作负载中。只有在发现恶意软件并生成 EC2 恶意软件防护调查发现时,才会保留快照。
EC2 恶意软件防护的设计确保了不会影响资源的性能。有关 GuardDuty 中 EC2 恶意软件防护的工作原理的信息,请参阅 GuardDuty 如何扫描 EBS 卷以检测恶意软件。有关不同 AWS 区域中 EC2 恶意软件防护可用性的信息,请参阅区域和端点。
备注
EC2 恶意软件防护支持在 Amazon EKS 自动模式的托管实例上进行恶意软件扫描。
EC2 恶意软件防护不支持对运行于 Amazon EKS 或 Amazon ECS 上的 AWS Fargate 工作负载进行恶意软件扫描。
有关这些 Amazon EKS 功能的更多信息,请参阅《Amazon EKS 用户指南》中的什么是 Amazon EKS?
主题
比较由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描
EC2 恶意软件防护通过以下两种扫描类型来检测 Amazon EC2 实例和容器工作负载中可能有恶意的活动:由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描。下表展示这两种扫描类型的比较情况。
因素 |
GuardDuty 启动的恶意软件扫描 |
按需恶意软件扫描 |
|---|---|---|
如何调用扫描 |
在您启用 GuardDuty 启动的恶意软件扫描后,每当 GuardDuty 生成调查发现,并且在调查发现中表明 Amazon EC2 实例或容器工作负载中可能存在恶意软件时,GuardDuty 都会自动对附加到可能受影响资源的 Amazon EBS 卷,启动无代理恶意软件扫描。有关更多信息,请参阅 GuardDuty 启动的恶意软件扫描。 |
您可以通过提供 Amazon EC2 实例的 Amazon 资源名称(ARN),来启动按需恶意软件扫描。即使您的资源未生成 GuardDuty 调查发现,您也可以启动按需恶意软件扫描。有关更多信息,请参阅 Guarduty 中的按需恶意软件扫描。 |
需要配置 |
要使用 GuardDuty 启动的恶意软件扫描,必须为自己的账户启用该扫描。要使用 AWS Organizations 或基于邀请的方法管理多个账户,请参阅在多账户环境中启用由 GuardDuty 启动的恶意软件扫描。要在您自己的账户中启用由 GuardDuty 启动的恶意软件扫描,请参阅为独立账户启用由 GuardDuty 启动的恶意软件扫描。 |
您的账户必须已经启用 GuardDuty。要使用按需恶意软件扫描,无需在功能级别进行配置。 |
等待以发起新的扫描 |
每当 GuardDuty 生成一个调用 GuardDuty 启动的恶意软件扫描的调查发现时,就会每隔 24 小时自动启动一次恶意软件扫描。 |
距离上一次扫描开始时间 1 小时后,您可以随时对同一资源启动按需恶意软件扫描。 |
30 天免费试用期的可用性1 |
在账户中首次启用由 GuardDuty 启动的恶意软件扫描时,您可以享有 30 天的免费试用期。 有关更多信息,请参阅 由 GuardDuty 启动的恶意软件扫描的 30 天免费使用期。 |
针对新的或现有的 GuardDuty 账户进行按需恶意软件扫描没有免费试用期。 |
扫描选项2 |
在配置由 GuardDuty 启动的恶意软件扫描后,EC2 恶意软件防护提供了使用标签扫描或跳过特定 Amazon EC2 资源的选项。EC2 恶意软件防护不会对您选择排除在扫描范围之外的资源启动自动扫描。有关更多信息,请参阅 使用用户定义的标签扫描选项。 |
由于您提供了资源 ARN 来手动启动按需恶意软件扫描,因此不适用使用使用用户定义的标签扫描选项。 |
1创建 EBS 卷快照和保留快照将产生使用成本。有关配置账户以保留快照的更多信息,请参阅快照保留。
2 由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描都支持使用全局标签将 Amazon EC2 资源从恶意软件扫描范围中排除。有关更多信息,请参阅 全局 GuardDutyExcluded 标签。
