GuardDuty-initiated 恶意软件扫描

启用 GuardDuty-initiated 恶意软件扫描后，只要 GuardDuty 生成恶意软件调用 GuardDuty-initiated 恶意软件扫描的发现，就会启动对附加到可能受影响的 Amazon EC2 资源的 Amazon Elastic Block Store (Amazon EBS) 卷上的无代理恶意软件扫描。在扫描启动之前，您必须为账户做好任何自定义准备。使用扫描选项时，您可以添加包含标签（与要扫描的资源相关），也可以添加排除标签（与在扫描过程中要跳过的资源相关）。自动扫描启动将始终考虑您的扫描选项。 GuardDuty 还支持全局GuardDutyExcluded:true标签键:值对。当您将此全局标签添加到 Amazon EC2 资源时， GuardDuty将启动扫描，然后跳过扫描。您也可以选择开启快照保留设置，来为可能检测到恶意软件的 EBS 卷保留快照。有关扫描选项、全局排除标签和快照设置的更多信息，请参阅设置快照保留期和 EC2 扫描覆盖范围。

当为同一 Amazon EC2 资源 GuardDuty 生成多个发现结果时， GuardDuty 只有在上次 GuardDuty-initiated 恶意软件扫描后 24 小时后才能启动扫描。有关如何扫描附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息，请参阅 如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测。

下图描述了 GuardDuty-initiated 恶意软件扫描的工作原理。

有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息，请参阅GuardDuty 恶意软件检测扫描引擎。

当发现恶意软件时， GuardDuty 就会生成EC2 恶意软件防护调查发现类型。如果 GuardDuty 未生成表明同一资源上有恶意软件的发现，则不会调用任何 GuardDuty-initiated 恶意软件扫描。您也可以在同一资源上启动 On-demand 恶意软件扫描。有关更多信息，请参阅 On-demand 恶意软件扫描 GuardDuty。