本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty-启动的恶意软件扫描
<a name="gdu-initiated-malware-scan"></a>

启用 GuardDuty启动的恶意软件扫描后，无论何时 GuardDuty 生成[调用 GuardDuty启动的恶意软件扫描的发现](gd-findings-initiate-malware-protection-scan.md)，都将在附加到可能受影响的 Amazon EC2 资源的 Amazon Elastic Block Store (Amazon EBS) 卷上启动无代理恶意软件扫描。在扫描启动之前，您必须为账户做好任何自定义准备。使用扫描选项时，您可以添加包含标签（与要扫描的资源相关），也可以添加排除标签（与在扫描过程中要跳过的资源相关）。自动扫描启动将始终考虑您的扫描选项。 GuardDuty 还支持全局`GuardDutyExcluded`:`true`标签键:值对。当您将此全局标签添加到 Amazon EC2 资源时， GuardDuty将启动扫描，然后跳过扫描。您也可以选择开启快照保留设置，来为可能检测到恶意软件的 EBS 卷保留快照。有关扫描选项、全局排除标签和快照设置的更多信息，请参阅[设置快照保留期和 EC2 扫描覆盖范围](malware-protection-customizations.md)。

当为同一 Amazon EC2 资源 GuardDuty 生成多个发现结果时， GuardDuty 只有在上次启动恶意软件扫描后 24 小时后才能 GuardDuty启动扫描。有关如何扫描附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息，请参阅 [如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测](guardduty_malware_protection-ebs-volume-data.md)。

下图描述了 GuardDuty启动的恶意软件扫描的工作原理。

![\[描述了 EC2 恶意软件防护的工作原理以及中可用的自定义设置。 GuardDuty\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/malwareprotection-diagram.png)


有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息，请参阅[GuardDuty 恶意软件检测扫描引擎](guardduty-malware-detection-scan-engine.md)。

当发现恶意软件时， GuardDuty 就会生成[EC2 恶意软件防护调查发现类型](findings-malware-protection.md)。如果 GuardDuty 未生成表明同一资源上有恶意软件的发现，则不会调用任何 GuardDuty启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息，请参阅 [按需扫描恶意软件 GuardDuty](on-demand-malware-scan.md)。

# 30 天免费试用 GuardDuty启动的恶意软件扫描
<a name="malware-protection-ec2-guardduty-30-day-free-trial"></a>

您可以随时选择启用或禁用 AWS 区域 在支持的环境 AWS 账户 中 GuardDuty启动的恶意软件扫描。如果您有一个组织，则每个成员帐户都有自己的 30 天免费试用期。

要了解 30 天免费试用期的运作方式，可考虑以下场景：
+ 当您首次启 GuardDuty 用（新 GuardDuty 帐户）时， GuardDuty启动的恶意软件扫描也会被启用，并且包含在与该服务相关的 30 天免费试用版中 GuardDuty 。
+ 现有 GuardDuty 帐户可以首次启用 GuardDuty启动的恶意软件扫描，并可免费试用 30 天。当您首次在其他区域启用此功能时，您将在该区域获得 30 天免费试用期。
+ 如果您在此保护计划分为两种扫描类型（ GuardDuty启动的恶意软件扫描和按需恶意软件扫描） AWS 区域 之前一直在使用适用于 EC2 的恶意软件保护，则可以继续使用相同定价模式下的相同定价模式 GuardDuty启动的恶意软件扫描。 AWS 区域如果您在新地区首次启用 GuardDuty启动的恶意软件扫描，则您的帐户将获得 30 天的免费试用期。

**注意**  
即使您处于 30 天免费试用期，仍然会产生创建 Amazon EBS 卷快照及保留快照的标准使用成本。有关更多信息，请参阅 [Amazon EBS 定价](https://aws.amazon.com/ebs/pricing/)。

# 在多 GuardDuty账户环境中启用启动的恶意软件扫描
<a name="configure-malware-protection-guardduty-initiated-multi-account"></a>

在多账户环境中，只有 GuardDuty 管理员帐户可以代表其成员帐户启用 GuardDuty启动的恶意软件扫描。此外，管理 AWS Organizations 支持成员帐户的管理员帐户可以选择在组织中的所有现有和新帐户上自动启用 GuardDuty启动的恶意软件扫描。有关更多信息，请参阅 [使用管理 GuardDuty 账户 AWS Organizations](guardduty_organizations.md)。

## 建立可信访问权限以启用 GuardDuty启动的恶意软件扫描
<a name="delegated-admin-different-management-account"></a>

如果 GuardDuty 委派的管理员帐户与组织中的管理帐户不同，则该管理帐户必须为其组织启用 GuardDuty启动的恶意软件扫描。这样，委派的管理员账户就可以创建通过其管理的成员账户 AWS Organizations。[EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)

**注意**  
在指定委派 GuardDuty 管理员帐户之前，请参阅[注意事项和建议](guardduty_organizations.md#delegated_admin_important)。

选择您的首选访问方法，以允许委派的 GuardDuty 管理员帐户对组织中的成员帐户启用 GuardDuty启动的恶意软件扫描。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   要登录，请使用贵 AWS Organizations 组织的管理帐户。

1. 

   1. 如果您尚未指定委派 GuardDuty 管理员账户，那么：

      在 **“设置**” 页面的**委派 GuardDuty 管理员帐户**下，输入您要指定用于管理组织中 GuardDuty 策略的 12 位数字**account ID**。选择 **Delegate（委派）**。

   1. 

      1. 如果您已经指定了与 GuardDuty 管理账户不同的委托管理员账户，那么：

         在**设置**页面的**委托管理员**下，打开**权限**设置。此操作将允许委派的 GuardDuty 管理员账户向成员账户附加相关权限，并在这些成员账户中启用 GuardDuty启动的恶意软件扫描。

      1. 如果您已经指定了与管理账户相同的委托 GuardDuty 管理员帐户，则可以直接为成员账户启用 GuardDuty启动的恶意软件扫描。有关更多信息，请参阅 [自动启用所有 GuardDuty成员账户启动的恶意软件扫描](#auto-enable-malware-protection-all-organization-member)。
**提示**  
如果委派 GuardDuty 管理员账户与您的管理账户不同，则必须向委派 GuardDuty 管理员账户提供权限，才能允许对成员账户启用 GuardDuty启动的恶意软件扫描。

1. 如果您想允许委托 GuardDuty 管理员帐户对其他地区的成员帐户启用 GuardDuty启动的恶意软件扫描，请更改您的 AWS 区域帐户并重复上述步骤。

------
#### [ API/CLI ]

1. 使用您的管理账户凭证运行以下命令：

   ```
   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
   ```

1. （可选）要对不是委派管理员帐户的管理账户启用 GuardDuty启动的恶意软件扫描，管理账户将首先在其账户中[EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)明确创建恶意软件扫描，然后从委托管理员帐户启用 GuardDuty启动的恶意软件扫描，类似于任何其他成员帐户。

   ```
   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
   ```

1. 您已在当前选定的中指定了委派 GuardDuty 管理员帐户 AWS 区域。如果您在一个地区将一个账户指定为委托 GuardDuty 管理员账户，则该账户必须是您在所有其他区域的委托 GuardDuty 管理员账户。对所有其他区域重复上述步骤。

------

## 为委派 GuardDuty的 GuardDuty 管理员帐户配置启动的恶意软件扫描
<a name="configure-gdu-initiated-malware-pro-delegatedadmin"></a>

选择您的首选访问方法，为委派的 GuardDuty 管理员帐户启用或禁用 GuardDuty启动的恶意软件扫描。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择 **EC2 恶意软件防护**。

1. 在 **EC2 恶意软件防护**页面上，选择**GuardDuty启动的恶意软件扫描旁边**的**编辑**。

1. 请执行以下操作之一：

**使用**对所有账户启用****
   + 选择**为所有账户启用**。这将为组织中的所有活跃 GuardDuty 账户（包括加入 AWS 组织的新账户）启用保护计划。
   + 选择**保存**。

**使用**手动配置账户****
   + 要仅为委派 GuardDuty 管理员账户启用保护计划，请选择**手动配置帐户**。
   + 在 “**委派 GuardDuty 管理员帐户（此账户）**” 部分下选择 “**启用**”。
   + 选择**保存**。

------
#### [ API/CLI ]

使用您自己的区域检测器 ID 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，传递 `features` 对象，并将 `name` 设置为 `EBS_MALWARE_PROTECTION`，将 `status` 设置为 `ENABLED`。

您可以通过运行以下 AWS CLI 命令来启用 GuardDuty启动的恶意软件扫描。请务必使用有效的委托 GuardDuty 管理员账号*detector ID*。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

------

## 自动启用所有 GuardDuty成员账户启动的恶意软件扫描
<a name="auto-enable-malware-protection-all-organization-member"></a>

选择您的首选访问方式，为所有成员帐户启用 GuardDuty启动的恶意软件扫描功能。包括现有成员账户和加入组织的新账户。

------
#### [ Console ]

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：

**使用 **EC2 恶意软件防护**页面**

   1. 在导航窗格中，选择 **EC2 恶意软件防护**。

   1. 在 **EC2 恶意软件防护**页面上，在**GuardDuty启动的恶意软件扫描**部分中选择**编辑**。

   1. 选择**为所有账户启用**。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。

   1. 选择**保存**。
**注意**  
更新成员账户的配置可能最长需要 24 小时。

**使用**账户**页面**

   1. 在导航窗格中，选择**账户**。

   1. 在**账户**页面上，选择**自动启用**首选项，然后选择**通过邀请添加账户**。

   1. 在 “**管理自动启用首选项**” 窗口中，**为**GuardDuty启动的恶意软件**扫描下的所有帐户选择 “启用**”。

   1. 在 **EC2 恶意软件防护**页面上，在**GuardDuty启动的恶意软件扫描**部分中选择**编辑**。

   1. 选择**为所有账户启用**。此操作会自动启用对组织中现有和新帐户 GuardDuty启动的恶意软件扫描。

   1. 选择**保存**。
**注意**  
更新成员账户的配置可能最长需要 24 小时。

**使用**账户**页面**

   1. 在导航窗格中，选择**账户**。

   1. 在**账户**页面上，选择**自动启用**首选项，然后选择**通过邀请添加账户**。

   1. 在 “**管理自动启用首选项**” 窗口中，**为**GuardDuty启动的恶意软件**扫描下的所有帐户选择 “启用**”。

   1. 选择**保存**。

   如果您无法使用**为所有账户启用**选项，请参阅 [有选择地为成员账户 GuardDuty启用启动的恶意软件扫描](#selective-enable-disable-malware-protection-member-accounts)。

------
#### [ API/CLI ]
+ 要有选择地为你的成员账户启用 GuardDuty启动的恶意软件扫描，请使用你自己的账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。*detector ID*
+ 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要禁用成员账户，请将 `ENABLED` 替换为 `DISABLED`。

  要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
  ```

  您也可以传递用空格 IDs 分隔的账户列表。
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 对所有现有活跃成员账户启用 GuardDuty启动的恶意软件扫描
<a name="enable-for-all-existing-members-gdu-initiated-malware-scan"></a>

选择您的首选访问方法，对组织中所有现有活跃成员帐户启用 GuardDuty启动的恶意软件扫描。

**为所有现有活跃成员账户配置 GuardDuty启动的恶意软件扫描**

1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用委派的 GuardDuty 管理员账户凭据登录。

1. 在导航窗格中，选择 **EC2 恶意软件防护**。

1. 在 **EC2 恶意软件防护**中，您可以查看**GuardDuty启动的恶意软件扫描**配置的当前状态。在**活跃成员账户**部分下，选择**操作**。

1. 从**操作**下拉菜单中，选择**为所有现有活跃成员账户启用**。

1. 选择**保存**。

## 自动启用对新 GuardDuty成员账户的恶意软件扫描
<a name="configure-malware-protection-new-accounts-organization"></a>

在选择配置 GuardDuty启动的恶意软件扫描 GuardDuty 之前，必须**启用**新添加的成员帐户。通过邀请管理的成员帐户可以为其帐户手动配置 GuardDuty启动的恶意软件扫描。有关更多信息，请参阅 [Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc)。

选择您的首选访问方式，对加入组织的新帐户启用 GuardDuty启动的恶意软件扫描。

------
#### [ Console ]

**委派的 GuardDuty 管理员账户可以使用 **EC2 恶意软件防护或账户页面为组织中的新成员账户启用 GuardDuty启动的恶意软件**扫描。**

**自动启用对新成员 GuardDuty帐户启动的恶意软件扫描**

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   请务必使用委派 GuardDuty 管理员账户证书。

1. 请执行以下操作之一：
   + 使用 **EC2 恶意软件防护**页面：

     1. 在导航窗格中，选择 **EC2 恶意软件防护**。

     1. 在 **EC2 恶意软件防护**页面上，在**GuardDuty启动的恶意软件扫描**中选择**编辑**。

     1. 选择**手动配置账户**。

     1. 选择**为新成员账户自动启用**。此步骤可确保每当有新帐户加入您的组织时，系统都会自动为其帐户启用 GuardDuty启动的恶意软件扫描。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

     1. 选择**保存**。
   + 使用**账户**页面：

     1. 在导航窗格中，选择**账户**。

     1. 在**账户**页面上，选择**自动启用**首选项。

     1. 在 “**管理自动启用首选项**” 窗口中，在 “**GuardDuty启动的恶意软件**扫描” 下选择 “为新帐户**启**用”。

     1. 选择**保存**。

------
#### [ API/CLI ]
+ 要启用或禁用对新成员账户 GuardDuty启动的恶意软件扫描，请使用自己的*detector ID*账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API 操作。
+ 以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。要将其禁用，请参阅 [有选择地为成员账户 GuardDuty启用启动的恶意软件扫描](#selective-enable-disable-malware-protection-member-accounts)。如果您不想为所有加入组织的新账户启用该功能，请将 `AutoEnable` 设置为 `NONE`。

  要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'
  ```

  您也可以传递用空格 IDs 分隔的账户列表。
+ 成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 有选择地为成员账户 GuardDuty启用启动的恶意软件扫描
<a name="selective-enable-disable-malware-protection-member-accounts"></a>

选择您的首选访问方法，有选择地为成员帐户配置 GuardDuty由启动的恶意软件扫描。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格中，选择**账户**。

1. 在 “**帐户**” 页面上，查看**GuardDuty启动的恶意软件扫描**列，了解您的成员帐户的状态。

1. 选择要为其配置 GuardDuty启动的恶意软件扫描的帐户。您可以一次选择多个账户。

1. 从 **“编辑保护计划**” 菜单中，为**GuardDuty启动的恶意软件扫描**选择相应的选项。

------
#### [ API/CLI ]

要有选择地为你的成员账户启用或禁用 GuardDuty启动的恶意软件扫描，请使用你自己的账户调用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。*detector ID*

以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。

要查找您的账户和当前区域的，请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面，或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

您也可以传递用空格 IDs 分隔的账户列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

要有选择地为你的成员账户启用 GuardDuty启动的恶意软件扫描，请使用你自己的账户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API 操作。*detector ID*以下示例显示如何为单个成员帐户 GuardDuty启用启动的恶意软件扫描。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```

您也可以传递用空格 IDs 分隔的账户列表。

成功执行代码后，会返回 `UnprocessedAccounts` 的空列表。如果更改账户的检测器设置时出现任何问题，则会列出该账户 ID 和问题摘要。

------

## 对通过 GuardDuty邀请管理的组织中的现有账户启用启动的恶意软件扫描
<a name="enable-malware-protection-existing-accounts-organization"></a>

必须在成员 GuardDuty 账户中创建 EC2 服务相关角色 (SLR) 的恶意软件防护。管理员帐户无法在不由 AWS Organizations管理 GuardDuty的成员帐户中启用启动的恶意软件扫描功能。

目前，您可以通过 GuardDuty 控制台执行以下步骤，为现有成员帐户启用 GuardDuty启动的恶意软件扫描。[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用管理员账户凭证登录。

1. 在导航窗格中，选择**账户**。

1. 选择要为其启用 GuardDuty启动的恶意软件扫描的成员帐户。您可以一次选择多个账户。

1. 选择**操作**。

1. 选择**取消关联成员**。

1. 在您的成员账户中，在导航窗格的**保护计划**下选择**恶意软件防护**。

1. 选择**启用 GuardDuty启动的恶意软件扫描**。 GuardDuty 将为成员账户创建 SLR。有关 SLR 的更多信息，请参阅 [EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)。

1. 在管理员账户中，选择导航窗格上的**账户**。

1. 选择需要重新添加到组织的成员账户。

1. 选择**操作**，然后选择**添加成员**。

------
#### [ API/CLI ]

1. 使用管理员帐户对想要启用 GuardDuty启动的恶意软件扫描的成员帐户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)API。

1. 使用您的成员帐户调用[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)以启用 GuardDuty启动的恶意软件扫描。

   要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

   ```
   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
   ```

1. 使用管理员账户运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) API，以将成员重新添加回组织。

------

# 为独立 GuardDuty账户启用启动的恶意软件扫描
<a name="configure-malware-protection-single-account"></a>

独立账户拥有在特定账户中启用或禁用保护计划的决定 AWS 区域。 AWS 账户 

如果您的账户通过或通过 AWS Organizations邀请方式与 GuardDuty 管理员帐户关联，则此部分不适用于您的账户。有关更多信息，请参阅 [在多 GuardDuty账户环境中启用启动的恶意软件扫描](configure-malware-protection-guardduty-initiated-multi-account.md)。

启用 GuardDuty启动的恶意软件扫描后， GuardDuty 将启动恶意软件扫描，该卷附加到参与的 Amazon EC2 实例上的 Amazon EBS 卷。 GuardDuty有关会启动恶意软件扫描的调查发现列表，请参阅[调用 GuardDuty启动的恶意软件扫描的发现](gd-findings-initiate-malware-protection-scan.md)。

选择您的首选访问方法，为独立账户配置 GuardDuty由启动的恶意软件扫描。

------
#### [ Console ]

1. 打开 GuardDuty 控制台，网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在导航窗格的**防护计划**下，选择 **EC2 恶意软件防护**。

1. EC2 恶意软件防护窗格列出了针对您的账户 GuardDuty启动的恶意软件扫描的当前状态。选择 “**启用**” 以启用此帐户中 GuardDuty启动的恶意软件扫描。

1. 选择**保存**以确认您的选择。

------
#### [ API/CLI ]

使用您自己的区域检测器 ID 运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，传递 `dataSources` 对象并将 `EbsVolumes` 设置为 `true`。

您也可以 AWS CLI 通过运行以下 AWS CLI 命令启用 GuardDuty启动的恶意软件扫描。请务必使用自己的有效证件*detector ID*。

要查找您的账户和当前区域的，请参阅[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的**设置**页面，或运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`

```
 aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'
```

------

# 调用 GuardDuty启动的恶意软件扫描的发现
<a name="gd-findings-initiate-malware-protection-scan"></a>

当 GuardDuty 检测到 Amazon EC2 实例上存在恶意软件的可疑行为或在 Amazon EC2 实例上运行的容器工作负载时， GuardDuty 将生成调查结果。如果此生成的发现属于以下发现列表，则 GuardDuty 会自动对与该 GuardDuty 发现相关的 Amazon EC2 实例关联的 Amazon EBS 卷启动恶意软件扫描。扫描后，如果 GuardDuty 检测到恶意软件，它还会生成一个或多个恶意软件[EC2 恶意软件防护调查发现类型](findings-malware-protection.md)。

如果您的账户中生成了以下任何 GuardDuty 发现，则 GuardDuty 将在可能遭到入侵的 Amazon EC2 实例的 Amazon EBS 卷中自动启动恶意软件扫描。
+ [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot)
+ [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug)
+ [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command)
+  [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) 
+  [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) 
+  [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) 
+  [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) 
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce)（仅限出站） 
+  [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) 
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)（仅限出站）
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)（仅限出站）
+ [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay)
+ [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb)
+  [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) 
+ [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted)
+  [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) 
+  [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) 
+  [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) 
+  [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) 
+  [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) 
+  [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) 
+  [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) 
+  [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) 
+  [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) 
+  [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) 
+  [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) 
+  [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) 
+ [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic)
+  [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) 
+ [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint)
+  [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) 
+  [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) 
+  [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) 
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
+  [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind)