本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测 本节介绍了 EC2 恶意软件防护(包括 GuardDuty启动的恶意软件扫描和按需恶意软件扫描)如何扫描与您的 Amazon EC2 实例和容器工作负载关联的 Amazon EBS 卷。在继续之前,请考虑以下自定义项: + 扫描选项:EC2 恶意软件防护提供了通过指定标签,从而在扫描过程中包含或排除 Amazon EC2 实例和 Amazon EBS 卷的功能。只有 GuardDuty启动的恶意软件扫描才支持带有用户定义标签的扫描选项。 GuardDuty启动的恶意软件扫描和按需恶意软件扫描都支持全局`GuardDutyExcluded`标记。有关更多信息,请参阅 [使用用户定义的标签扫描选项](malware-protection-customizations.md#mp-scan-options)。 + 快照保留 — EC2 恶意软件防护提供了一个选项,可将您的 Amazon EBS 卷的快照保留在您的 AWS 账户中。默认情况下,此设置处于关闭状态。您可以为 GuardDuty 已启动和按需的恶意软件扫描选择快照保留。有关更多信息,请参阅 [快照保留](malware-protection-customizations.md#mp-snapshots-retention)。 GuardDuty 生成一个或多个恶意软件时[调用 GuardDuty启动的恶意软件扫描的发现](gd-findings-initiate-malware-protection-scan.md),此活动将成为启动恶意软件扫描的原因。 GuardDuty 如果您的扫描选项不排除此实例,则 GuardDuty 将启动扫描。 要在与 Amazon EC2 实例关联的 Amazon EBS 卷上启动按需恶意软件扫描,请提供 Amazon EC2 实例的 Amazon 资源名称(ARN)。 作为对启动按需恶意软件扫描或自动 GuardDuty启动的恶意软件扫描的响应, GuardDuty创建附加到可能受影响的资源的相关 EBS 卷的快照,并与共享。[GuardDuty 服务账号](gdu-service-account-region-list.md) GuardDuty 创建 EBS 卷的快照时,它会添加一个名`GuardDutyScanId`为的默认标签。此标签 GuardDuty 有助于访问快照。切勿移除此标签。根据这些快照,在服务账户中 GuardDuty 创建加密副本 EBS 卷。 扫描完成后, GuardDuty 删除加密副本 EBS 卷和 EBS 卷的快照。默认情况下,快照保留设置处于关闭状态。但是,如果为快照启用了 [Amazon EBS 快照锁定](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html),则无论扫描结果和设置如何,都将保留快照。 GuardDuty 无法修改 Amazon EBS 快照锁定设置。 以下列表描述了快照的保留行为(与 EBS 快照锁定情况无关): **快照保留已开启:** + 发现恶意软件时, GuardDuty 会将快照保留在您的中 AWS 账户。 + 如果未发现恶意软件,则除非快照已锁定,否则 GuardDuty **不会**保留快照。 **快照保留已关闭(默认设置):** + 无论是否发现恶意软件,都不会保留快照。 + GuardDuty 无法删除锁定的 Amazon EBS 快照。 GuardDuty 将在服务帐户中保留每个副本 EBS 卷最多 55 小时。如果服务中断,或者副本 EBS 卷及其恶意软件扫描出现故障,则 GuardDuty将这样的 EBS 卷保留不超过七天。延长卷保留期是为了对中断或故障进行分类和解决。 GuardDuty EC2 恶意软件防护将在中断或故障得到解决或延长保留期过后从服务账户中删除副本 EBS 卷。 有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息,请参阅[GuardDuty 恶意软件检测扫描引擎](guardduty-malware-detection-scan-engine.md)。