本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Backup 恶意软件防护如何运作？
<a name="malware-protection-backup-how-it-works"></a>

本节介绍了 Backup 恶意软件保护的组件、其工作原理以及如何查看恶意软件扫描状态和结果。

## 概述
<a name="malware-protection-backup-overview"></a>

Backup 恶意软件保护功能可帮助您检测属于 EBS、EC2 和 S3 资源类型的 EBS 快照、EC2 映像 (AMI) 和恢复点上是否存在恶意软件。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描，方法是传入提供扫描所需权限的 IAM 角色以及一两个资源， ARNs 具体取决于扫描类别。可能有两种扫描类别：完全扫描和增量扫描。

### 完全扫描和增量扫描
<a name="malware-protection-backup-scan-types"></a>

全面扫描是 API 将接受资源 ARN 并扫描该资源中的所有文件的地方。另一方面，增量扫描会占用两个资源 ARNs，这两个资源都属于同一个资源，然后扫描它们之间已更改的文件。举个例子，假设我们拍了一张 EBS 卷的快照。我们称之为 s *napshot* -1。如果对此快照进行了全面扫描，则 GuardDuty 会扫描此快照中包含的所有文件。现在，假设向同一个卷中添加了几个文件，并拍摄了新的快照。我们称之为 s *napshot* -2。由于在 *snapshot-1 和 snapshot-* *2 之间只有几个文件发生了变化，因此可以使用这两个快照*的资源触发增量扫描。 ARNs在这种情况下，*snapshot-2* 被称为`target`资源，*snapshot-1* 被称为资源。`base`您将在本文档的其余部分中看到该术语的使用。*此增量扫描将扫描快照 *1 和快照 2 之间已更改的*文件。*

### 在增量扫描中重新扫描以前受感染的文件
<a name="malware-protection-backup-rescanning-infected-files"></a>

作为增量扫描的一部分， GuardDuty 还将从基础扫描中重新扫描以前受感染的文件，最长可持续 365 天。

### 增量扫描的要求
<a name="malware-protection-backup-incremental-requirements"></a>

必须满足以下要求 GuardDuty 才能执行增量扫描。如果不满足这些要求中的任何一个， GuardDuty 将跳过扫描。
+ 基础资源必须在过去 365 天内进行扫描，并且扫描结果必须为`COMPLETED`或`COMPLETED_WITH_ISSUES`。
+ 基础资源的创建日期必须早于目标资源的创建日期。
+ 对于快照，基础资源和目标资源必须具有相同的加密类型。
+ 基础资源和目标资源必须来自同一个血统。
  + 对于 EBS 快照和 EBS 恢复点，这意味着它们要么来自同一个卷，要么来自同一个卷的副本，加密类型没有任何变化。
  + 对于 S3 恢复点， ARNs 必须从同一个底层 S3 存储桶创建基础资源和目标资源。
  + 如果是 AMIs，则在基本 AMI 和目标 AMI 之间比较成对的快照，以识别用于增量扫描的快照。每对快照都需要满足上述条件。目标 AMI 中任何在基本 AMI 中没有相应匹配快照的快照都将被跳过。

### 重新扫描之前扫描的备份资源
<a name="malware-protection-backup-rescanning-resources"></a>

在上一次恶意软件扫描开始后 10 分钟后，您可以在同一资源上开始新的按需恶意软件扫描。如果新的恶意软件扫描在上一次恶意软件扫描启动后的 10 分钟内开始，则您的请求将导致以下错误，并且不会为此请求生成扫描 ID。重新扫描实例的步骤与首次启动按需恶意软件扫描的步骤相同。

## 扫描需要 IAM 角色
<a name="malware-protection-backup-iam-role-required"></a>

您需要传入 IAM 角色才能开始完整或增量扫描。此角色提供执行扫描操作所需的权限。 [GuardDuty Backup 的恶意软件防护：IAM 角色权限](malware-protection-backup-iam-permissions.md)提供了所需的权限的确切列表以及执行扫描所需的相关信任策略。

## 查看资源扫描状态和结果
<a name="malware-protection-backup-reviewing-scan-status"></a>

GuardDuty 将扫描结果事件发布到 Amazon EventBridge 默认事件总线。 GuardDuty 使用 at-least-once交付，这意味着您可能会收到同一对象的多个扫描结果。建议在设计应用程序时使其能够处理重复的结果。对于每个扫描对象，您只需支付一次费用。

有关更多信息，请参阅 [在 Backup 的恶意软件防护中监控扫描状态和结果](monitoring-malware-protection-backup-scans.md)。

## 检查生成的调查发现
<a name="malware-protection-backup-reviewing-findings"></a>

查看调查结果取决于您是否使用了 Backup 恶意软件防护 GuardDuty。考虑以下场景：

**启用 GuardDuty 服务后使用 Backup 恶意软件防护（检测器 ID）**

如果恶意软件扫描在扫描的 Backup 资源中检测到潜在的恶意文件，则 GuardDuty 会生成相关结果。您可以查看调查发现的详细信息，也可以使用建议的步骤来潜在修复该调查发现。根据您的[导出结果频率](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency)，生成的查找结果将导出到 S3 存储桶和 Amazon EventBridge 事件总线。

有关将生成的查找类型的信息，请参阅为 Backup 恶意软件防护[Backup 的恶意软件防护查找类型](findings-malware-protection-backup.md)查找类型。

**将 Backup 恶意软件保护作为一项独立功能使用（无检测器 ID）**

GuardDuty 将无法生成调查结果，因为没有关联的探测器 ID。要了解备份资源的扫描状态，您可以查看 GuardDuty 自动发布到默认事件总线的扫描结果。

有关扫描状态和结果的信息，请参见[在 Backup 的恶意软件防护中监控扫描状态和结果](monitoring-malware-protection-backup-scans.md)。

**注意**  
 如果您还使用适用于 S3 的恶意软件防护，则可能您的 S3 文件以前被标记为 NO\$1THREATS\$1FOUND，但同一文件可能会出现在该对象所属的 Backup Recovery Point 的威胁列表中。之所以发生这种情况，是因为该服务经常更新其恶意软件签名，这可能改变了文件的状态。请注意，在这种情况下， GuardDuty 不会返回并更新原始 S3 存储桶中文件上的标签。在文件上应用更新的标签的唯一方法是将对象重新上传到存储桶或使用 S3 的按需扫描功能。