本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置快照保留期和 EC2 扫描覆盖范围
本部分介绍如何为 Amazon EC2 实例自定义恶意软件扫描选项。这些自定义设置既适用于按需恶意软件扫描,也适用于由 GuardDuty发起的恶意软件扫描。您可执行以下操作:
+ 启用快照保留-如果在扫描前启用,则 GuardDuty 会保留 GuardDuty 检测为恶意的 Amazon EBS 快照。
+ 选择要扫描的 Amazon EC2 实例 – 使用标签从恶意软件扫描中包含或排除特定的 Amazon EC2 实例。
## 快照保留
GuardDuty 为您提供在 AWS 账户中保留 EBS 卷快照的选项。默认情况下,快照保留设置处于关闭状态。只有在扫描开始之前开启此设置时,系统才会保留快照。
扫描启动后,根据您的 EBS 卷的快照 GuardDuty 生成副本 EBS 卷。扫描完成且账户中的快照保留设置已开启后,只有在发现恶意软件并生成 [EC2 恶意软件防护调查发现类型](findings-malware-protection.md) 时,EBS 卷的快照才会保留。如果未发现任何恶意软件,则无论您的快照设置如何,都会 GuardDuty 自动删除 EBS 卷的快照,除非已对创建的[快照启用了 Amazon EBS 快照锁定](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html)。
### 快照使用成本
在恶意软件扫描期间,在 GuardDuty 创建 Amazon EBS 卷的快照时,会产生与该步骤相关的使用成本。如果您为账户开启快照保留设置,则当系统发现恶意软件并保留快照时,将因此产生使用费用。有关快照成本及快照保留的信息,请参阅 [Amazon EBS 定价](https://aws.amazon.com//ebs/pricing/)。
作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是[通过邀请方式管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html)的,则这些账户可以自行进行此更改。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方式以开启快照保留设置。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格的**防护计划**下,选择 **EC2 恶意软件防护**。
1. 在控制台底部选择**常规设置**。如要保留快照,请开启**快照保留**。
------
#### [ API/CLI ]
运行[UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)以更新快照保留设置的当前配置。
或者,当适用于 EC2 的 GuardDuty 恶意软件防护生成发现结果时,您可以运行以下 AWS CLI 命令自动保留快照。
请务必*detector-id*用您自己的有效版本替换`detectorId`。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
如果要关闭快照保留,请将 `RETENTION_WITH_FINDING` 替换为 `NO_RETENTION`。
------
## 使用用户定义的标签扫描选项
通过使用 GuardDuty启动的恶意软件扫描,您还可以指定标签,以便在扫描和威胁检测过程中包括或排除 Amazon EC2 实例和 Amazon EBS 卷。您可以通过编辑包含或排除标签列表中的标签来自定义每个 GuardDuty启动的恶意软件扫描。每个列表最多可以包含 50 个标签。
如果您还没有与 EC2 资源关联的用户定义标签,请参阅《Amazon EC2 用户指南》**中的[标记 Amazon EC2 资源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。
**注意**
按需恶意软件扫描不支持带有用户定义标签的扫描选项,而是支持 [全局 `GuardDutyExcluded` 标签](#mp-scan-options-gdu-excluded-tag)。
### 将 EC2 实例排除在恶意软件扫描之外
如果您想在扫描过程中排除任何 Amazon EC2 实例或 Amazon EBS 卷,则可以将任何亚马逊 EC2 实例或 Amazon EBS 卷的`GuardDutyExcluded`标签设置为,并且 GuardDuty 不会对其进行扫描。`true`有关 `GuardDutyExcluded` 标签的更多信息,请参阅 [EC2 恶意软件防护的服务相关角色权限](slr-permissions-malware-protection.md)。您也可以将 Amazon EC2 实例标签添加到排除列表中。如果您在标签排除列表中添加多个标签,则至少包含其中一个标签的任何 Amazon EC2 实例,都将被排除在恶意软件扫描过程之外。
作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是[通过邀请方式管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html)的,则这些账户可以自行进行此更改。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方法,将与 Amazon EC2 实例关联的标签添加到排除列表中。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格的**防护计划**下,选择 **EC2 恶意软件防护**。
1. 展开**包含/排除标签**部分。选择**添加标签**。
1. 选择**排除标签**,然后选择**确认**。
1. 指定要排除的标签 **Key** 和 **Value** 对。可以选择提供 **Value**。添加所有标签后,选择**保存**。
**重要**
标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[标签限制](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
如果未提供密钥的值,而且 EC2 实例使用指定的密钥进行标记,则无论标签的分配值如何,此 EC2 实例都将被排除在 GuardDuty启动的恶意软件扫描扫描过程之外。
------
#### [ API/CLI ]
[UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)通过将 EC2 实例或容器工作负载排除在扫描过程之外来运行。
以下 AWS CLI 示例命令将新标签添加到排除标签列表中。将示例 *detector-id* 替换为您自己的有效 `detectorId`。
`MapEquals` 是 `Key`/`Value` 对的列表。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
**重要**
标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[标签限制](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
------
### 将 EC2 实例包括在恶意软件扫描中
如果要扫描 EC2 实例,请将其标签添加到包含列表中。当您将标签添加到标签的包含列表时,系统将从恶意软件扫描中跳过不包含任何已添加标签的 EC2 实例。如果您向标签包含列表中添加多个标签,则至少包含其中一个标签的 EC2 实例会纳入恶意软件扫描范围。有时,在扫描过程中可能因其他原因而跳过某个 EC2 实例。有关更多信息,请参阅 [恶意软件扫描期间跳过资源的原因](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)。
作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是[通过邀请方式管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html)的,则这些账户可以自行进行此更改。有关更多信息,请参阅 [管理员账户和成员账户的关系](administrator_member_relationships.md)。
选择您的首选访问方法,将与 EC2 实例关联的标签添加到包含列表中。
------
#### [ Console ]
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格的**防护计划**下,选择 **EC2 恶意软件防护**。
1. 展开**包含/排除标签**部分。选择**添加标签**。
1. 选择**包含标签**,然后选择**确认**。
1. 选择**添加新的包含标签**,然后指定要包含的标签 **Key** 和 **Value** 对。可以选择提供 **Value**。
添加完所有包含标签后,选择**保存**。
如果未提供密钥的值,并且使用指定键标记了某个 EC2 实例,则无论该标签分配的值为何,该 EC2 实例都将被包含在 EC2 恶意软件防护扫描过程中。
------
#### [ API/CLI ]
+ 运行[UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)以将 EC2 实例或容器工作负载纳入扫描过程。
以下 AWS CLI 示例命令将新标签添加到包含标签列表中。请确保将示例*detector-id*替换为自己的有效示例`detectorId`。将示例*TestKey*和替换为*TestValue*与您的 EC2 资源关联的标签的`Key`和`Value`对。
`MapEquals` 是 `Key`/`Value` 对的列表。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
**重要**
标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 用户指南》**中的[标签限制](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
------
**注意**
检测到新标签最多可能需要 5 分钟。 GuardDuty
您可以随时选择**包含标签**或**排除标签**,但不能同时选择两者。如果要在标签之间切换,请在添加新标签时从下拉菜单中选择该标签,然后**确认**您的选择。此操作将清除您当前的所有标签。
## 全局 `GuardDutyExcluded` 标签
GuardDuty 使用全局标签密钥`GuardDutyExcluded`,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为`true`。具有此标签键值对的 Amazon EC2 资源将被排除在恶意软件扫描范围之外。两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持全局标记。如果您在 Amazon EC2 上启动按需恶意软件扫描,则会生成一个扫描 ID。但是,将因 `EXCLUDED_BY_SCAN_SETTINGS` 而跳过扫描。有关更多信息,请参阅 [恶意软件扫描期间跳过资源的原因](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)。