本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty 起始的惡意軟體掃描
<a name="gdu-initiated-malware-scan"></a>

啟用 GuardDuty 起始的惡意軟體掃描後，每當 GuardDuty 產生 時[調用 GuardDuty 起始的惡意軟體掃描的調查結果](gd-findings-initiate-malware-protection-scan.md)，Amazon Elastic Block Store (Amazon EBS) 磁碟區上的無代理程式惡意軟體掃描會啟動連接至可能受影響的 Amazon EC2 資源。開始掃描之前，您必須準備您的帳戶，以進行任何自訂。使用掃描選項，您可以新增與您要掃描之資源相關聯的包含標籤，或新增與您要從掃描程序略過之資源相關聯的排除標籤。自動掃描啟動始終會考慮您的掃描選項。GuardDuty 也支援全域 `GuardDutyExcluded`：`true` 標籤鍵：值對。當您將此全域標籤新增至 Amazon EC2 資源時，GuardDuty 會啟動掃描，然後略過掃描。您也可以選擇開啟快照保留設定，以保留可能偵測到惡意軟體的 EBS 磁碟區的快照。如需掃描選項、全域排除標籤和快照設定的詳細資訊，請參閱 [設定快照保留和 EC2 掃描涵蓋範圍](malware-protection-customizations.md)。

當 GuardDuty 為相同的 Amazon EC2 資源產生多個調查結果時，GuardDuty 只能在自上次 GuardDuty 啟動的惡意軟體掃描後經過 24 小時後啟動掃描。如需有關如何掃描連接至 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區的詳細資訊，請參閱[GuardDuty 如何掃描 EBS 磁碟區以進行惡意軟體偵測](guardduty_malware_protection-ebs-volume-data.md)。

下圖說明 GuardDuty 起始的惡意軟體掃描的運作方式。

![\[說明 EC2 的惡意軟體防護如何運作，以及在 GuardDuty 中可用的自訂。\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/malwareprotection-diagram.png)


如需有關 GuardDuty 惡意軟體偵測方法及其使用的掃描引擎的資訊，請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。

當發現惡意軟體時，GuardDuty 會產生 [EC2 調查結果類型的惡意軟體防護](findings-malware-protection.md)。如果 GuardDuty 未在相同資源上產生指示惡意軟體的調查結果，則不會調用 GuardDuty 起始的惡意軟體掃描。您也可以在相同的資源上啟動隨需惡意軟體掃描。如需詳細資訊，請參閱[GuardDuty 中的隨需惡意軟體掃描](on-demand-malware-scan.md)。

# GuardDuty 起始的惡意軟體掃描的 30 天免費試用
<a name="malware-protection-ec2-guardduty-30-day-free-trial"></a>

您可以隨時為支援的 AWS 帳戶 中的 啟用或停用 GuardDuty 起始的惡意軟體掃描 AWS 區域 。如果您有組織，每個成員帳戶都有自己的 30 天免費試用。

若要了解 30 天免費試用的運作方式，請考慮下列案例：
+ 當您第一次啟用 GuardDuty 時 （新的 GuardDuty 帳戶），GuardDuty 起始的惡意軟體掃描也會啟用，並包含在與 GuardDuty 服務相關聯的 30 天免費試用中。
+ 現有的 GuardDuty 帳戶可以首次啟用 GuardDuty 起始的惡意軟體掃描，並免費試用 30 天。當您第一次在不同區域中啟用此功能時，您會在該區域中獲得 30 天的免費試用。
+ 如果您在 AWS 區域 中一直使用此保護計畫前的 EC2 惡意軟體防護，分為兩種掃描類型：GuardDuty 起始的惡意軟體掃描和隨需惡意軟體掃描，您可以繼續使用 GuardDuty 起始的惡意軟體掃描搭配相同的定價模型 AWS 區域。如果您第一次在新區域中啟用 GuardDuty 起始的惡意軟體掃描，您的帳戶將獲得 30 天的免費試用。

**注意**  
即使您正在進行 30 天的免費試用期，仍需支付建立 Amazon EBS 磁碟區快照及其保留的標準使用成本。如需詳細資訊，請參閱 [Amazon EBS 定價](https://aws.amazon.com/ebs/pricing/)。

# 在多帳戶環境中啟用 GuardDuty 起始的惡意軟體掃描
<a name="configure-malware-protection-guardduty-initiated-multi-account"></a>

在多帳戶環境中，只有 GuardDuty 管理員帳戶可以代表其成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。此外，透過 AWS Organizations 支援管理成員帳戶的管理員帳戶可以選擇在組織中的所有現有和新帳戶上自動啟用 GuardDuty 起始的惡意軟體掃描。如需詳細資訊，請參閱[使用 管理 GuardDuty 帳戶 AWS Organizations](guardduty_organizations.md)。

## 建立受信任的存取權以啟用 GuardDuty 起始的惡意軟體掃描
<a name="delegated-admin-different-management-account"></a>

如果 GuardDuty 委派管理員帳戶與您組織中的管理帳戶不同，則管理帳戶必須為其組織啟用 GuardDuty 起始的惡意軟體掃描。如此一來，委派的管理員帳戶就可以[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)在透過 管理的成員帳戶中建立 AWS Organizations。

**注意**  
指定委派的 GuardDuty 管理員帳戶之前，請參閱 [考量事項和建議](guardduty_organizations.md#delegated_admin_important)。

選擇您偏好的存取方法，以允許委派的 GuardDuty 管理員帳戶為組織中的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   若要登入，請使用 AWS Organizations 組織的管理帳戶。

1. 

   1. 如果您尚未指定委派的 GuardDuty 管理員帳戶，則：

      在**設定**頁面**的委派 GuardDuty 管理員帳戶**下，輸入**account ID**您要指定來管理組織中 GuardDuty 政策的 12 位數。選擇**委派**。

   1. 

      1. 如果您已指定與管理帳戶不同的委派 GuardDuty 管理員帳戶，則：

         在**設定**頁面的**委派管理員**下，開啟**許可**設定。此動作將允許委派的 GuardDuty 管理員帳戶將相關許可連接到成員帳戶，並在這些成員帳戶中啟用 GuardDuty 起始的惡意軟體掃描。

      1. 如果您已指定與管理帳戶相同的委派 GuardDuty 管理員帳戶，則可以直接為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。如需詳細資訊，請參閱[自動啟用所有成員帳戶的 GuardDuty 起始惡意軟體掃描](#auto-enable-malware-protection-all-organization-member)。
**提示**  
如果委派的 GuardDuty 管理員帳戶與您的管理帳戶不同，您必須向委派的 GuardDuty 管理員帳戶提供許可，以允許為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

1. 如果您想要允許委派的 GuardDuty 管理員帳戶為其他區域中的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描，請變更您的 AWS 區域，並重複上述步驟。

------
#### [ API/CLI ]

1. 使用您的管理帳戶憑證，執行下列命令：

   ```
   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
   ```

1. （選用） 若要為非委派管理員帳戶的管理帳戶啟用 GuardDuty 起始的惡意軟體掃描，管理帳戶會先在其帳戶中[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)明確建立 ，然後從委派管理員帳戶啟用 GuardDuty 起始的惡意軟體掃描，類似於任何其他成員帳戶。

   ```
   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
   ```

1. 您已在目前選取的 中指定委派的 GuardDuty 管理員帳戶 AWS 區域。如果您已將帳戶指定為某個區域中的委派 GuardDuty 管理員帳戶，則該帳戶必須是所有其他區域中的委派 GuardDuty 管理員帳戶。為其他所有區域重複上述步驟。

------

## 為委派的 GuardDuty 管理員帳戶設定 GuardDuty 起始的惡意軟體掃描
<a name="configure-gdu-initiated-malware-pro-delegatedadmin"></a>

選擇您偏好的存取方法，為委派的 GuardDuty 管理員帳戶啟用或停用 GuardDuty 起始的惡意軟體掃描。

------
#### [ Console ]

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

1. 在導覽窗格中，選擇 ** EC2 的惡意軟體防護**。

1. 在 ** EC2 的惡意軟體防護**頁面上，選擇 **GuardDuty 起始的惡意軟體掃描**旁的**編輯**。

1. 執行以下任意一項：

**使用**為所有帳戶啟用****
   + 選擇**為所有帳戶啟用**。這將為 AWS 組織中所有作用中的 GuardDuty 帳戶啟用保護計畫，包括加入組織的新帳戶。
   + 選擇**儲存**。

**使用**手動設定帳戶****
   + 若要僅為委派的 GuardDuty 管理員帳戶啟用保護計畫，請選擇**手動設定帳戶**。
   + 在**委派的 GuardDuty 管理員帳戶 （此帳戶）** 區段下選擇**啟用**。
   + 選擇**儲存**。

------
#### [ API/CLI ]

使用您自己的區域偵測器 ID 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，並以 `name` `EBS_MALWARE_PROTECTION`和 `status`的形式傳遞`features`物件`ENABLED`。

您可以執行下列 AWS CLI 命令來啟用 GuardDuty 起始的惡意軟體掃描。請務必使用委派的 GuardDuty 管理員帳戶的有效*偵測器 ID*。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

------

## 自動啟用所有成員帳戶的 GuardDuty 起始惡意軟體掃描
<a name="auto-enable-malware-protection-all-organization-member"></a>

選擇您偏好的存取方法，以便為所有成員帳戶啟用 GuardDuty 起始的惡意軟體掃描功能。這包括現有的成員帳戶和加入組織的新帳戶。

------
#### [ Console ]

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 執行以下任意一項：

**使用 **EC2 的惡意軟體防護**頁面**

   1. 在導覽窗格中，選擇 ** EC2 的惡意軟體防護**。

   1. 在 ** EC2 的惡意軟體防護**頁面上，選擇 **GuardDuty 起始的惡意軟體掃描**區段中的**編輯**。

   1. 選擇**為所有帳戶啟用**。此動作會自動為組織中的現有帳戶和新帳戶啟用 GuardDuty 起始的惡意軟體掃描。

   1. 選擇**儲存**。
**注意**  
最多可能需要 24 小時才會更新成員帳戶的組態。

**使用**帳戶**頁面**

   1. 在導覽窗格中，選擇**帳戶**。

   1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定，然後再**透過邀請新增帳戶**。

   1. 在**管理自動啟用偏好設定**視窗中，選擇 **GuardDuty 起始的惡意軟體掃描**下的**為所有帳戶啟用**。

   1. 在 ** EC2 的惡意軟體防護**頁面上，選擇 **GuardDuty 起始的惡意軟體掃描**區段中的**編輯**。

   1. 選擇**為所有帳戶啟用**。此動作會自動為組織中的現有帳戶和新帳戶啟用 GuardDuty 起始的惡意軟體掃描。

   1. 選擇**儲存**。
**注意**  
最多可能需要 24 小時才會更新成員帳戶的組態。

**使用**帳戶**頁面**

   1. 在導覽窗格中，選擇**帳戶**。

   1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定，然後再**透過邀請新增帳戶**。

   1. 在**管理自動啟用偏好設定**視窗中，選擇 **GuardDuty 起始的惡意軟體掃描**下的**為所有帳戶啟用**。

   1. 選擇**儲存**。

   如果您無法使用**為所有帳戶啟用**選項，請參閱 [選擇性地為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描](#selective-enable-disable-malware-protection-member-accounts)。

------
#### [ API/CLI ]
+ 若要為您的成員帳戶選擇性地啟用 GuardDuty 起始的惡意軟體掃描，請使用您自己的*偵測器 ID* 叫用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。
+ 下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。若要停用成員帳戶，請使用 `DISABLED` 取代 `ENABLED`。

  若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
  ```

  您也可以傳遞以空格分隔的帳戶 ID 清單。
+ 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 為所有現有作用中成員帳戶啟用 GuardDuty 起始的惡意軟體掃描
<a name="enable-for-all-existing-members-gdu-initiated-malware-scan"></a>

選擇您偏好的存取方法，以便為組織中的所有現有作用中成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

**為所有現有作用中成員帳戶設定 GuardDuty 起始的惡意軟體掃描**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)：// 開啟 GuardDuty 主控台。

   使用委派的 GuardDuty 管理員帳戶憑證登入。

1. 在導覽窗格中，選擇 ** EC2 的惡意軟體防護**。

1. 在 ** EC2 的惡意軟體防護**上，您可以檢視 **GuardDuty 起始的惡意軟體掃描**組態的目前狀態。在**作用中成員帳戶**區段下，選擇**動作**。

1. 從**動作**下拉式選單中，選擇**為所有作用中的成員帳戶啟用**。

1. 選擇**儲存**。

## 為新成員帳戶自動啟用 GuardDuty 起始的惡意軟體掃描
<a name="configure-malware-protection-new-accounts-organization"></a>

新增的成員帳戶必須先**啟用** GuardDuty，然後才能選取設定 GuardDuty 起始的惡意軟體掃描。透過邀請管理的成員帳戶可以為其帳戶手動設定 GuardDuty 起始的惡意軟體掃描。如需詳細資訊，請參閱[Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc)。

選擇您偏好的存取方法，以便為新加入組織的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

------
#### [ Console ]

委派的 GuardDuty 管理員帳戶可以使用惡意軟體防護 EC2 或**帳戶**頁面，為組織中的新成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。 ** EC2** 

**為新成員帳戶自動啟用 GuardDuty 起始的惡意軟體掃描**

1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。

   請務必使用委派的 GuardDuty 管理員帳戶登入資料。

1. 執行以下任意一項：
   + 使用 ** EC2 的惡意軟體防護**頁面：

     1. 在導覽窗格中，選擇 ** EC2 的惡意軟體防護**。

     1. 在 ** EC2 的惡意軟體防護**頁面上，選擇 **GuardDuty 起始的惡意軟體掃描**中的**編輯**。

     1. 選擇**手動設定帳戶**。

     1. 選取**為新成員帳戶自動啟用**。此步驟可確保每當有新帳戶加入您的組織時，GuardDuty 起始的惡意軟體掃描都會自動為其帳戶啟用。只有組織委派的 GuardDuty 管理員帳戶可以修改此組態。

     1. 選擇**儲存**。
   + 使用**帳戶**頁面：

     1. 在導覽窗格中，選擇**帳戶**。

     1. 在**帳戶**頁面上，選擇**自動啟用**偏好設定。

     1. 在**管理自動啟用偏好設定**視窗中，選擇 **GuardDuty 起始的惡意軟體掃描**下的**為新帳戶啟用**。

     1. 選擇**儲存**。

------
#### [ API/CLI ]
+ 若要為新成員帳戶地啟用或停用 GuardDuty 起始的惡意軟體掃描，請使用您自己的*偵測器 ID* 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API 操作。
+ 下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。若要停用，請參閱[選擇性地為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描](#selective-enable-disable-malware-protection-member-accounts)。如果您不想為加入組織的所有新帳戶啟用此功能，請將 `AutoEnable` 設定為 `NONE`。

  若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'
  ```

  您也可以傳遞以空格分隔的帳戶 ID 清單。
+ 當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 選擇性地為成員帳戶啟用 GuardDuty 起始的惡意軟體掃描
<a name="selective-enable-disable-malware-protection-member-accounts"></a>

選擇您偏好的存取方法，以便為指定成員帳戶設定 GuardDuty 起始的惡意軟體掃描。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在導覽窗格中，選擇**帳戶**。

1. 在**帳戶**頁面上，檢閱 **GuardDuty 起始的惡意軟體掃描**欄，了解您的成員帳戶的狀態。

1. 選取您要設定 GuardDuty 起始的惡意軟體掃描的帳戶。您可以一次選取多個帳戶。

1. 從**編輯保護計畫**選單中，針對 **GuardDuty 起始的惡意軟體掃描**選擇適當的選項。

------
#### [ API/CLI ]

若要為您的成員帳戶選擇性地啟用或停用 GuardDuty 起始的惡意軟體掃描，請使用您自己的*偵測器 ID* 調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。

下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

若要為您的成員帳戶選擇性地啟用 GuardDuty 起始的惡意軟體掃描，請使用您自己的*偵測器 ID* 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 操作。下列範例顯示如何為單一成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```

您也可以傳遞以空格分隔的帳戶 ID 清單。

當程式碼成功執行時，會返回一個空白 `UnprocessedAccounts` 清單。如果變更帳戶的偵測器設定時發生任何問題，則會列出該帳戶 ID 以及問題摘要。

------

## 為透過邀請管理的組織中的現有帳戶啟用 GuardDuty 起始的惡意軟體掃描
<a name="enable-malware-protection-existing-accounts-organization"></a>

EC2 服務連結角色 (SLR) 的 GuardDuty 惡意軟體防護必須在成員帳戶中建立。管理員帳戶無法在非由 管理的成員帳戶中啟用 GuardDuty 起始的惡意軟體掃描功能 AWS Organizations。

目前，您可以透過 GuardDuty 主控台 (網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)) 執行以下步驟，為現有的成員帳戶啟用 GuardDuty 起始的惡意軟體掃描。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

   使用您的管理員帳戶登入資料登入。

1. 在導覽窗格中，選擇**帳戶**。

1. 選取您要為之啟用 GuardDuty 起始的惡意軟體掃描的成員帳戶。您可以一次選取多個帳戶。

1. 選擇**動作**。

1. 選擇**取消關聯成員**。

1. 在成員帳戶中，在導覽窗格的**保護計畫**下，選擇**惡意軟體防護**。

1. 選擇**啟用 GuardDuty 起始的惡意軟體掃描**。GuardDuty 將為成員帳戶建立 SLR。如需有關 SLR 的詳細資訊，請參閱[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)。

1. 在管理員帳戶帳戶中，選擇導覽窗格中**的帳戶**。

1. 選擇需要新增回組織的成員帳戶。

1. 選擇**動作**，然後選擇**新增成員**。

------
#### [ API/CLI ]

1. 使用管理員帳戶在想要啟用 GuardDuty 起始惡意軟體掃描的成員帳戶上執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) API。

1. 使用您的成員帳戶調用 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) 以啟用 GuardDuty 起始的惡意軟體掃描。

   若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

   ```
   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
   ```

1. 使用管理員帳戶執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) API，將成員新增至組織。

------

# 為獨立帳戶啟用 GuardDuty 起始的惡意軟體掃描
<a name="configure-malware-protection-single-account"></a>

獨立帳戶擁有 AWS 帳戶 在特定 中啟用或停用保護計畫的決定 AWS 區域。

如果您的帳戶透過 AWS Organizations或邀請方法與 GuardDuty 管理員帳戶相關聯，則本節不適用於您的帳戶。如需詳細資訊，請參閱[在多帳戶環境中啟用 GuardDuty 起始的惡意軟體掃描](configure-malware-protection-guardduty-initiated-multi-account.md)。

啟用 GuardDuty 起始的惡意軟體掃描後，GuardDuty 會啟動 Amazon EBS 磁碟區的惡意軟體掃描，此磁碟區會連接到 GuardDuty 中涉及的 Amazon EC2 執行個體。如需啟動惡意軟體掃描的調查結果清單，請參閱 [調用 GuardDuty 起始的惡意軟體掃描的調查結果](gd-findings-initiate-malware-protection-scan.md)。

選擇您偏好的存取方法，以便為獨立帳戶設定 GuardDuty 起始的惡意軟體掃描。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在導覽窗格中的**保護計畫**下，選擇 ** EC2 的惡意軟體防護**。

1. EC2 的惡意軟體防護窗格會列出您帳戶的 GuardDuty 起始惡意軟體掃描的目前狀態。選擇**啟用**，在此帳戶中啟用 GuardDuty 起始的惡意軟體掃描。

1. 選擇**儲存**以確認您的選擇。

------
#### [ API/CLI ]

使用您自己的區域偵測器 ID 執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 操作，並傳遞將 `EbsVolumes` 設為 的`dataSources`物件`true`。

您也可以執行下列 AWS CLI 命令 AWS CLI ，使用 啟用 GuardDuty 起始的惡意軟體掃描。請務必使用您自己的有效*偵測器 ID*。

若要尋找`detectorId`您帳戶和目前區域的 ，請參閱 https：//[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面，或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。

```
 aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'
```

------

# 調用 GuardDuty 起始的惡意軟體掃描的調查結果
<a name="gd-findings-initiate-malware-protection-scan"></a>

當 GuardDuty 偵測到表示 Amazon EC2 執行個體或 Amazon EC2 執行個體上執行的容器工作負載上有惡意軟體的可疑行為時，GuardDuty 會產生問題清單。如果此產生的問題清單屬於下列 GuardDuty 問題清單，則 GuardDuty 會在連接到問題清單所涉及 Amazon EC2 執行個體的 Amazon EBS 磁碟區上自動啟動惡意軟體掃描。掃描之後，如果 GuardDuty 偵測到惡意軟體，則它也會產生一或多個 [EC2 調查結果類型的惡意軟體防護](findings-malware-protection.md)。

如果您的帳戶中產生下列任何 GuardDuty 調查結果，GuardDuty 會自動在可能遭到入侵的 Amazon EC2 執行個體的 Amazon EBS 磁碟區中啟動惡意軟體掃描。
+ [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot)
+ [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug)
+ [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command)
+  [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) 
+  [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) 
+  [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) 
+  [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) 
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) (僅限傳出) 
+  [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) 
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) (僅限傳出)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) (僅限傳出)
+ [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay)
+ [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb)
+  [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) 
+ [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted)
+  [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) 
+  [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) 
+  [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) 
+  [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) 
+  [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) 
+  [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) 
+  [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) 
+  [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) 
+  [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) 
+  [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) 
+  [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) 
+  [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) 
+ [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic)
+  [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) 
+ [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint)
+  [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) 
+  [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) 
+  [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) 
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
+  [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind)