本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # GuardDuty 如何掃描 EBS 磁碟區以進行惡意軟體偵測 本節說明惡意軟體防護如何掃描與您的 Amazon EC2 執行個體和容器工作負載相關聯的 Amazon EC2 EBS 磁碟區,包括 GuardDuty 起始的惡意軟體掃描和隨需惡意軟體掃描。繼續前,請考慮下列自訂內容: + 掃描選項 – EC2 的惡意軟體防護提供指定標籤的功能,以在掃描程序中包含或排除 Amazon EC2 執行個體和 Amazon EBS 磁碟區。只有 GuardDuty 起始的惡意軟體掃描支援具有使用者定義標籤的掃描選項。GuardDuty 起始的惡意軟體掃描和隨需惡意軟體掃描都支援全域 `GuardDutyExcluded` 標籤。如需詳細資訊,請參閱[具有使用者定義標籤的掃描選項](malware-protection-customizations.md#mp-scan-options)。 + 快照保留 – EC2 的惡意軟體防護提供在您的 AWS 帳戶中保留 Amazon EBS 磁碟區的快照的選項。根據預設,此設定會關閉。您可以選擇使用 GuardDuty 起始的惡意軟體掃描和隨需惡意軟體掃描的快照保留。如需詳細資訊,請參閱[快照保留](malware-protection-customizations.md#mp-snapshots-retention)。 當 GuardDuty 產生一或多個 時[調用 GuardDuty 起始的惡意軟體掃描的調查結果](gd-findings-initiate-malware-protection-scan.md),此活動將成為 GuardDuty 啟動惡意軟體掃描的原因。如果您的掃描選項未排除此執行個體,GuardDuty 會啟動掃描。 若要在與 Amazon EC2 執行個體關聯的 Amazon EBS 磁碟區上啟動隨需惡意軟體掃描,請提供 Amazon EC2 執行個體的 Amazon Resource Name (ARN)。 為了回應啟動隨需惡意軟體掃描或自動 GuardDuty 啟動的惡意軟體掃描,GuardDuty 會建立連接至潛在受影響資源的相關 EBS 磁碟區的快照,並與 共用[GuardDuty 服務帳戶](gdu-service-account-region-list.md)。當 GuardDuty 建立 EBS 磁碟區的快照時,它會新增名為 的預設標籤`GuardDutyScanId`。此標籤可協助 GuardDuty 存取快照。請確定您未移除此標籤。GuardDuty 會依據這些快照,在服務帳戶中建立加密複本 EBS 磁碟區。 掃描完成後,GuardDuty 會刪除加密複本 EBS 磁碟區和 EBS 磁碟區的快照。根據預設,快照保留設定會關閉。不過,如果為快照啟用 [Amazon EBS 快照鎖定](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html),無論掃描結果和設定為何,都會保留快照。GuardDuty 無法修改 Amazon EBS 快照鎖定設定。 下列清單說明快照保留行為,無論 EBS 快照鎖定為何: **快照保留已開啟:** + 找到惡意軟體時,GuardDuty 會在您的 中保留快照 AWS 帳戶。 + 找不到惡意軟體時,GuardDuty **不會**保留快照,除非它們遭到鎖定。 **快照保留已關閉 (預設設定):** + 無論是否找到惡意軟體,快照都不會保留。 + GuardDuty 無法刪除鎖定的 Amazon EBS 快照。 GuardDuty 會將服務帳戶中的每個複本 EBS 磁碟區保留最多 55 小時。如果 EBS 磁碟區複本及其惡意軟體掃描發生服務中斷或故障,GuardDuty 保留此類 EBS 磁碟區最多不超過七天。延長的磁碟區保留期是為了分類和解決中斷或故障的問題。GuardDuty Malware Protection for EC2 會在解決中斷或故障,或延長保留期過後,從服務帳戶刪除複本 EBS 磁碟區。 如需有關 GuardDuty 惡意軟體偵測方法及其使用的掃描引擎的資訊,請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。