GuardDuty AWS 備份惡意軟體防護

主題

概觀

惡意軟體保護備份可協助您掃描受 AWS 備份保護的資源，例如 Amazon EBS 快照、Amazon EC2 AMIs 和 Amazon S3 復原點，以偵測備份資料中是否存在惡意軟體。當 AWS Backup 建立或更新受保護的備份資源時，GuardDuty 可以對該備份執行惡意軟體掃描，以協助識別潛在的惡意內容，然後再還原到您的環境。

如何使用惡意軟體防護進行備份

您可以兩種模式使用此功能，取決於您的帳戶是否啟用 GuardDuty：

在啟用 GuardDuty 的情況下使用惡意軟體保護進行備份

在區域中啟用 GuardDuty 時， AWS Backup 會將惡意軟體防護與 GuardDuty 調查結果工作流程整合。除了 Amazon EventBridge 和 Amazon CloudWatch 之外，惡意軟體掃描結果會出現在 GuardDuty 調查結果中。
使用惡意軟體防護進行備份，而不啟用 GuardDuty

您可以獨立使用惡意軟體保護備份，而無需啟用完整的 GuardDuty 服務。在此模式中，掃描結果仍可透過 EventBridge 和 CloudWatch 完整取得。

獨立使用惡意軟體保護備份的考量事項

在不啟用 GuardDuty 的情況下使用此功能時：

備份計畫組態完全在 AWS Backup 中管理。

GuardDuty 不提供選取備份計畫、保存庫或資源類型的控制項。所有啟用、排程和政策組態都會保留在 AWS Backup 中。

不會產生 GuardDuty 調查結果。

問題清單需要偵測器 ID，只有在啟用 GuardDuty 時才會建立。獨立使用惡意軟體防護時，掃描結果只會透過 EventBridge 事件和 CloudWatch 指標顯示。

您仍然可以從 GuardDuty 主控台啟動隨需掃描。

即使未啟用 GuardDuty，GuardDuty 主控台也會提供工作流程，以啟動支援備份資源類型的隨需惡意軟體掃描。這可讓客戶使用熟悉的 GuardDuty 界面，而不需要完整的 GuardDuty 服務。

非 GuardDuty 客戶可以存取掃描啟動工作流程。

無論帳戶中是否存在 GuardDuty 偵測器，使用惡意軟體保護備份的所有客戶都可以使用隨需掃描進入點。

掃描行為和涵蓋範圍保持不變。

無論是否啟用 GuardDuty，此功能都會使用相同的惡意軟體偵測引擎掃描相同的 AWS Backup 資源類型。唯一的差別是結果的發佈位置。

此模型可讓客戶針對備份採用惡意軟體掃描，而不需要 GuardDuty 更廣泛的威脅偵測功能，同時仍提供選用的 GuardDuty 型工作流程，以啟動和檢視掃描操作。

Backup 的惡意軟體防護如何運作

Backup 的惡意軟體防護可以掃描下列受 AWS 備份保護的資源：

Amazon EBS 快照
Amazon EC2 AMIs
Amazon S3 復原點
在支援區域中使用 AWS Backup Vault Lock 鎖定的鎖定（不可變）保存庫 (EBS/EC2 復原點）

增量掃描

AWS 備份會擷取許多資源類型的增量變更。建立或更新備份時，GuardDuty 只能掃描新的或變更的區塊或物件，改善效能並減少掃描額外負荷，同時隨著時間達到完整涵蓋。

隨需掃描

您可以隨時從 AWS Backup 或 GuardDuty 主控台啟動任何支援的備份資源掃描。常見的使用案例包括在還原之前驗證備份、在發佈新的威脅簽章後重新檢查較舊的資料，或執行定期合規掃描。

注意

備份的惡意軟體防護只能針對相同區域中的備份資源啟用。
GuardDuty 會掃描備份的唯讀副本；不會修改備份內容。
掃描適用於標準保存庫和鎖定（不可變）保存庫。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

S3 配額的惡意軟體防護

運作方式