本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定快照保留和 EC2 掃描涵蓋範圍
本節說明如何自訂 Amazon EC2 執行個體的惡意軟體掃描選項。這些自訂適用於隨需惡意軟體掃描和由 GuardDuty 啟動的惡意軟體掃描。您可以執行下列動作:
+ 啟用快照保留 – 在掃描之前啟用時,GuardDuty 會保留 GuardDuty 偵測到為惡意的 Amazon EBS 快照。
+ 選擇要掃描的 Amazon EC2 執行個體 – 使用標籤來從惡意軟體掃描中包含或排除特定 Amazon EC2 執行個體。
## 快照保留
GuardDuty 為您提供了在帳戶中保留 EBS 磁碟區快照的選項。 AWS 依預設,快照保留設定為關閉。只有在掃描開始前開啟此設定時,才會保留快照。
在掃描開始時,GuardDuty 會依據 EBS 磁碟區的快照產生複本 EBS 磁碟區。掃描完成且帳戶中的快照保留設定已開啟後,只有在找到惡意軟體並產生 [EC2 調查結果類型的惡意軟體防護](findings-malware-protection.md) 時,EBS 磁碟區的快照才會保留。如果找不到惡意軟體,則無論您的快照設定為何,GuardDuty 都會自動刪除 EBS 磁碟區的快照,除非在建立的快照上已啟用 [Amazon EBS 快照鎖定](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html)。
### 快照使用費
在惡意軟體掃描期間,GuardDuty 會建立 Amazon EBS 磁碟區的快照時,此步驟會產生相關的使用費。如果您開啟帳戶的快照保留設定,當發現惡意軟體並保留快照時,將會產生相同的使用費。如需快照成本及其保留的詳細資訊,請參閱 [Amazon EBS 定價](https://aws.amazon.com//ebs/pricing/)。
身為委派的 GuardDuty 管理員帳戶,只有您可以代表組織成員帳戶進行此更新。不過,如果成員帳戶[是由邀請方法管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html),他們可以自行進行此變更。如需詳細資訊,請參閱[管理員帳戶和成員帳戶關係](administrator_member_relationships.md)。
選擇您偏好的存取方式,以便開啟快照保留設定。
------
#### [ Console ]
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 在導覽窗格中的**保護計畫**下,選擇 ** EC2 的惡意軟體防護**。
1. 選擇主控台底部的**一般設定**。若要保留快照,請開啟**快照保留**。
------
#### [ API/CLI ]
執行 [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html) 來更新的目前快照保留設定的組態。
或者,您可以執行下列 AWS CLI 命令,在 GuardDuty Malware Protection for EC2 產生問題清單時自動保留快照。
確保使用您自己的有效 `detectorId` 取代 *detector-id*。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
如果您想要關閉快照保留功能,請使用 `NO_RETENTION` 取代 `RETENTION_WITH_FINDING`。
------
## 具有使用者定義標籤的掃描選項
透過使用 GuardDuty 起始的惡意軟體掃描,您也可以指定標籤,在掃描和威脅偵測過程中包含或排除 Amazon EC2 執行個體和 Amazon EBS 磁碟區。您可以編輯包含或排除標記清單中的標籤,以自訂 GuardDuty 起始的每次惡意軟體掃描。每個清單最多可包含 50 個標籤。
如果您還沒有與 EC2 資源相關聯的使用者定義標籤,請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *Amazon EC2 *資源。
**注意**
隨需惡意軟體掃描不支援具有使用者定義標籤的掃描選項 支援 [全域 `GuardDutyExcluded` 標籤](#mp-scan-options-gdu-excluded-tag)。
### 在惡意軟體掃描中排除 EC2 執行個體
如果您想要在掃描過程中排除任何 Amazon EC2 執行個體或 Amazon EBS 磁碟區,您可將任何 Amazon EC2 執行個體或 Amazon EBS 磁碟區的 `GuardDutyExcluded` 標籤設定為 `true`,GuardDuty 將不會掃描它。如需有關 `GuardDutyExcluded` 標籤的詳細資訊,請參閱[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)。您也可以將 Amazon EC2 執行個體標籤新增至排除清單。如果您在排除標籤清單中新增多個標籤,則包含其中至少一個標籤的任何 Amazon EC2 執行個體都將從惡意軟體掃描過程中排除。
身為委派的 GuardDuty 管理員帳戶,只有您可以代表組織成員帳戶進行此更新。不過,如果成員帳戶[是由邀請方法管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html),他們可以自行進行此變更。如需詳細資訊,請參閱[管理員帳戶和成員帳戶關係](administrator_member_relationships.md)。
選擇您偏好的存取方法,以便將與 Amazon EC2 執行個體關聯的標籤新增至排除清單。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中的**保護計畫**下,選擇 ** EC2 的惡意軟體防護**。
1. 展開**包含/排除標籤**區段。選擇 **Add tags (新增標籤)**。
1. 選擇**排除標籤**,然後選擇**確認**。
1. 指定您要排除的標籤 **Key** 和 **Value** 對。可選擇性提供 **Value**。新增所有標籤後,請選擇**儲存**。
**重要**
標籤鍵與值皆區分大小寫。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[標籤限制](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
如果未提供鍵值,且 EC2 執行個體已透過指定鍵標記,則無論標籤指派的值為何,此 EC2 執行個體都會從 GuardDuty 起始的惡意軟體掃描過程中排除。
------
#### [ API/CLI ]
從掃描程序排除 EC2 執行個體或容器工作負載,以執行 [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)。
下列 AWS CLI 範例命令會將新標籤新增至排除標籤清單。將範例 *detector-id* 取代為您自己的有效 `detectorId`。
`MapEquals` 是 `Key`/`Value` 對的清單。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
**重要**
標籤鍵與值皆區分大小寫。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[標籤限制](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
------
### 在惡意軟體掃描中包含 EC2 執行個體
如果要掃描 EC2 執行個體,請將其標籤新增至包含清單。當您將標籤新增至包含標籤清單時,惡意軟體掃描會略過不包含任何新增標籤的 EC2 執行個體。如果您在包含標籤清單中新增多個標籤,則惡意軟體掃描中會包含至少包含其中一個標籤的 EC2 執行個體。有時,EC2 執行個體可能會在掃描過程中因為其他原因而略過。如需詳細資訊,請參閱[惡意軟體掃描期間略過資源的原因](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)。
身為委派的 GuardDuty 管理員帳戶,只有您可以代表組織成員帳戶進行此更新。不過,如果成員帳戶[是由邀請方法管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html),他們可以自行進行此變更。如需詳細資訊,請參閱[管理員帳戶和成員帳戶關係](administrator_member_relationships.md)。
選擇您偏好的存取方法,以便將與 EC2 執行個體關聯的標籤新增至包含清單。
------
#### [ Console ]
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中的**保護計畫**下,選擇 ** EC2 的惡意軟體防護**。
1. 展開**包含/排除標籤**區段。選擇 **Add tags (新增標籤)**。
1. 選擇**包含標籤**,然後選擇**確認**。
1. 選擇**新增包含標籤**,然後指定您要包含的標籤的 **Key** 和 **Value** 對。可選擇性提供 **Value**。
新增所有包含標籤之後,請選擇**儲存**。
如果未提供金鑰的值,EC2 執行個體會以指定的金鑰標記,則無論標籤的指派值為何,EC2 執行個體都會包含在 EC2 的惡意軟體防護掃描程序中。
------
#### [ API/CLI ]
+ 執行 [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html),以在掃描程序中包含 EC2 執行個體或容器工作負載。
下列 AWS CLI 範例命令會將新標籤新增至包含標籤清單。確保使用您自己的有效 `detectorId` 取代範例 *detector-id*。使用與 EC2 資源關聯的標籤的 `Key` 和 `Value` 對替換範例 *TestKey* 和 *TestValue*。
`MapEquals` 是 `Key`/`Value` 對的清單。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
**重要**
標籤鍵與值皆區分大小寫。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[標籤限制](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)。
------
**注意**
GuardDuty 最多可能需要 5 分鐘才會偵測到新標籤。
您可以隨時選擇**包含標籤**或**排除**標籤,但不能同時選擇兩者。如果您想要在標籤之間切換,請在新增標籤時從下拉式選單中選擇該標籤,然後**確認**您的選擇。此動作會清除所有目前的標籤。
## 全域 `GuardDutyExcluded` 標籤
GuardDuty 使用全域標籤金鑰 `GuardDutyExcluded`,您可以將其新增至 Amazon EC2 資源,並將標籤值設定為 `true`。具有此標籤索引鍵和值對的此 Amazon EC2 資源將從惡意軟體掃描中排除。這兩種掃描類型 (GuardDuty 起始的惡意軟體掃描和隨需惡意軟體掃描) 都支援全域標籤。如果您在 Amazon EC2 上啟動隨需惡意軟體掃描,將產生掃描 ID。不過,系統會略過掃描並說明`EXCLUDED_BY_SCAN_SETTINGS`原因。如需詳細資訊,請參閱[惡意軟體掃描期間略過資源的原因](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)。