本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 監控掃描狀態並導致 EC2 的惡意軟體防護
<a name="malware-protection-scans"></a>

在 Amazon EC2 執行個體上啟動惡意軟體掃描後，GuardDuty 會自動提供狀態和結果欄位。您可以透過轉換監控狀態，並檢視是否偵測到惡意軟體。下表提供與惡意軟體掃描相關聯的可能值。


| Category | 可能的值 | 
| --- | --- | 
|  掃描狀態  |  `Running`、`Skipped`、 `Completed`或 `Failed`  | 
|  掃描結果[*](#scan-result-malwalre-protection-ec2)  |  `Clean` 或 `Infected`  | 
|  掃描類型  |  `GuardDuty initiated` 或 `On demand`  | 

\$1只有當掃描狀態變為 時，才會填入掃描結果`Completed`。掃描結果`Infected`表示 GuardDuty 偵測到存在惡意軟體。

每種惡意軟體掃描的掃描結果的保留期為 90 天。選擇您偏好的存取方式，以便追蹤惡意軟體掃描狀態。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在導覽窗格中，選擇 **EC2 惡意軟體掃描**。

1. 您可以依篩選條件*搜尋列*中可用的下列**屬性**來篩選惡意軟體掃描。
   + **掃描 ID** – 與 EC2 惡意軟體掃描相關聯的唯一識別符。
   + **帳戶 ID** – 啟動惡意軟體掃描的 AWS 帳戶 ID。
   + **EC2 執行個體 ARN** – 與掃描相關聯的 Amazon EC2 執行個體相關聯的 Amazon Resource Name (ARN)。
   + **掃描狀態** – EBS 磁碟區的掃描狀態，例如**執行**中、**略過**和**已完成**
   + **掃描類型** – 指出這是隨需惡意軟體掃描還是 GuardDuty 起始的惡意軟體掃描。

------
#### [ API/CLI ]
+ 在惡意軟體掃描有掃描結果之後，請使用 [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html) 根據 `EC2_INSTANCE_ARN`、`SCAN_ID`、、`ACCOUNT_ID``SCAN_TYPE``GUARDDUTY_FINDING_ID`、 `SCAN_STATUS`和 來篩選惡意軟體掃描`SCAN_START_TIME`。

  當 `SCAN_TYPE` GuardDuty 啟動時，就可以使用 `GUARDDUTY_FINDING_ID` 篩選條件。
+ 您可以在下面的命令中更改示例*篩選條件*。目前，您可以一次篩選一個 `CriterionKey`。`CriterionKey` 的選項包括 `EC2_INSTANCE_ARN`、`SCAN_ID`、`ACCOUNT_ID`、`SCAN_TYPE`、`GUARDDUTY_FINDING_ID`、`SCAN_STATUS` 和 `SCAN_START_TIME`。

  您可以更改*最大結果* (最多 50 個) 和*排序條件*。`AttributeName` 是必要選項，必須是 `scanStartTime`。

  在下列範例中，*紅色*的值是預留位置。將它們取代為您的 帳戶適用的值。例如，將範例 `detector-id` *60b8777933648562554d637e0e4bb3b2* 取代為您自己的有效 `detector-id`。如果您使用與下面相同的 `CriterionKey`，請確保用您自己的有效 AWS *scan-id* 取代範例 `EqualsValue`。

  ```
  aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  ```
+ 此命令的回應最多會顯示一個結果，其中包含有關受影響資源和惡意軟體調查結果的詳細資訊 (如果是 `Infected`)。

------