本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# GuardDuty 中的隨需惡意軟體掃描
隨需惡意軟體掃描可協助您偵測連接到 Amazon EC2 執行個體之 Amazon Elastic Block Store (Amazon EBS) 磁碟區的惡意軟體。不需要組態,您可以提供您要掃描的 Amazon EC2 執行個體的 Amazon Resource Name (ARN),以啟動隨需惡意軟體掃描。您可以透過 GuardDuty 主控台或 API 啟動隨需惡意軟體掃描。在啟動隨需惡意軟體掃描之前,您可以設定偏好的 [快照保留](malware-protection-customizations.md#mp-snapshots-retention) 設定。下列案例可協助您識別何時使用 GuardDuty 的隨需惡意軟體掃描類型:
+ 您想要偵測 Amazon EC2 執行個體中是否存在惡意軟體,而不啟用 GuardDuty 起始的惡意軟體掃描。
+ 您已啟用 GuardDuty 起始的惡意軟體掃描,並自動調用掃描。遵循所產生之 EC2 問題清單類型的惡意軟體防護建議補救措施後,如果您想要在相同資源上開始掃描,您可以在從先前的掃描開始時間經過 1 小時後開始隨需惡意軟體掃描。
隨需惡意軟體掃描不需要從上一次惡意軟體掃描開始經過 24 小時。在相同資源上啟動隨需惡意軟體掃描之前,應等候一小時。若要避免在同一 EC2 執行個體上重複惡意軟體掃描,請參閱[重新掃描先前掃描的 Amazon EC2 執行個體](initiate-on-demand-scan-on-same-resource.md)。
**注意**
GuardDuty 的 30 天免費試用期不包含隨需惡意軟體掃描。使用費適用於每次惡意軟體掃描過程所掃描的 Amazon EBS 磁碟區總數。如需詳細資訊,請參閱 [Amazon GuardDuty 定價](https://aws.amazon.com/guardduty/pricing/#Pricing_by_region)。如需有關建立 Amazon EBS 磁碟區快照的成本及保留的相關資訊,請參閱 [Amazon EBS 定價](https://aws.amazon.com/ebs/pricing/)。
## 隨需惡意軟體掃描的運作方式
透過隨需惡意軟體掃描,即使 Amazon EC2 執行個體目前正在使用,您也可以啟動惡意軟體掃描請求。啟動隨需惡意軟體掃描後,GuardDuty 會建立連接至 Amazon EC2 執行個體的 Amazon EBS 磁碟區的快照,該執行個體提供掃描的 Amazon Resource Name (ARN)。接下來,GuardDuty 與 [GuardDuty 服務帳戶](gdu-service-account-region-list.md)共用這些快照。GuardDuty 會用來自 GuardDuty 服務帳戶中的快照建立加密複本 EBS 磁碟區。如需有關如何掃描 Amazon EBS 磁碟區的詳細資訊,請參閱[GuardDuty 如何掃描 EBS 磁碟區以進行惡意軟體偵測](guardduty_malware_protection-ebs-volume-data.md)。
**注意**
GuardDuty 會在您啟動隨需惡意軟體掃描point-in-time,建立已寫入 Amazon EBS 磁碟區的資料快照。
如果發現惡意軟體,且您已啟用快照保留設定,EBS 磁碟區的快照會自動保留在您的 AWS 帳戶中。隨需惡意軟體掃描會產生[EC2 調查結果類型的惡意軟體防護](findings-malware-protection.md)。如果找不到惡意軟體,則無論快照保留設定為何,都會刪除 EBS 磁碟區的快照。
GuardDuty 使用全域標籤金鑰 `GuardDutyExcluded`,您可以將其新增至 Amazon EC2 資源,並將標籤值設定為 `true`。此具有此標籤索引鍵和值對的 Amazon EC2 資源將從惡意軟體掃描中排除。這兩種掃描類型 (GuardDuty 起始的惡意軟體掃描和隨需惡意軟體掃描) 都支援全域標籤。如果您在 Amazon EC2 上啟動隨需惡意軟體掃描,將產生掃描 ID。不過,系統會略過掃描並說明`EXCLUDED_BY_SCAN_SETTINGS`原因。如需詳細資訊,請參閱[惡意軟體掃描期間略過資源的原因](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)。