本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 監控掃描狀態並導致 EC2 的惡意軟體防護
<a name="malware-protection-scans"></a>

在 Amazon EC2 執行個體上啟動惡意軟體掃描後，GuardDuty 會自動提供狀態和結果欄位。您可以透過轉換來監控狀態，並檢視是否偵測到惡意軟體。下表提供與惡意軟體掃描相關聯的可能值。


| Category | 可能的值 | 
| --- | --- | 
| 掃描狀態 | `Running`、`Completed`、 `Skipped`或 `Failed` | 
| 掃描結果[*](#scan-result-malwalre-protection-ec2) | `Clean` 或 `Infected` | 
| 掃描類型 | `GuardDuty initiated` 或 `On demand` | 

\*只有當掃描狀態變為 時，才會填入掃描結果`Completed`。掃描結果`Infected`表示 GuardDuty 偵測到存在惡意軟體。

每種惡意軟體掃描的掃描結果的保留期為 90 天。選擇您偏好的存取方式，以便追蹤惡意軟體掃描狀態。

------
#### [ Console ]

1. 開啟 GuardDuty 主控台，網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。

1. 在導覽窗格中，選擇 **EC2 惡意軟體掃描**。

1. 您可以依篩選條件*搜尋列*中可用的下列**屬性**來篩選惡意軟體掃描。
   + **掃描 ID** – 與 EC2 惡意軟體掃描相關聯的唯一識別符。
   + **帳戶 ID** – 啟動惡意軟體掃描的 AWS 帳戶 ID。
   + **EC2 執行個體 ARN** – 與掃描相關聯的 Amazon EC2 執行個體相關聯的 Amazon Resource Name (ARN)。
   + **掃描狀態** – EBS 磁碟區的掃描狀態，例如**執行**中、**略過**和**已完成**
   + **掃描類型** – 指出這是隨需惡意軟體掃描或 GuardDuty 起始的惡意軟體掃描。

------
#### [ API/CLI ]
+ 在惡意軟體掃描有掃描結果之後，請使用 [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html) 根據 `EC2_INSTANCE_ARN`、`SCAN_ID`、、`ACCOUNT_ID``SCAN_TYPE``GUARDDUTY_FINDING_ID`、 `SCAN_STATUS`和 來篩選惡意軟體掃描`SCAN_START_TIME`。

  當 `SCAN_TYPE` GuardDuty 啟動時，就可以使用 `GUARDDUTY_FINDING_ID` 篩選條件。
+ 您可以在下面的命令中更改示例{{篩選條件}}。目前，您可以一次篩選一個 `CriterionKey`。`CriterionKey` 的選項包括 `EC2_INSTANCE_ARN`、`SCAN_ID`、`ACCOUNT_ID`、`SCAN_TYPE`、`GUARDDUTY_FINDING_ID`、`SCAN_STATUS` 和 `SCAN_START_TIME`。

  您可以更改{{最大結果}} (最多 50 個) 和{{排序條件}}。`AttributeName` 是必要選項，必須是 `scanStartTime`。

  在下列範例中，{{紅色}}的值是預留位置。將它們取代為您的 帳戶適用的值。例如，將範例 `detector-id` {{60b8777933648562554d637e0e4bb3b2}} 取代為您自己的有效 `detector-id`。如果您使用與下面相同的 `CriterionKey`，請確保用您自己的有效 AWS {{scan-id}} 取代範例 `EqualsValue`。

  ```
  aws guardduty describe-malware-scans --detector-id {{60b8777933648562554d637e0e4bb3b2}} --max-results {{1}} --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "{{DESC}}"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"{{SCAN_ID}}", "FilterCondition":{"EqualsValue":"{{123456789012}}"}}] }'
  ```
+ 此命令的回應最多會顯示一個結果，其中包含有關受影響資源和惡意軟體調查結果的詳細資訊 (如果是 `Infected`)。

------