GuardDutyにはRecon:EC2/PortProbeUnprotectedPortというイベントがあります。既知のスキャナーがSSHやRDP接続を試みていることを知らせるイベントです。このイベントが本当に発動するのかSSHを0.0.0.0/0で許可したEC2を立てて確認しました。