EC2용 멀웨어 보호의 사용자 지정

이 단원에서는 맬웨어 스캔이 호출될 때 온디맨드로 시작되거나 온디맨드를 통해 시작될 때 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 대한 검사 옵션을 사용자 지정하는 방법을 설명합니다. GuardDuty

일반 설정

스냅샷 보존

GuardDuty EBS 볼륨의 스냅샷을 계정에 보관할 수 있는 옵션을 제공합니다. AWS 기본적으로 스냅샷 보존 설정은 해제되어 있습니다. 스캔이 시작되기 전에 이를 설정한 경우에만 스냅샷이 유지됩니다.

스캔이 시작되면 EBS 볼륨의 스냅샷을 기반으로 복제 EBS 볼륨을 GuardDuty 생성합니다. 스캔이 완료되고 계정의 스냅샷 보존이 이미 설정되어 있으면 맬웨어가 발견되어 EC2용 멀웨어 보호 검색 유형이 생성된 경우에만 EBS 볼륨의 스냅샷이 유지됩니다. 스냅샷 보존 설정을 켰는지 여부에 관계없이 멀웨어가 탐지되지 않으면 EBS 볼륨의 스냅샷이 GuardDuty 자동으로 삭제됩니다.

스냅샷 사용 비용

맬웨어 스캔 중에 Amazon EBS 볼륨의 스냅샷이 GuardDuty 생성되므로 이 단계와 관련된 사용 비용이 발생합니다. 계정에서 스냅샷 보존을 설정한 경우 맬웨어가 발견되고 스냅샷이 유지되면 이에 따른 사용 비용이 발생합니다. 스냅샷 비용 및 보존에 대한 내용은 Amazon EBS 요금을 참조하세요.

선호하는 액세스 방법을 선택하여 스냅샷 보존을 설정합니다.

Console

1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

2. 탐색 창의 보호 플랜에서 EC2용 멀웨어 보호를 선택합니다.

3. 콘솔 하단 섹션에서 일반 설정을 선택합니다. 스냅샷을 유지하려면 스냅샷 보존을 설정합니다.

API/CLI

1. UpdateMalwareScanSettings를 실행하여 스냅샷 보존 설정의 현재 구성을 업데이트하십시오.

2. 또는 다음 AWS CLI 명령을 실행하여 GuardDuty Malware Protection for EC2가 탐지 결과를 생성할 때 스냅샷을 자동으로 보존할 수 있습니다.

   detector-id를 유효한 자체 detectorId로 바꿔야 합니다.

3. 계정 및 현재 지역에 detectorId 맞는 항목을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 API를 실행하십시오. ListDetectors

   aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

4. 스냅샷 보존을 해제하려면 RETENTION_WITH_FINDING을 NO_RETENTION으로 바꿉니다.

사용자 정의 태그를 사용하는 스캔 옵션

또한 GuardDuty 시작된 멀웨어 스캔을 사용하면 Amazon EC2 인스턴스 및 Amazon EBS 볼륨을 검사 및 위협 탐지 프로세스에서 포함하거나 제외하도록 태그를 지정할 수도 있습니다. 포함 또는 제외 태그 목록에서 태그를 편집하여 GuardDuty 시작된 각 맬웨어 검사를 사용자 지정할 수 있습니다. 각 목록에는 최대 50개의 태그가 포함될 수 있습니다.

EC2 리소스에 연결된 사용자 정의 태그가 아직 없는 경우 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태그 지정 또는 Amazon EC2 사용 설명서에서 Amazon EC2 리소스 태그 지정을 참조하십시오.

참고

온디맨드 맬웨어 스캔은 사용자 정의 태그를 사용하는 스캔 옵션을 지원하지 않습니다. 글로벌 GuardDutyExcluded 태그를 지원합니다.

맬웨어 스캔에서 EC2 인스턴스 제외

스캔 프로세스 중에 Amazon EC2 인스턴스 또는 Amazon EBS 볼륨을 제외하려는 경우, 모든 Amazon EC2 인스턴스 또는 Amazon EBS true 볼륨에 대해 GuardDutyExcluded 태그를 로 설정하고 스캔하지 않을 수 있습니다. GuardDuty GuardDutyExcluded 태그에 대한 자세한 내용은 EC2용 멀웨어 보호를 위한 서비스 연결 역할 권한 섹션을 참조하세요. 또한 Amazon EC2 인스턴스 태그를 제외 목록에 추가할 수 있습니다. 제외 태그 목록에 여러 태그를 추가하면 이러한 태그 중 하나 이상을 포함하는 모든 Amazon EC2 인스턴스가 맬웨어 스캔 프로세스에서 제외됩니다.

선호하는 액세스 방법을 선택하여 Amazon EC2 인스턴스와 연결된 태그를 제외 목록에 추가합니다.

Console

1. https://console.aws.amazon.com/guardduty/ 에서 콘솔을 엽니다. GuardDuty

2. 탐색 창의 보호 플랜에서 EC2용 멀웨어 보호를 선택합니다.

3. 포함/제외 태그 섹션을 확장합니다. 태그 추가를 선택합니다.

4. 제외 태그를 선택한 다음 확인을 선택합니다.

5. 제외하려는 태그의 Key 및 Value 쌍을 지정합니다. Value 입력은 선택 사항입니다. 태그를 모두 추가한 후 저장을 선택합니다.

   중요

   태그 키와 값은 대/소문자를 구분합니다. 자세한 내용은 Amazon EC2 사용 설명서의 태그 제한 또는 Amazon EC2 사용 설명서의 태그 제한을 참조하십시오.

   키 값이 제공되지 않고 EC2 인스턴스에 지정된 키 태그가 지정된 경우, 이 EC2 인스턴스는 태그에 할당된 값에 관계없이 GuardDuty 시작된 멀웨어 스캔 프로세스에서 제외됩니다.

API/CLI

• EC2 인스턴스 또는 컨테이너 워크로드를 스캔 프로세스에서 제외하여 맬웨어 스캔 설정을 업데이트합니다.

  다음 AWS CLI 예제 명령은 제외 태그 목록에 새 태그를 추가합니다. 예시 detector-id를 유효한 자체 detectorId로 바꿔야 합니다.

  MapEquals는 Key/Value 쌍의 목록입니다.

  계정과 현재 지역에 detectorId 맞는 항목을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 API를 실행하세요. ListDetectors

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  중요

  태그 키와 값은 대/소문자를 구분합니다. 자세한 내용은 Amazon EC2 사용 설명서의 태그 제한 또는 Amazon EC2 사용 설명서의 태그 제한을 참조하십시오.

맬웨어 스캔에 EC2 인스턴스 포함

EC2 인스턴스를 스캔하려면 포함 목록에 해당 태그를 추가합니다. 포함 태그 목록에 태그를 추가하면 추가된 태그가 하나도 포함되지 않은 EC2 인스턴스는 맬웨어 스캔에서 제외됩니다. 포함 태그 목록에 여러 태그를 추가한 경우 해당 태그 중 하나 이상이 포함된 EC2 인스턴스가 맬웨어 스캔에 포함됩니다. 스캔 프로세스 도중 EC2 인스턴스를 건너뛰는 경우가 있습니다. 자세한 정보는 맬웨어 스캔 중에 리소스를 건너뛴 이유을 참조하세요.

선호하는 액세스 방법을 선택하여 EC2 인스턴스와 연결된 태그를 포함 목록에 추가합니다.

Console

1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

2. 탐색 창의 보호 플랜에서 EC2용 멀웨어 보호를 선택합니다.

3. 포함/제외 태그 섹션을 확장합니다. 태그 추가를 선택합니다.

4. 포함 태그를 선택한 다음 확인을 선택합니다.

5. 새 포함 태그 추가를 선택하고 포함하려는 태그의 Key 및 Value 쌍을 지정합니다. Value 입력은 선택 사항입니다.

   포함 태그를 모두 추가한 후 저장을 선택합니다.

   키 값이 제공되지 않은 경우 EC2 인스턴스에 지정된 키 태그가 지정되면 태그에 할당된 값에 관계없이 EC2 인스턴스는 EC2용 멀웨어 보호 검사 프로세스에 포함됩니다.

API/CLI

• 맬웨어 스캔 설정을 업데이트하여 EC2 인스턴스 또는 컨테이너 워크로드를 스캔 프로세스에 포함합니다.

  다음 AWS CLI 예제 명령은 포함 태그 목록에 새 태그를 추가합니다. 예시 detector-id를 유효한 자체 detectorId로 바꿔야 합니다. TestKey예제와 를 EC2 리소스에 연결된 태그의 Key 및 Value 쌍으로 바꾸십시오. TestValue

  MapEquals는 Key/Value 쌍의 목록입니다.

  계정과 현재 지역의 태그를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 API를 실행하십시오. detectorId ListDetectors

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  중요

  태그 키와 값은 대/소문자를 구분합니다. 자세한 내용은 Amazon EC2 사용 설명서의 태그 제한 또는 Amazon EC2 사용 설명서의 태그 제한을 참조하십시오.

참고

새 태그를 탐지하는 데 최대 5분이 걸릴 GuardDuty 수 있습니다.

언제든지 포함 태그 또는 제외 태그 중 하나를 선택할 수 있지만 둘 다 선택할 수는 없습니다. 태그를 전환하려면 새 태그를 추가할 때 드롭다운 메뉴에서 해당 태그를 선택하고 선택을 확인합니다. 이 작업을 수행하면 현재 태그가 모두 지워집니다.

글로벌 GuardDutyExcluded 태그

기본적으로 EBS 볼륨의 스냅샷은 GuardDutyScanId 태그로 생성됩니다. 이 태그를 제거하면 스냅샷에 액세스할 수 GuardDuty 없으므로 제거하지 마십시오. EC2용 멀웨어 보호의 두 스캔 유형 모두 태그가 로 설정된 Amazon EC2 인스턴스 또는 Amazon EBS 볼륨을 스캔하지 않습니다. GuardDutyExcluded true EC2용 멀웨어 보호가 이러한 리소스를 스캔하는 경우 스캔 ID는 생성되지만 어떤 이유에서든 스캔을 건너뛰게 됩니다. EXCLUDED_BY_SCAN_SETTINGS 자세한 정보는 맬웨어 스캔 중에 리소스를 건너뛴 이유을 참조하세요.