스캔 상태 모니터링 및 결과 EC2용 멀웨어 보호 GuardDuty

각 EC2용 GuardDuty 멀웨어 보호 검사의 검사 상태를 모니터링할 수 있습니다. 스캔 상태의 가능한 값은 Completed, Running, Skipped, Failed입니다.

스캔이 완료되면 상태가 Completed인 스캔에 스캔 결과가 입력됩니다. 스캔 결과의 가능한 값은 Clean 및 Infected입니다. 스캔 유형을 사용하여 맬웨어 스캔이 GuardDuty initiated 또는 On demand였는지 여부를 식별할 수 있습니다.

각 맬웨어 스캔에 대한 스캔 결과의 보존 기간은 90일입니다. 선호하는 액세스 방법을 선택하여 맬웨어 스캔 상태를 추적합니다.

Console

https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.
탐색 창에서 맬웨어 스캔을 선택합니다.
필터 기준에서 사용할 수 있는 다음 속성을 기준으로 맬웨어 스캔을 필터링할 수 있습니다.
- 스캔 ID
- 계정 ID
- EC2 인스턴스 ARN
- 스캔 유형
- 스캔 상태
필터 기준에 사용되는 속성에 대한 자세한 내용은 결과 세부 정보 섹션을 참조하세요.

API/CLI

맬웨어 스캔에서 결과가 나오면 EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS 및 SCAN_START_TIME을 기준으로 맬웨어 스캔을 필터링할 수 있습니다.

GUARDDUTY_FINDING_ID필터 기준은 를 GuardDuty 시작할 때 사용할 수 있습니다. SCAN_TYPE 모든 필터 기준에 대한 내용은 결과 세부 정보 섹션을 참조하세요.
아래 명령에서 예시 filter-criteria를 변경할 수 있습니다. 현재는 한 번에 하나의 CriterionKey에 따라 필터링할 수 있습니다. CriterionKey에 대한 옵션은 EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS 및 SCAN_START_TIME입니다.

아래와 같이 CriterionKey를 사용하는 경우 예시 EqualsValue를 유효한 자체 AWS scan-id로 바꿔야 합니다.

예시 detector-id를 유효한 자체 detector-id로 바꿉니다. max-results(최대 50) 및 sort-criteria를 변경할 수 있습니다. AttributeName은 필수이며 scanStartTime이어야 합니다.
```
aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
이 명령의 응답에는 영향을 받는 리소스 및 맬웨어 결과(Infected인 경우)에 대한 세부 정보가 포함된 최대 1개의 결과가 표시됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

시작하기

GuardDuty 서비스 계정