Amazon VPC 엔드포인트를 수동으로 생성 보안 에이전트 수동 설치 메모리 부족 오류 GuardDuty 보안 에이전트 설치 상태 검증

Amazon EC2 인스턴스의 보안 에이전트를 수동으로 관리

런타임 모니터링을 활성화한 후에는 GuardDuty 보안 에이전트를 수동으로 설치해야 합니다. 에이전트를 GuardDuty 설치하면 Amazon EC2 인스턴스로부터 런타임 이벤트를 수신합니다.

GuardDuty 보안 에이전트를 관리하려면 Amazon VPC 엔드포인트를 생성한 다음 단계에 따라 보안 에이전트를 수동으로 설치해야 합니다.

Amazon VPC 엔드포인트를 수동으로 생성

GuardDuty 보안 에이전트를 설치하려면 먼저 Amazon 가상 사설 클라우드 (AmazonVPC) 엔드포인트를 생성해야 합니다. 이렇게 하면 Amazon EC2 인스턴스의 런타임 이벤트를 GuardDuty 수신하는 데 도움이 됩니다.

참고

VPC엔드포인트 사용에 따른 추가 비용은 없습니다.

Amazon VPC 엔드포인트를 만들려면

에 로그인하십시오. AWS Management Console 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.
탐색 창의 VPC프라이빗 클라우드에서 엔드포인트를 선택합니다.
엔드포인트 생성을 선택합니다.
엔드포인트 생성 페이지에서 서비스 범주에 대해 기타 엔드포인트 서비스를 선택합니다.
서비스 이름에 com.amazonaws.us-east-1.guardduty-data를 입력합니다.

반드시 교체하세요.us-east-1 고객님과 AWS 리전. 이 지역은 사용자 소유의 Amazon EC2 인스턴스와 동일해야 합니다. AWS 계정 ID.
서비스 확인을 선택합니다.
서비스 이름이 성공적으로 확인되면 인스턴스가 VPC있는 위치를 선택합니다. 다음 정책을 추가하여 Amazon VPC 엔드포인트 사용을 지정된 계정으로만 제한하십시오. 이 정책 아래에 제공된 조직 Condition을 사용하여 다음 정책을 업데이트하고 엔드포인트에 대한 액세스를 제한할 수 있습니다. 조직의 특정 계정에 IDs Amazon VPC 엔드포인트 지원을 제공하려면 을 참조하십시오Organization condition to restrict access to your endpoint.
```
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "111122223333" 
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}
```
aws:PrincipalAccount계정 ID는 VPC 및 VPC 엔드포인트가 포함된 계정과 일치해야 합니다. 다음 목록은 VPC 엔드포인트를 다른 사람과 공유하는 방법을 보여줍니다. AWS 계정IDs:
- VPC엔드포인트에 액세스할 여러 계정을 지정하려면 다음 "aws:PrincipalAccount: "111122223333" 블록으로 대체하십시오.
```
"aws:PrincipalAccount": [
          "666666666666",
          "555555555555"
      ]
```
  반드시 교체하십시오. AWS 계정을 IDs VPC 엔드포인트에 액세스해야 하는 해당 계정의 계정으로 만드십시오. IDs
- 조직의 모든 구성원이 VPC 엔드포인트에 액세스할 수 있도록 하려면 다음 "aws:PrincipalAccount: "111122223333" 줄로 바꾸십시오.
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
  반드시 조직을 교체하세요.o-abcdef0123 조직 ID를 사용하세요.
- 조직 ID로 리소스에 액세스하는 것을 ResourceOrgID 제한하려면 정책에 사용자를 추가하세요. 자세한 내용은 IAM사용 설명서를 참조하십시오 aws:ResourceOrgID.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
추가 설정에서 DNS 이름 활성화를 선택합니다.
서브넷에서 인스턴스가 있는 서브넷을 선택합니다.
보안 그룹에서 사용자 VPC (또는 Amazon EC2 인스턴스) 의 인바운드 포트 443이 활성화된 보안 그룹을 선택합니다. 인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 Amazon VPC User VPC Guide의 보안 그룹 생성을 참조하십시오.

사용자 VPC (또는 인스턴스) 에 대한 인바운드 권한을 제한하는 중에 문제가 발생하는 경우 모든 IP 주소에서 인바운드 443 포트를 사용할 수 있습니다. (0.0.0.0/0) 하지만 해당 블록과 일치하는 IP 주소를 사용하는 것이 GuardDuty 좋습니다. CIDR VPC 자세한 내용은 Amazon VPC 사용 설명서의 VPC CIDR 블록을 참조하십시오.

보안 에이전트 수동 설치

GuardDuty Amazon EC2 인스턴스에 GuardDuty 보안 에이전트를 설치하는 다음 두 가지 방법을 제공합니다.

방법 1 - 사용 AWS Systems Manager — 이 방법을 사용하려면 Amazon EC2 인스턴스가 다음과 같아야 합니다. AWS Systems Manager 관리됩니다.
방법 2 - Linux 패키지 관리자 사용 — Amazon EC2 인스턴스가 있는지 여부에 관계없이 이 방법을 사용할 수 있습니다. AWS Systems Manager 관리형.

이 방법을 사용하려면 Amazon EC2 인스턴스가 다음과 같아야 합니다. AWS Systems Manager 에이전트를 관리한 다음 설치합니다.

AWS Systems Manager 관리형 아마존 EC2 인스턴스

Amazon EC2 인스턴스를 만들려면 다음 단계를 사용하십시오. AWS Systems Manager 관리형.

AWS Systems Manager관리를 도와줍니다. AWS 애플리케이션 end-to-end 및 리소스를 제공하고 대규모 보안 운영을 지원합니다.

다음을 사용하여 Amazon EC2 인스턴스를 관리하려면 AWS Systems Manager자세한 내용은 Amazon EC2 인스턴스용 Systems Manager 설정을 참조하십시오. AWS Systems Manager 사용 설명서.

다음 표는 새 GuardDuty 관리형을 보여줍니다. AWS Systems Manager 문서:

문서 이름	문서 유형	용도
`AmazonGuardDuty-RuntimeMonitoringSsmPlugin`	Distributor	GuardDuty 보안 에이전트를 패키징하기.
`AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`	Command	설치/제거 스크립트를 실행하여 보안 에이전트를 설치합니다. GuardDuty

에 대한 자세한 내용은 AWS Systems Manager, 의 Amazon EC2 Systems Manager 문서를 참조하십시오. AWS Systems Manager 사용 설명서.

데비안 서버용

에서 제공한 데비안 서버용 Amazon 머신 이미지 (AMIs) AWS 설치가 필요합니다. AWS Systems Manager 에이전트 (SSM에이전트). Amazon EC2 Debian Server 인스턴스를 SSM 관리하려면 추가 단계를 수행하여 SSM 에이전트를 설치해야 합니다. 취해야 할 단계에 대한 자세한 내용은 데비안 서버 인스턴스에 수동으로 SSM 에이전트 설치를 참조하십시오. AWS Systems Manager 사용자 가이드.

다음을 사용하여 EC2 Amazon용 GuardDuty 에이전트를 설치하려면 AWS Systems Manager

를 여십시오. AWS Systems Manager 에서 콘솔을 https://console.aws.amazon.com/systems-manager/실행하세요.
탐색 창에서 [문서] 를 선택합니다.
아마존 소유에서 선택하십시오AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin.
[명령 실행]을 선택합니다.
다음 실행 명령 파라미터를 입력합니다.
- 조치: 설치를 선택합니다.
- 설치 유형: 설치 또는 제거를 선택합니다.
- 이름: AmazonGuardDuty-RuntimeMonitoringSsmPlugin
- 버전: 비어 있는 경우 최신 버전의 GuardDuty 보안 에이전트를 받게 됩니다. 릴리스 버전에 대한 자세한 내용은 을 참조하십시오GuardDuty Amazon EC2 인스턴스용 보안 에이전트.
대상 Amazon EC2 인스턴스를 선택합니다. Amazon EC2 인스턴스를 하나 이상 선택할 수 있습니다. 자세한 내용은 단원을 참조하세요.AWS Systems Manager콘솔의 명령 실행: AWS Systems Manager 사용자 가이드
GuardDuty 에이전트 설치가 정상인지 확인하십시오. 자세한 내용은 GuardDuty 보안 에이전트 설치 상태 검증 단원을 참조하십시오.

이 방법을 사용하면 RPM 스크립트 또는 데비안 스크립트를 실행하여 GuardDuty 보안 에이전트를 설치할 수 있습니다. 운영 체제에 따라 원하는 방법을 선택할 수 있습니다.

RPM스크립트를 사용하여 OS 배포판 AL2 또는 AL2 023에 보안 에이전트를 설치합니다.
데비안 스크립트를 사용하여 OS 배포판 우분투 또는 데비안에 보안 에이전트를 설치하십시오. 지원되는 우분투 및 데비안 OS 배포판에 대한 자세한 내용은 을 참조하십시오. 아키텍처 요구 사항 검증

RPM installation

중요

시스템에 보안 에이전트 서명을 설치하기 전에 먼저 GuardDuty 보안 에이전트 RPM 서명을 확인하는 것이 좋습니다.

GuardDuty 보안 에이전트 RPM 서명을 확인하십시오.

템플릿 준비

적절한 공개 키, x86_64 서명, arm64 RPM RPM 서명 및 Amazon S3 버킷에서 호스팅되는 RPM 스크립트에 대한 해당 액세스 링크를 사용하여 명령을 준비하십시오. 의 값을 바꾸십시오. AWS 리전, AWS 계정 ID 및 RPM 스크립트에 액세스할 GuardDuty 에이전트 버전

공개 키:


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/publickey.pem

GuardDuty 보안 요원 RPM 서명:

x86_64의 서명 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.sig

arm64의 시그니처 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.sig

Amazon S3 버킷에 있는 RPM 스크립트로 연결되는 링크에 액세스하십시오.

x86_64용 액세스 링크 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.rpm

arm64용 액세스 링크 RPM


s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.rpm

AWS 리전	지역명	AWS 계정 ID
`eu-west-1`	유럽(아일랜드)	694911143906
`us-east-1`	미국 동부(버지니아 북부)	593207742271
`us-west-2`	미국 서부(오레곤)	733349766148
`eu-west-3`	유럽(파리)	665651866788
`us-east-2`	미국 동부(오하이오)	307168627858
`eu-central-1`	유럽(프랑크푸르트)	323658145986
`ap-northeast-2`	아시아 태평양(서울)	914738172881
`eu-north-1`	유럽(스톡홀름)	591436053604
`ap-east-1`	아시아 태평양(홍콩)	258348409381
`me-south-1`	중동(바레인)	536382113932
`eu-west-2`	유럽(런던)	892757235363
`ap-northeast-1`	아시아 태평양(도쿄)	533107202818
`ap-southeast-1`	아시아 태평양(싱가포르)	174946120834
`ap-south-1`	아시아 태평양(뭄바이)	251508486986
`ap-southeast-3`	아시아 태평양(자카르타)	510637619217
`sa-east-1`	남아메리카(상파울루)	758426053663
`ap-northeast-3`	아시아 태평양(오사카)	273192626886
`eu-south-1`	유럽(밀라노)	266869475730
`af-south-1`	아프리카(케이프타운)	197869348890
`ap-southeast-2`	아시아 태평양(시드니)	005257825471
`me-central-1`	중동 () UAE	000014521398
`us-west-1`	미국 서부(캘리포니아 북부)	684579721401
`ca-central-1`	캐나다(중부)	354763396469
`ca-west-1`	캐나다 서부(캘거리)	339712888787
`ap-south-2`	아시아 태평양(하이데라바드)	950823858135
`eu-south-2`	유럽(스페인)	919611009337
`eu-central-2`	유럽(취리히)	529164026651
`ap-southeast-4`	아시아 태평양(멜버른)	251357961535
`il-central-1`	이스라엘(텔아비브)	870907303882

템플릿 다운로드

다음 명령에서 적절한 공개 키, x86_64의 서명RPM, RPM arm64의 서명 및 Amazon S3 버킷에 호스팅된 RPM 스크립트에 대한 해당 액세스 링크를 다운로드하려면 계정 ID를 적절한 것으로 바꿔야 합니다. AWS 계정 현재 지역의 ID 및 지역.


aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.rpm ./amazon-guardduty-agent-1.3.1.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/x86_64/amazon-guardduty-agent-1.3.1.x86_64.sig ./amazon-guardduty-agent-1.3.1.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.3.1/publickey.pem ./publickey.pem

퍼블릭 키 가져오기

다음 명령을 사용하여 공개 키를 데이터베이스로 가져옵니다.
```
gpg --import publickey.pem
```
gpg는 가져오기에 성공한 것으로 표시됩니다.
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
```
서명 확인

다음 명령을 사용하여 서명을 확인합니다.
```
gpg --verify amazon-guardduty-agent-1.3.1.x86_64.sig amazon-guardduty-agent-1.3.1.x86_64.rpm
```
확인에 통과하면 아래 결과와 비슷한 메시지가 표시됩니다. 이제 를 사용하여 GuardDuty 보안 에이전트를 설치할 수 RPM 있습니다.

출력 예제:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D
```
확인에 실패하면 서명이 RPM 변조되었을 가능성이 있다는 의미입니다. 데이터베이스에서 공개 키를 제거하고 확인 프로세스를 다시 시도해야 합니다.

예시
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
다음 명령을 사용하여 데이터베이스에서 공개 키를 제거합니다.
```
gpg --delete-keys AwsGuardDuty
```
이제 확인 프로세스를 다시 시도하세요.

리눅스 또는 SSH macOS에서 연결할 수 있습니다.
다음 명령을 사용하여 GuardDuty 보안 에이전트를 설치합니다.
```
sudo rpm -ivh amazon-guardduty-agent-1.3.1.x86_64.rpm
```
GuardDuty 에이전트 설치가 정상인지 확인합니다. 단계에 대한 자세한 내용은 을 참조하십시오 GuardDuty 보안 에이전트 설치 상태 검증.

Debian installation

중요

컴퓨터에 설치하기 전에 GuardDuty 보안 에이전트 데비안 서명을 확인하는 것이 좋습니다.

GuardDuty 보안 에이전트의 데비안 서명을 확인하세요.

적절한 퍼블릭 키, amd64 데비안 패키지 서명, arm64 데비안 패키지 서명, Amazon S3 버킷에서 호스팅되는 데비안 스크립트에 대한 해당 액세스 링크를 위한 템플릿을 준비합니다.

다음 템플릿에서 의 값을 바꾸십시오. AWS 리전, AWS 계정 ID 및 데비안 패키지 스크립트에 액세스할 수 있는 GuardDuty 에이전트 버전.

공개 키:


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/publickey.pem

GuardDuty 보안 에이전트 데비안 서명:

amd64의 서명


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.sig

arm64의 시그니처


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.sig

Amazon S3 버킷의 데비안 스크립트로 연결되는 링크에 액세스하십시오.

amd64용 액세스 링크


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.deb

arm64용 액세스 링크


s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/arm64/amazon-guardduty-agent-1.3.1.arm64.deb

AWS 리전	지역명	AWS 계정 ID
`eu-west-1`	유럽(아일랜드)	694911143906
`us-east-1`	미국 동부(버지니아 북부)	593207742271
`us-west-2`	미국 서부(오레곤)	733349766148
`eu-west-3`	유럽(파리)	665651866788
`us-east-2`	미국 동부(오하이오)	307168627858
`eu-central-1`	유럽(프랑크푸르트)	323658145986
`ap-northeast-2`	아시아 태평양(서울)	914738172881
`eu-north-1`	유럽(스톡홀름)	591436053604
`ap-east-1`	아시아 태평양(홍콩)	258348409381
`me-south-1`	중동(바레인)	536382113932
`eu-west-2`	유럽(런던)	892757235363
`ap-northeast-1`	아시아 태평양(도쿄)	533107202818
`ap-southeast-1`	아시아 태평양(싱가포르)	174946120834
`ap-south-1`	아시아 태평양(뭄바이)	251508486986
`ap-southeast-3`	아시아 태평양(자카르타)	510637619217
`sa-east-1`	남아메리카(상파울루)	758426053663
`ap-northeast-3`	아시아 태평양(오사카)	273192626886
`eu-south-1`	유럽(밀라노)	266869475730
`af-south-1`	아프리카(케이프타운)	197869348890
`ap-southeast-2`	아시아 태평양(시드니)	005257825471
`me-central-1`	중동 () UAE	000014521398
`us-west-1`	미국 서부(캘리포니아 북부)	684579721401
`ca-central-1`	캐나다(중부)	354763396469
`ca-west-1`	캐나다 서부(캘거리)	339712888787
`ap-south-2`	아시아 태평양(하이데라바드)	950823858135
`eu-south-2`	유럽(스페인)	919611009337
`eu-central-2`	유럽(취리히)	529164026651
`ap-southeast-4`	아시아 태평양(멜버른)	251357961535
`il-central-1`	이스라엘(텔아비브)	870907303882

적절한 공개 키, amd64 서명, arm64 서명 및 Amazon S3 버킷에서 호스팅되는 데비안 스크립트에 대한 해당 액세스 링크를 다운로드하십시오.

다음 명령에서 계정 ID를 적절한 것으로 바꿉니다. AWS 계정 ID를 입력하고 지역을 현재 지역으로 지정하십시오.


aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.deb ./amazon-guardduty-agent-1.3.1.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/amd64/amazon-guardduty-agent-1.3.1.amd64.sig ./amazon-guardduty-agent-1.3.1.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.3.1/publickey.pem ./publickey.pem

퍼블릭 키를 데이터베이스로 가져옵니다.


gpg --import publickey.pem

gpg는 가져오기를 성공적으로 보여줍니다.


gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

서명 확인


gpg --verify amazon-guardduty-agent-1.3.1.amd64.sig amazon-guardduty-agent-1.3.1.amd64.deb

인증에 성공하면 다음 결과와 비슷한 메시지가 표시됩니다.

출력 예제:


gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456  7603 06C9 06A7 093F F49D

이제 데비안을 사용하여 GuardDuty 보안 에이전트를 설치할 수 있습니다.

하지만 확인에 실패하면 데비안 패키지의 서명이 변조되었을 가능성이 있다는 뜻입니다.

예시


gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"

다음 명령어를 사용하여 데이터베이스에서 퍼블릭 키를 제거하세요.


gpg --delete-keys AwsGuardDuty

이제 확인 프로세스를 다시 시도하세요.

리눅스 또는 SSH macOS에서 연결할 수 있습니다.
다음 명령을 사용하여 GuardDuty 보안 에이전트를 설치합니다.
```
sudo dpkg -i amazon-guardduty-agent-1.3.1.amd64.deb
```
GuardDuty 에이전트 설치가 정상인지 확인합니다. 단계에 대한 자세한 내용은 을 참조하십시오 GuardDuty 보안 에이전트 설치 상태 검증.

메모리 부족 오류

Amazon용 GuardDuty 보안 에이전트를 EC2 수동으로 설치하거나 업데이트하는 동안 out-of-memory 오류가 발생하는 경우 을 참조하십시오메모리 부족 오류 문제 해결.

GuardDuty 보안 에이전트 설치 상태 검증

GuardDuty 보안 에이전트를 설치하는 단계를 수행한 후 다음 단계를 사용하여 에이전트의 상태를 확인하십시오.

GuardDuty 보안 에이전트가 정상인지 확인하려면

리눅스 또는 SSH macOS에서 연결할 수 있습니다.
다음 명령을 실행하여 GuardDuty 보안 에이전트의 상태를 확인합니다.
```
sudo systemctl status amazon-guardduty-agent
```

보안 에이전트 설치 로그를 보려면 에서 확인할 수 있습니다/var/log/amzn-guardduty-agent/.

로그를 보려면 그렇게 sudo journalctl -u amazon-guardduty-agent 하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Amazon EC2 인스턴스의 경우 - 자동 에이전트

보안 에이전트를 수동으로 업데이트