기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon GuardDuty 결과 관리
GuardDuty는 결과를 정렬, 저장 및 관리하는 데 도움이 되는 몇 가지 중요한 특성을 제공합니다. 이러한 기능을 사용하면 특정 환경에 맞게 조사 결과를 조정하고, 가치가 낮은 조사 결과로 인한 노이즈를 줄이고, 고유한 AWS 환경에 대한 위협에 집중할 수 있습니다. 이 페이지의 항목을 검토하여 이러한 기능을 사용하여 사용자 환경에서 보안 조사 결과의 가치를 높일 수 있는 방법을 알아보세요.
**주제:**
[Amazon GuardDuty의 요약 대시보드](guardduty-summary.md)
GuardDuty 콘솔에 제공되는 요약 대시보드의 구성 요소에 대해 알아봅니다.
[GuardDuty에서 조사 결과 필터링](guardduty_filter-findings.md)
지정한 기준에 따라 GuardDuty 조사 결과를 필터링하는 방법을 알아봅니다.
[GuardDuty의 억제 규칙](findings_suppression-rule.md)
억제 규칙을 통해 GuardDuty에서 알리는 결과를 자동으로 필터링하는 방법을 알아봅니다. 억제 규칙은 필터를 기반으로 결과를 자동으로 보관합니다.
[엔터티 목록 및 IP 주소 목록을 사용하여 위협 탐지 사용자 지정](guardduty_upload-lists.md)
공개적으로 라우팅 가능한 IP 주소 기반의 IP 목록 및 위협 목록을 사용하여 GuardDuty 모니터링 범위를 사용자 지정합니다. 신뢰할 수 있는 IP 목록은 신뢰하는 것으로 간주하는 IP에서 DNS가 아닌 결과가 생성되지 않도록 방지하고, 위협 인텔리전스 목록은 사용자 정의 IP의 활동을 알리기 위해 GuardDuty를 실행합니다.
[생성된 조사 결과를 Amazon S3로 내보내기](guardduty_exportfindings.md)
생성된 조사 결과를 Amazon S3 버킷으로 내보내서 GuardDuty의 90일 조사 결과 보존 기간 이후에도 기록을 유지할 수 있습니다. 이 기록 데이터를 사용하여 계정에서 잠재적인 의심스러운 활동을 추적하고 권장 수정 단계가 성공적으로 수행되었는지 평가하세요.
[Amazon EventBridge를 사용하여 GuardDuty 조사 결과 처리](guardduty_findings_eventbridge.md)
Amazon EventBridge 이벤트를 통해 GuardDuty 조사 결과에 대한 자동 알림을 설정합니다. 또한 EventBridge를 통해 다른 작업을 자동화하면 조사 결과에 대응하는 데 도움이 될 수 있습니다.
[CloudWatch 로그 및 EC2용 맬웨어 보호 스캔 중에 리소스를 건너뛰는 이유 이해](malware-protection-auditing-scan-logs.md)
EC2용 GuardDuty 맬웨어 보호에 대해 CloudWatch 로그를 감사하는 방법과 스캔 프로세스 중에 영향을 받은 Amazon EC2 인스턴스 또는 Amazon EBS 볼륨이 건너뛰기되었을 수 있는 이유에 대해 알아봅니다.
[EC2용 맬웨어 보호에서 오탐지 보고](malware-protection-false-positives.md)
EC2용 맬웨어 보호에서 잠재적 오탐지 위협 탐지를 보고하는 방법을 알아봅니다.
[S3용 멀웨어 보호에서 S3 객체 검사 결과를 오탐으로 보고하는 경우거짓 양성 S3 객체 스캔 결과 보고](report-malware-protection-s3-false-positives.md)
S3용 멀웨어 보호에서 잠재적인 오탐지 위협을 보고하는 방법을 알아보세요.
[백업용 맬웨어 보호에서 거짓 긍정 보고](malware-protection-backup-false-positives.md)
백업용 맬웨어 보호에서 잠재적 오탐지 위협 탐지를 보고하는 방법을 알아봅니다.
# Amazon GuardDuty의 요약 대시보드
GuardDuty **요약** 대시보드는 현재의에서 생성된 GuardDuty 조사 결과에 AWS 계정 대한 집계된 보기를 제공합니다 AWS 리전.
GuardDuty 관리자 계정을 사용하는 경우, 대시보드에서는 해당 계정 및 조직 내 멤버 계정에 대한 집계된 통계 및 데이터를 제공합니다.
**요약 대시보드 보기**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
콘솔을 열면 GuardDuty는 기본적으로 **요약** 대시보드를 표시합니다.
1. **요약** 페이지의 콘솔 오른쪽 상단에 있는 리전 선택기 AWS 리전 에서 원하는을 선택합니다.
1. 날짜 범위 선택기 메뉴에서 요약을 보려는 날짜 범위를 선택합니다. 기본적으로 대시보드에는 현재 날짜인 **오늘**의 데이터를 표시합니다.
**참고**
선택한 날짜 범위 동안 조사 결과가 생성되지 않은 경우 대시보드에 표시할 데이터가 없습니다. 대시보드를 새로 고치거나 날짜 범위를 조정할 수 있습니다.
**Topics**
+ [개요](#understanding-guardduty-summary-overview)
+ [조사 결과](#understanding-guardduty-summary-findings-widget)
+ [가장 일반적인 결과 유형](#understanding-guardduty-summary-most-common-finding-types)
+ [심각도별 결과](#understanding-guardduty-summary-findings-by-sev)
+ [결과가 가장 많은 계정](#understanding-guardduty-summary-account-with-findings)
+ [결과가 있는 리소스](#understanding-guardduty-summary-resources-with-findings)
+ [발생 빈도가 가장 적은 결과](#understanding-guardduty-summary-least-occurring-findings)
+ [보호 플랜 적용 범위](#understanding-guardduty-summary-protection-plans-coverage)
## 개요
이 섹션은 다음 데이터를 제공합니다.
+ **공격 시퀀스**: 현재 리전의 계정에서 GuardDuty가 생성한 공격 시퀀스 조사 결과의 수를 나타냅니다.
GuardDuty는 계정에서 잠재적 다단계 공격을 탐지합니다. **공격 시퀀스**에서 *번호*를 선택하여 **조사 결과** 페이지에서 세부 정보를 볼 수 있습니다.
+ **총 결과**: 현재 리전의 계정에서 생성된 총 결과 수를 나타냅니다. 여기에는 개별 조사 결과와 공격 시퀀스 조사 결과가 모두 포함됩니다.
+ **조사 결과가 있는 리소스**: 조사 결과와 관련되어 있고 손상되었을 수 있는 리소스의 수를 나타냅니다.
+ **결과가 있는 계정**: 하나 이상의 결과가 생성된 계정 수를 나타냅니다. 독립형 계정인 경우 이 필드의 값은 **1**입니다.
**지난 7일** 및 **지난 30일** 기간의 경우 **개요** 패널에는 각각 주별(WoW) 또는 월별(MoM)로 생성된 결과의 백분율 차이가 표시될 수 있습니다. 이전 주 또는 달에 결과가 생성되지 않았고 비교할 데이터가 없는 경우 백분율 차이를 확인하지 못할 수도 있습니다.
![\[GuardDuty 요약 대시보드의 개요 섹션.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
GuardDuty 관리자 계정인 경우 이러한 모든 필드는 조직의 모든 멤버 계정에 대한 요약 데이터를 제공합니다.
## 조사 결과
**조사 결과** 위젯에는 최대 8개의 주요 조사 결과가 표시됩니다. 이러한 조사 결과는 심각도 수준에 따라 나열되며 *심각* 조사 결과가 먼저 표시됩니다.
기본적으로 모든 조사 결과를 볼 수 있습니다. 공격 시퀀스 조사 결과 데이터만 보려면 **상위 공격 시퀀스만** 켭니다.
이 목록에서 조사 결과를 선택하여 세부 정보를 볼 수 있습니다.
![\[GuardDuty 요약 대시보드의 조사 결과 위젯.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## 가장 일반적인 결과 유형
이 섹션에서는 현재 리전에서 생성된 가장 일반적인 조사 결과 유형 상위 5개를 보여주는 파이형 차트를 제공합니다. 파이 차트의 각 섹터 위에 마우스를 올려 놓으면 다음을 관찰할 수 있습니다.
+ **조사 결과 수**: 선택한 일자 범위에서 이 조사 결과가 생성된 횟수를 나타냅니다.
+ **심각도**: 조사 결과의 심각도 수준을 나타냅니다.
+ **백분율**: 합계를 기준으로 이 조사 결과 유형의 비율을 나타냅니다.
+ **최종 생성:** 이 조사 결과 유형이 마지막으로 탐지된 이후 경과된 시간을 나타냅니다.
## 심각도별 결과
이 섹션에는 선택한 날짜 범위의 총 조사 결과 수를 보여주는 막대 차트가 표시됩니다. 차트는 조사 결과를 심각도(*심각*, *높음*, *중간*, *낮음*)별로 분류하며 범위 내의 특정 날짜에 대한 조사 결과 수를 보는 데 도움이 됩니다.
특정 날짜의 각 심각도 수준에 대한 개수를 보려면 차트의 해당 막대 위에 마우스를 올려 놓습니다.
## 결과가 가장 많은 계정
이 섹션은 다음 데이터를 제공합니다.
+ **계정**: 결과가 생성된 AWS 계정 ID를 나타냅니다.
+ **결과 수**: 이 계정 ID에 대해 결과가 생성된 횟수를 나타냅니다.
+ **최종 생성:** 이 결과 유형이 이 계정 ID에서 마지막으로 생성된 이후 경과된 시간을 나타냅니다.
+ **심각도 필터**: 기본적으로 심각도가 높은 조사 결과 유형에 대한 데이터가 표시됩니다. 이 필드에 사용할 수 있는 옵션은 **모든 심각도**, **심각도 심각**, **심각도 높음**, **심각도 중간**입니다.
## 결과가 있는 리소스
이 섹션은 다음 데이터를 제공합니다.
+ **리소스**: 영향을 받을 수 있는 리소스 유형을 나타내고, 이 리소스가 계정에 속한 경우 빠른 링크에 액세스하여 리소스 세부 정보를 볼 수 있습니다. GuardDuty 관리자 계정인 경우 소유자 멤버 계정의 자격 증명으로 GuardDuty 콘솔에 액세스하여 잠재적으로 영향을 받을 수도 있는 리소스의 세부 정보를 볼 수 있습니다.
+ **계정**:이 리소스가 속한 AWS 계정 ID를 나타냅니다.
+ **결과 수**: 이 리소스가 결과와 연관된 횟수를 나타냅니다.
+ **최종 생성:** 이 리소스와 연관된 결과 유형이 마지막으로 생성된 이후 경과된 시간을 나타냅니다.
+ **리소스 유형 필터**: 기본적으로 모든 리소스 유형에 대한 데이터가 표시됩니다. 이 필터를 사용하여 **Instance**, **AccessKey**, **Lambda** 등과 같은 특정 리소스 유형의 데이터를 볼 수 있습니다.
+ **심각도 필터**: 기본적으로 **모든 심각도**에 대한 데이터가 표시됩니다. 이 필터를 사용하면 다른 심각도 수준의 데이터를 보도록 선택할 수 있습니다. 사용할 수 있는 옵션은 **심각도 심각**, **심각도 높음**, **심각도 중간** 및 **모든 심각도**입니다.
## 발생 빈도가 가장 적은 결과
이 섹션에서는 AWS 환경에서 자주 발생하지 않는 결과 유형을 강조합니다. 이 위젯은 잠재적인 긴급 위협 패턴을 식별하고 조사하는 데 도움이 되도록 설계되었습니다.
위젯에는 다음 데이터가 표시됩니다.
+ **조사 결과 유형**: 조사 결과 유형 이름을 나타냅니다.
+ **결과 수**: 선택한 시간 범위에서 이 결과 유형이 생성된 횟수를 나타냅니다.
+ **최종 생성:** 이 결과 유형이 마지막으로 생성된 이후 경과된 시간을 나타냅니다.
+ **심각도 필터**: 기본적으로 심각도가 높은 조사 결과 유형에 대한 데이터가 표시됩니다. 이 필드에 사용할 수 있는 옵션은 **심각도 심각**, **심각도 높음**, **심각도 중간** 및 **모든 심각도**입니다.
## 보호 플랜 적용 범위
이 섹션에는 조직의 멤버 계정에 대한 통계가 표시됩니다. 현재 리전에서 GuardDuty(기본 위협 탐지)를 활성화한 멤버 계정 수를 보여줍니다. 위임받은 GuardDuty 관리자만 조직 내 멤버 계정에 대한 통계를 볼 수 있습니다. 새 AWS 조직을 생성할 때 전체 조직에 대한 통계를 생성하는 데 최대 24시간이 걸릴 수 있습니다.
**이 위젯을 사용하는 방법**
+ **구성**: 보호 계획이 구성되지 않은 경우 **작업** 열에서 **구성**을 선택합니다.
+ **활성화된 계정 보기**: **활성화된 계정** 열의 막대 위로 마우스를 가져가면 각 보호 플랜을 활성화한 계정 수가 표시됩니다. 계정 세부 정보를 더 보려면 녹색 막대를 선택하고 **계정 보기**를 선택합니다.
![\[GuardDuty 요약 대시보드에서 멤버 계정에 대한 보호 계획 활성화 상태를 봅니다.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# GuardDuty에서 조사 결과 필터링
결과 필터를 사용하면 지정한 기준과 일치하는 결과를 보고 일치하지 않는 결과를 필터링할 수 있습니다. Amazon GuardDuty 콘솔을 사용하여 결과 필터를 손쉽게 생성하거나 JSON을 사용한 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API로 검색 필터를 생성할 수 있습니다. 콘솔에서 필터를 생성하는 방법을 이해하려면 다음 섹션을 검토하세요. 이러한 필터를 사용하여 발생한 결과를 자동으로 보관하려면 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 섹션을 참조하세요.
필터를 생성할 때 다음 목록을 고려하세요.
+ 특정 필터 기준으로 최소 1개부터 최대 50개까지 속성을 지정할 수 있습니다.
+ **같음** 또는 **같지 않음** 연산자를 사용하여 Account ID 같은 속성 값을 필터링하면 최대 50개의 값을 지정할 수 있습니다.
+ 각 필터 기준 속성은 `AND` 연산자로 평가됩니다. 동일한 속성에 대한 여러 개의 값은 `AND/OR`로 평가됩니다.
+ 각의에서 생성할 수 있는 저장된 필터의 최대 수 AWS 계정 에 대한 자세한 내용은 섹션을 AWS 리전참조하세요[GuardDuty 할당량](guardduty_limits.md).
다음 섹션에서는 GuardDuty 콘솔, API 및 CLI 명령을 사용하여 필터를 생성하고 저장하는 방법에 대한 지침을 제공합니다. 계속하려면 원하는 액세스 방법을 선택합니다.
## GuardDuty 콘솔에서 필터 설정 생성 및 저장
GuardDuty 콘솔을 통해 결과 필터를 생성하고 테스트할 수 있습니다. 콘솔을 통해 생성된 필터는 억제 규칙 또는 향후 필터 작업에 사용할 수 있도록 저장할 수 있습니다. 필터는 하나 이상의 필터 기준으로 구성되고, 이 기준은 하나 이상의 값과 쌍을 이루는 하나의 필터 속성으로 구성됩니다.
**필터 기준을 생성하고 저장하려면(콘솔)**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **조사 결과**를 선택합니다.
1. **조사 결과** 페이지에서 **저장된 규칙** 메뉴 옆의 *조사 결과 필터링* 막대를 선택합니다. 그러면 **속성 필터**의 확장된 목록이 표시됩니다.
![\[속성 필터를 선택하여 GuardDuty 콘솔에서 조사 결과를 필터링합니다.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. 확장된 필터 목록에서 조사 결과 테이블을 필터링할 기준이 되는 속성을 선택합니다.
예를 들어 잠재적으로 영향을 받을 수 있는 리소스가 **S3Bucket**인 조사 결과를 보려면 **리소스 유형**을 선택합니다.
1. **연산자**에서 원하는 결과를 얻기 위해 조사 결과를 필터링하는 데 도움이 되는 연산자를 선택합니다. 이전 단계의 예제를 계속하려면 **리소스 유형 =**을 선택합니다. 그러면 GuardDuty의 리소스 유형 목록이 표시됩니다.
![\[GuardDuty 콘솔에서 소가 결과를 필터링하기 위해 같음 또는 같지 않음 연산자를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
사용 사례에서 특정 조사 결과를 제외해야 하는 경우 **같지 않음** 또는 **\$1=** 연산자를 선택할 수 있습니다.
1. 선택한 속성 필터의 값을 지정합니다. 필요한 경우 **적용**을 선택합니다. 이전 단계의 예제를 계속하려면 **S3Bucket**을 선택하면 됩니다.
그러면 적용된 필터와 일치하는 조사 결과가 표시됩니다.
1. 필터 기준을 두 개 이상 추가하려면 3\$16단계를 반복합니다.
전체 속성 목록은 [GuardDuty의 속성 필터](#filter_criteria)을 참조하세요.
1.
**(선택 사항) 지정된 속성과 값을 필터로 저장합니다.**
나중에 이 필터 조합을 다시 적용하려면 지정된 속성과 해당 값을 필터 세트로 저장할 수 있습니다.
1. 속성 필터를 하나 이상 사용하여 필터 기준을 생성한 후 **필터 지우기** 메뉴에서 *화살표*를 선택합니다.
![\[조사 결과를 다시 필터링할 수 있도록 GuardDuty 콘솔에 필터 세트를 저장합니다.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. 필터 세트 **이름**을 입력합니다. 이름은 3\$164자여야 합니다. 유효한 문자는 a\$1z, A\$1Z, 0\$19, .(마침표), -(하이픈) 및 \$1(밑줄)입니다.
1. **설명**은 선택 사항입니다. 설명을 입력하면 최대 512자까지 입력할 수 있습니다.
1. **생성(Create)**을 선택합니다.
## GuardDuty API 및 CLI를 사용하여 필터 세트 생성 및 저장
API 또는 CLI 명령을 사용하여 조사 결과 필터를 생성하고 테스트할 수 있습니다. 필터는 하나 이상의 필터 기준으로 구성되고, 이 기준은 하나 이상의 값과 쌍을 이루는 하나의 필터 속성으로 구성됩니다. 나중에 [억제 규칙](findings_suppression-rule.md)을 생성하거나 다른 필터 작업을 수행하기 위해 필터를 저장할 수 있습니다.
**API/CLI를 사용하여 조사 결과 필터를 생성하려면**
+ 필터를 생성 AWS 계정 하려는의 리전 탐지기 ID를 사용하여 [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API를 실행합니다.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
+ 또는 [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) CLI를 사용하여 필터를 생성하고 저장할 수 있습니다. [GuardDuty의 속성 필터](#filter_criteria)에서 하나 이상의 필터 기준을 사용할 수 있습니다.
빨간색으로 표시된 자리 표시자 값을 대체하여 다음 예제를 사용합니다.
**예제 1**: 특정 조사 결과 유형과 일치하는 모든 조사 결과를 볼 수 있는 새 필터 생성
다음 예제에서는 특정 이미지에서 생성된 인스턴스의 모든 `PortScan` 조사 결과와 일치하는 필터를 생성합니다. 자리 표시자 값은 빨간색으로 표시됩니다. 이러한 값을 귀하의 계정에 적합한 값으로 바꿉니다. 예를 들어 *12abc34d567e8fa901bc2d34EXAMPLE*을 자체 리전 탐지기 ID로 바꿉니다.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**예제 2**: 심각도 수준과 일치하는 모든 조사 결과를 볼 수 있는 새 필터 생성
다음 예제에서는 `HIGH` 심각도 수준과 관련된 모든 결과와 일치하는 필터를 생성합니다. 자리 표시자 값은 빨간색으로 표시됩니다. 이러한 값을 귀하의 계정에 적합한 값으로 바꿉니다. 예를 들어 *12abc34d567e8fa901bc2d34EXAMPLE*을 자체 리전 탐지기 ID로 바꿉니다.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ API/CLI의 경우 [검색 조사 결과 심각도 수준](guardduty_findings-severity.md)는 숫자로 표시됩니다. 심각도 수준을 기준으로 조사 결과를 필터링하려면 다음 값을 사용합니다.
+ `LOW` 심각도 수준의 경우 `{ "severity": { "Equals": ["1", "2", "3"] } }` 사용
+ `MEDIUM` 심각도 수준의 경우 `{ "severity": { "Equals": ["4", "5", "6"] } }` 사용
+ `HIGH` 심각도 수준의 경우 `{ "severity": { "Equals": ["7", "8"] } }` 사용
+ `CRITICAL` 심각도 수준의 경우 `{ "severity": { "Equals": ["9", "10"] } }` 사용
+ 심각도 수준이 여러 개인 조사 결과의 경우 다음 예와 유사한 자리 표시자 값(`{ "severity": { "Equals": ["7", "8", "9", "10"] } }`)을 사용
이 예제에서는 `HIGH` 또는 `CRITICAL` 심각도 수준이 있는 조사 결과를 보여줍니다.
**참고**
심각도 수준과 연결된 모든 숫자 값 대신 숫자 값이 하나뿐인 예제를 지정하면 API 및 CLI에 필터링된 조사 결과가 표시될 수 있습니다. GuardDuty 콘솔에서 이 저장된 필터 세트를 사용하면 예상대로 작동하지 않습니다. 이는 GuardDuty 콘솔이 필터 값을 `CRITICAL`, `HIGH`, `MEDIUM` 및 `LOW`로 간주하기 때문입니다. 예를 들어 `{ "severity": { "Equals": ["9"] } }`를 포함하는 CLI 명령으로 생성된 필터는 API/CLI에 적절한 출력을 표시할 것으로 예상됩니다. 그러나 이 저장된 필터는 GuardDuty 콘솔에서 사용할 때 부분 심각도 수준을 포함하며 예상되는 출력을 표시하지 않습니다. 따라서 API 및 CLI가 각 심각도 수준과 연결된 모든 값을 지정해야 합니다.
## GuardDuty의 속성 필터
API 작업을 사용하여 필터를 만들거나 결과를 정렬할 때는 JSON에서 필터 기준을 지정해야 합니다. 이러한 필터 기준은 결과의 세부 정보 JSON과 상관관계가 있습니다. 다음 표에는 필터 속성에 대해 콘솔에 표시되는 이름 및 해당 JSON 필드 이름 목록이 나와 있습니다.
| 콘솔 필드 이름 | JSON 필드 이름 |
| --- | --- |
| 계정 ID | accountId |
| 결과 ID | id |
| 리전 | 리전 |
| 심각도 | severity 검색 결과 유형의 심각도 수준에 따라 검색 결과 유형을 필터링할 수 있습니다. 심각도 값에 대한 자세한 내용은 [GuardDuty 조사 결과의 심각도 수준](guardduty_findings-severity.md)를 참조하세요. API AWS CLI또는와 `severity` 함께 CloudFormation를 사용하는 경우 숫자 값이 할당됩니다. 자세한 내용은 *Amazon GuardDuty API 참조*에서 [findingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria)를 참조하세요. |
| 찾기 유형 | type |
| 업데이트된 시간 | updatedAt |
| 액세스 키 ID | resource.accessKeyDetails.accessKeyId |
| 보안 주체 ID | resource.accessKeyDetails.principalId |
| 사용자 이름 | resource.accessKeyDetails.userName |
| 사용자 유형 | resource.accessKeyDetails.userType |
| IAM 인스턴스 프로파일 ID | resource.instanceDetails.iamInstanceProfile.id |
| 인스턴스 ID | resource.instanceDetails.instanceId |
| 인스턴스 이미지 ID | resource.instanceDetails.imageId |
| 인스턴스 태그 키 | resource.instanceDetails.tags.key |
| 인스턴스 태그 값 | resource.instanceDetails.tags.value |
| IPv6 주소 | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| 프라이빗 IPv4 주소 | resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress |
| 공개 DNS 이름 | resource.instanceDetails.networkInterfaces.publicDnsName |
| 퍼블릭 IP | resource.instanceDetails.networkInterfaces.publicIp |
| 보안 그룹 ID | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| 보안 그룹 이름 | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| 서브넷 ID | resource.instanceDetails.networkInterfaces.subnetId |
| VPC ID | resource.instanceDetails.networkInterfaces.vpcId |
| Outpost ARN | resource.instanceDetails.outpostARN |
| 리소스 유형 | resource.resourceType |
| 버킷 권한 | resource.s3BucketDetails.publicAccess.effectivePermission |
| 버킷 이름 | resource.s3BucketDetails.name |
| 버킷 태그 키 | resource.s3BucketDetails.tags.key |
| 버킷 태그 값 | resource.s3BucketDetails.tags.value |
| 버킷 유형 | resource.s3BucketDetails.type |
| 작업 유형 | service.action.actionType |
| API 호출됨 | service.action.awsApiCallAction.api |
| API 호출자 유형 | service.action.awsApiCallAction.callerType |
| API 오류 코드 | service.action.awsApiCallAction.errorCode |
| API 호출자 도시 | service.action.awsApiCallAction.remoteIpDetails.city.cityName |
| API 호출자 국가 | service.action.awsApiCallAction.remoteIpDetails.country.countryName |
| API 호출자 IPv4 주소 | service.action.awsApiCallAction.remoteIpDetails.ipAddressV4 |
| API 호출자 IPv6 주소 | service.action.awsApiCallAction.remoteIpDetails.ipAddressV6 |
| API 호출자 ASN ID | service.action.awsApiCallAction.remoteIpDetails.organization.asn |
| API 호출자 ASN 이름 | service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg |
| API 호출자 서비스 이름 | service.action.awsApiCallAction.serviceName |
| DNS 요청 도메인 | service.action.dnsRequestAction.domain |
| DNS 요청 도메인 접미사 | service.action.dnsRequestAction.domainWithSuffix |
| 네트워크 연결 차단됨 | service.action.networkConnectionAction.blocked |
| 네트워크 연결 방향 | service.action.networkConnectionAction.connectionDirection |
| 네트워크 연결 로컬 포트 | service.action.networkConnectionAction.localPortDetails.port |
| 네트워크 연결 프로토콜 | service.action.networkConnectionAction.protocol |
| 네트워크 연결 도시 | service.action.networkConnectionAction.remoteIpDetails.city.cityName |
| 네트워크 연결 국가 | service.action.networkConnectionAction.remoteIpDetails.country.countryName |
| 네트워크 연결 원격 IPv4 주소 | service.action.networkConnectionAction.remoteIpDetails.ipAddressV4 |
| 네트워크 연결 원격 IPv6 주소 | service.action.networkConnectionAction.remoteIpDetails.ipAddressV6 |
| 네트워크 연결 원격 IP ASN ID | service.action.networkConnectionAction.remoteIpDetails.organization.asn |
| 네트워크 연결 원격 IP ASN 이름 | service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg |
| 네트워크 연결 원격 포트 | service.action.networkConnectionAction.remotePortDetails.port |
| 원격 계정 연결 | service.action.awsApiCallAction.remoteAccountDetails.affiliated |
| Kubernetes API 호출자 IPv4 주소 | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV4 |
| Kubernetes API 호출자 IPv6 주소 | service.action.kubernetesApiCallAction.remoteIpDetails.ipAddressV6 |
| Kubernetes 네임스페이스 | service.action.kubernetesApiCallAction.namespace |
| Kubernetes API 호출자 ASN ID | service.action.kubernetesApiCallAction.remoteIpDetails.organization.asn |
| Kubernetes API 호출 요청 URI | service.action.kubernetesApiCallAction.requestUri |
| Kubernetes API 상태 코드 | service.action.kubernetesApiCallAction.statusCode |
| 네트워크 연결 로컬 IPv4 주소 | service.action.networkConnectionAction.localIpDetails.ipAddressV4 |
| 네트워크 연결 로컬 IPv6 주소 | service.action.networkConnectionAction.localIpDetails.ipAddressV6 |
| 프로토콜 | service.action.networkConnectionAction.protocol |
| API 호출 서비스 이름 | service.action.awsApiCallAction.serviceName |
| API 호출자 계정 ID | service.action.awsApiCallAction.remoteAccountDetails.accountId |
| 위협 목록 이름 | service.additionalInfo.threatListName |
| 리소스 역할 | service.resourceRole |
| EKS 클러스터 이름 | resource.eksClusterDetails.name |
| Kubernetes 워크로드 이름 | resource.kubernetesDetails.kubernetesWorkloadDetails.name |
| Kubernetes 워크로드 네임스페이스 | resource.kubernetesDetails.kubernetesWorkloadDetails.namespace |
| Kubernetes 사용자 이름 | resource.kubernetesDetails.kubernetesUserDetails.username |
| Kubernetes 컨테이너 이미지 | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image |
| Kubernetes 컨테이너 이미지 접두사 | resource.kubernetesDetails.kubernetesWorkloadDetails.containers.imagePrefix |
| 스캔 ID | service.ebsVolumeScanDetails.scanId |
| EBS 볼륨 검사 위협 이름 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.name |
| S3 객체 검사 위협 이름 | service.malwareScanDetails.threats.name |
| 위협 심각도 | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.severity |
| 파일 SHA | service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash |
| ECS 클러스터 이름 | resource.ecsClusterDetails.name |
| ECS 컨테이너 이미지 | resource.ecsClusterDetails.taskDetails.containers.image |
| ECS 작업 정의 ARN | resource.ecsClusterDetails.taskDetails.definitionArn |
| 독립형 컨테이너 이미지 | resource.containerDetails.image |
| 데이터베이스 인스턴스 ID | resource.rdsDbInstanceDetails.dbInstanceIdentifier |
| 데이터베이스 클러스터 ID | resource.rdsDbInstanceDetails.dbClusterIdentifier |
| 데이터베이스 엔진 | resource.rdsDbInstanceDetails.engine |
| 데이터베이스 사용자 | resource.rdsDbUserDetails.user |
| 데이터베이스 인스턴스 태그 키 | resource.rdsDbInstanceDetails.tags.key |
| 데이터베이스 인스턴스 태그 값 | resource.rdsDbInstanceDetails.tags.value |
| 실행 파일 SHA-256 | service.runtimeDetails.process.executableSha256 |
| 프로세스 이름 | service.runtimeDetails.process.name |
| 실행 가능한 경로 | service.runtimeDetails.process.executablePath |
| Lambda 함수 이름 | resource.lambdaDetails.functionName |
| Lambda 함수 ARN | resource.lambdaDetails.functionArn |
| Lambda 함수 태그 키 | resource.lambdaDetails.tags.key |
| Lambda 함수 태그 값 | resource.lambdaDetails.tags.value |
| DNS 요청 도메인 | service.action.dnsRequestAction.domainWithSuffix |
# GuardDuty의 억제 규칙
억제 규칙은 지정된 기준과 일치하는 새 결과를 자동으로 보관하여 결과를 필터링하는 데 사용되는 값과 페어링된 필터 속성으로 구성된 일련의 기준입니다. 억제 규칙을 사용하면 가치가 낮은 결과, 오탐지 결과 또는 조치를 취하지 않으려는 위협을 필터링할 수 있으므로 환경에 가장 큰 영향을 미치는 보안 위협을 보다 쉽게 파악할 수 있습니다.
억제 규칙을 생성한 후, 억제 규칙이 지정되어 있는 동안에는 규칙에 정의된 기준과 일치하는 새 결과가 자동으로 보관됩니다. 기존 필터를 사용하여 억제 규칙을 생성하거나 정의한 새 필터에서 억제 규칙을 생성할 수 있습니다. 억제 규칙을 구성하여 전체 결과 유형을 억제하거나, 보다 세부적인 필터 기준을 정의하여 특정 결과 유형의 특정 인스턴스만 억제할 수 있습니다. 언제든지 차단 규칙을 편집할 수 있습니다.
억제된 조사 결과는 Amazon Simple Storage Service AWS Security Hub CSPM, Amazon Detective 또는 Amazon EventBridge로 전송되지 않으므로 Security Hub CSPM, 타사 SIEM 또는 기타 알림 및 티켓팅 애플리케이션을 통해 GuardDuty 조사 결과를 사용하는 경우 조사 결과 노이즈 수준이 줄어듭니다. [EC2에 대한 맬웨어 방지](malware-protection.md)을 활성화한 경우 억제된 GuardDuty 결과는 맬웨어 스캔을 시작하지 않습니다.
GuardDuty는 억제 규칙과 일치하는 경우에도 결과를 계속 생성하지만 이러한 결과는 자동으로 **보관됨**으로 표시됩니다. 보관된 결과는 90일 동안 GuardDuty에 저장되며 해당 기간 동안 언제든지 볼 수 있습니다. 결과 테이블에서 **보관됨**을 선택하여 GuardDuty 콘솔에서 또는 `findingCriteria` 기준 `service.archived`가 true인 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API를 사용하여 GuardDuty API를 통해 억제된 결과를 볼 수 있습니다.
**참고**
다중 계정 환경에서는 GuardDuty 관리자만 억제 규칙을 생성할 수 있습니다.
## Extended Threat Detection과 함께 금지 규칙 사용
GuardDuty Extended Threat Detection은 AWS 계정내에서 데이터 소스, 여러 유형의 AWS 리소스 및 시간에 걸친 다단계 공격을 자동으로 탐지합니다. 다양한 데이터 소스의 이벤트를 상호 연관시켜 AWS 환경에 대한 잠재적 위협으로 나타나는 시나리오를 식별한 다음 공격 시퀀스 조사 결과를 생성합니다. 자세한 내용은 [Extended Threat Detection 작동 방식](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works) 단원을 참조하십시오.
조사 결과를 아카이브하는 금지 규칙을 생성하는 경우 Extended Threat Detection가 공격 시퀀스에 대한 이벤트를 상호 연관시킬 때 이러한 아카이브된 조사 결과를 사용할 수 없습니다. 광범위한 금지 규칙은 다단계 공격 탐지와 일치하는 동작을 탐지하는 GuardDuty의 기능에 영향을 미칠 수 있습니다. 금지 규칙으로 인해 아카이브된 조사 결과는 공격 시퀀스에 대한 신호로 간주되지 않습니다. 예를 들어 알려진 특정 활동을 대상으로 하는 대신 모든 EKS 클러스터 관련 조사 결과를 아카이브하는 금지 규칙을 생성하는 경우 GuardDuty는 이러한 조사 결과를 사용하여 위협 행위자가 컨테이너를 악용하고, 권한이 있는 토큰을 얻고, 민감한 리소스에 액세스하는 공격 시퀀스를 탐지할 수 없습니다.
GuardDuty의 다음 권장 사항을 고려합니다.
+ 금지 규칙을 계속 사용하여 알려진 신뢰할 수 있는 활동의 알림을 줄입니다.
+ 금지 규칙은 GuardDuty가 조사 결과를 생성하지 않도록 하려는 특정 동작에 초점을 맞춥니다.
## 억제 규칙의 일반 사용 사례 및 예시
다음 검색 결과 유형에는 억제 규칙을 적용하는 일반적인 사용 사례가 있습니다. 검색어 이름을 선택하면 해당 검색어에 대해 자세히 알아볼 수 있습니다. 사용 사례 설명을 검토하여 해당 검색 유형에 대한 억제 규칙을 작성할지 결정하세요.
**중요**
GuardDuty는 사용자 환경에서 반복적으로 오탐을 식별한 발견에 대해서만 반응적으로 억제 규칙을 구축할 것을 권장합니다.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) - VPC 네트워킹이 인터넷 트래픽을 라우팅하도록 구성되어 있고 VPC 인터넷 게이트웨이가 아닌 온프레미스 게이트웨이에서 인터넷 트래픽이 나가는 경우 억제 규칙을 사용하여 생성된 결과를 자동으로 보관합니다.
이 결과는 네트워킹이 인터넷 트래픽을 라우팅하도록 구성되어 VPC 인터넷 게이트웨이(IGW)가 아닌 온프레미스 게이트웨이에서 나가는 경우에 생성됩니다. [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 또는 VPC VPN 연결을 사용하는 것과 같은 일반적인 구성으로 인해 트래픽이 이러한 방식으로 라우팅될 수 있습니다. 예상된 동작인 경우 의 억제 규칙을 사용하고 두 개의 필터 기준으로 구성된 규칙을 만드는 것이 좋습니다. 첫 번째 기준은 **결과 유형**으로 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`이어야 합니다. 두 번째 필터 기준은 온프레미스 인터넷 게이트웨이의 IP 주소 또는 CIDR 범위를 포함하는 **API 호출자 IPv4 주소**입니다. 아래 예시는 API 호출자 IP 주소를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**참고**
여러 개의 API 호출자 IP를 포함하려면 각각에 대해 새 API 호출자 IPv4 주소 필터를 추가할 수 있습니다.
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) - 취약성 평가 애플리케이션을 사용하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.
금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Recon:EC2/Portscan` 값을 사용해야 합니다. 두 번째 필터 기준은 이러한 취약성 평가 도구를 호스팅하는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **Instance image ID** 속성 또는 **Tag** 값 속성을 사용할 수 있습니다. 아래 예시는 특정 AMI를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) - Bastion 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.
무차별 대입 시도의 대상이 접속 호스트인 경우 환경에 대한 예상 동작을 나타낼 수 있습니다 AWS . 이 경우 이 결과에 대해 금지 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `UnauthorizedAccess:EC2/SSHBruteForce` 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **인스턴스 이미지 ID** 속성 또는 **태그** 값 속성을 사용할 수 있습니다. 아래 예시는 특정 인스턴스 태그 값을 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) - 의도적으로 노출된 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.
인스턴스가 웹 서버를 호스팅하는 경우와 같이 의도적으로 노출되는 경우가 있을 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Recon:EC2/PortProbeUnprotectedPort` 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **인스턴스 이미지 ID** 속성 또는 **태그** 값 속성을 사용할 수 있습니다. 아래 예시는 콘솔의 특정 인스턴스 태그 키를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### 런타임 모니터링 조사 결과에 대한 권장 억제 규칙
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)는 컨테이너 내부의 프로세스가 Docker 소켓과 통신할 때 생성됩니다. 환경에 합법적인 이유로 Docker 소켓에 액세스해야 하는 컨테이너가 있을 수 있습니다. 이러한 컨테이너에서 액세스하면 PrivilegeEscalation:Runtime/DockerSocketAccessed 결과가 생성됩니다. AWS 환경의 경우이 결과 유형에 대한 억제 규칙을 설정하는 것이 좋습니다. 첫 번째 기준에는 값이 `PrivilegeEscalation:Runtime/DockerSocketAccessed`와 같은 **결과 유형** 필드를 사용해야 합니다. 두 번째 필터 기준은 생성된 결과에서 프로세스의 `executablePath`와 값이 동일한 **실행 파일 경로** 필드입니다. 또는 두 번째 필터 기준에서 생성된 결과에서 프로세스의 `executableSha256`와 값이 동일한 **실행 파일 SHA-256** 필드를 사용할 수 있습니다.
+ Kubernetes 클러스터는 자체 DNS 서버를 포드로 실행할 수 있습니다(예: `coredns`). 따라서 GuardDuty는 포드에서 DNS를 조회할 때마다 두 개의 DNS 이벤트를 캡처하는데, 하나는 포드에서, 다른 하나는 서버 포드에서 캡처합니다. 이로 인해 다음과 같은 DNS 결과가 중복될 수 있습니다.
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
중복 결과에는 DNS 서버 포드에 해당하는 포드, 컨테이너 및 프로세스 세부 정보가 포함됩니다. 이러한 필드를 사용하여 이러한 중복 결과를 억제하는 억제 규칙을 설정할 수 있습니다. 첫 번째 필터 기준은 앞서 이 섹션에 제공된 결과 목록의 DNS 결과 유형과 값이 동일한 **결과 유형** 필드를 사용해야 합니다. 두 번째 필터 기준은 생성된 결과에서 값이 DNS 서버의 `executablePath`와 같은 **실행 파일 경로** 또는 DNS 서버의 `executableSHA256`과 같은 **실행 파일 SHA-256**일 수 있습니다. 세 번째 필터 기준은 선택 사항으로 생성된 결과에서 DNS 서버 포드의 컨테이너 이미지와 동일한 값을 갖는 **Kubernetes 컨테이너 이미지** 필드를 사용할 수 있습니다.
# GuardDuty에서 억제 규칙 만들기
억제 규칙은 필터 속성을 사용하고 GuardDuty에서 검색 유형을 생성하지 않으려는 값을 제공하는 것을 포함하는 기준 집합입니다. 이 기준과 일치하는 검색 유형은 자동으로 보관됩니다. 노이즈를 줄이기 위해 억제된 결과는 통합할 수 AWS 서비스 있는 로 전송되지 않습니다. 억제 규칙을 만드는 일반적인 사용 사례에 대한 자세한 내용은 [억제 규칙](findings_suppression-rule.md)를 참조하세요.
GuardDuty 콘솔의 억제 규칙 페이지를 사용하여 **억제 규칙을** 시각화, 생성 및 관리할 수 있습니다. 기존 저장된 필터에서 억제 규칙을 생성할 수도 있습니다. 필터 생성에 대한 자세한 내용은 [GuardDuty에서 조사 결과 필터링](guardduty_filter-findings.md)을(를) 참조하십시오.
필터 기준에는 **Equals** 및 **NotEquals** 연산자를 사용한 정확한 일치, **Matches** 및 **NotMatches** 연산자를 사용한 **와일드카드 일치** 또는 **GreaterThan**, **GreaterThanEquals**, **LessThan** 및 **LessThanEquals** 연산자를 사용한 **비교 일치**가 포함될 수 있습니다. 사용 가능한 연산자에 대한 자세한 내용은 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html) 페이지에서 확인할 수 있습니다.
선호하는 액세스 방법을 선택하여 GuardDuty 검색 유형에 대한 억제 규칙을 만드세요.
------
#### [ Console ]
**콘솔을 사용하여 억제 규칙을 생성하려면:**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **억제 규칙** 페이지에서 **억제 규칙 생성을** 클릭하여 **억제 규칙 생성** 양식을 엽니다.
1. 억제 규칙의 **이름을** 입력합니다. 이름은 3\$164자여야 합니다. 유효한 문자는 a\$1z, A\$1Z, 0\$19, .(마침표), -(하이픈) 및 \$1(밑줄)입니다.
1. **설명**은 선택 사항입니다. 설명을 입력하면 최대 512자까지 입력할 수 있습니다. 유효한 문자는 a-z, A-Z, 0-9, 마침표(.), 하이픈(-), 콜론(:), 대괄호(\$1\$1()[]), 슬래시(/) 및 공백입니다.
1. **순위**는 선택 사항입니다. 1부터 필터 및 억제 규칙의 총 개수까지 숫자 값에 1을 더한 값일 수 있습니다.
1. **속성** 섹션의 드롭다운에서 **키**와 **연산**자를 선택합니다.
1. 선택한 키를 기반으로 날짜 선택기의 값을 “문자열” 또는 “날짜”로 입력합니다. 문자열 값인 경우 텍스트를 입력하고 Enter 키를 누릅니다. 문자열 값의 경우 여러 값을 추가할 수 있습니다.
1. 기준 추가를 선택하여 다른 **키**, **연산자** 및 값(들) 세트를 추가하여 추가 **기준을** 추가할 수 있습니다. ****
1. **억제 규칙 생성을** 선택하여 억제 규칙을 생성하고 저장합니다.
또한 기존의 저장된 필터에서 억제 규칙을 생성할 수 있습니다. 필터 생성에 대한 자세한 내용은 [GuardDuty에서 조사 결과 필터링](guardduty_filter-findings.md) 섹션을 참조하세요.
**저장된 필터에서 금지 규칙 생성:**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **조사 결과** 페이지의 **저장된 규칙** 메뉴에서 저장된 필터 세트 규칙을 선택합니다. 그러면 필터 세트 및 기준과 일치하는 조사 결과가 자동으로 표시됩니다.
1. 이 저장된 규칙에 필터 기준을 더 추가할 수도 있습니다. 추가 필터 기준이 필요하지 않은 경우 이 단계를 건너뜁니다. 하나 이상의 필터 기준을 추가하려면 [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page)의 3\$17단계를 수행한 다음, 다음의 단계를 계속 진행합니다.
1. 필터 기준을 추가하고 필터링된 조사 결과가 요구 사항을 충족하는지 확인한 후 **금지 규칙 생성**을 선택합니다.
1. 금지 규칙의 **이름**을 입력합니다. 이름은 3\$164자여야 합니다. 유효한 문자는 a\$1z, A\$1Z, 0\$19, .(마침표), -(하이픈) 및 \$1(밑줄)입니다.
1. **설명**은 선택 사항입니다. 설명을 입력하면 최대 512자까지 입력할 수 있습니다.
1. **생성(Create)**을 선택합니다.
1. 저장된 규칙에 필터 기준을 추가할 필요가 없는 경우 4\$17단계를 수행하여 필터를 생성합니다.
------
#### [ API/CLI ]
**API를 사용하여 억제 규칙 생성:**
1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API를 통해 억제 규칙을 생성할 수 있습니다. 이를 위해 아래에 설명하는 예시의 형식을 따라 JSON 파일에 필터 기준을 지정하세요. 아래 예시에서는 `test.example.com` 도메인에 대한 DNS 요청이 있는 보관되지 않은 낮은 심각도 결과를 모두 표시하지 않습니다. 심각도가 중간인 조사 결과의 경우 입력 목록은 `["4", "5", "7"]`입니다. 심각도가 높은 조사 결과의 경우 입력 목록은 `["6", "7", "8"]`입니다. 심각도가 심각인 조사 결과의 경우 입력 목록은 `["9", "10"]`입니다. 목록에 있는 값 하나를 기준으로 필터링할 수도 있습니다.
다음 예제에서는 함수 이름 접두사가 "MyFunc"인 lambda 함수와 접두사가 "TestTag"가 아닌 함수 태그에 대한 심각도가 낮은 조사 결과에 대한 필터를 추가합니다.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
와일드카드 문자 \$1 및를 사용하여 억제 규칙을 생성할 수 있습니다. . 필터의 와일드카드는 **매치** 및 **NotMatches** 연산자만 사용할 수 있습니다. 원하는 수의 문자를 일치시키려면 속성 값에 \$1를 사용하고, 단일 문자를 일치시키려면 속성 값에 ?를 사용할 수 있습니다. 필터는 단일 와일드카드 조건에서 최대 5개의 속성을 지원하고 단일 속성 내에서 최대 5개의 와일드카드 문자를 지원합니다. 다음 예제에서는 접두사 "MyFunc"와 일치하는 Lambda 이름에 대한 필터를 추가하지만 접두사 "TestTag"와 0\$12자 뒤에 오는 태그가 있는 Lambda 함수는 추가하지 않습니다.
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
JSON 필드 이름 및 이에 상응하는 콘솔의 목록은 [GuardDuty의 속성 필터](guardduty_filter-findings.md#filter_criteria) 단원을 참조하십시오.
필터 기준을 테스트하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API에서 동일한 JSON 기준을 사용하고, 올바른 결과가 선택되었는지 확인합니다. 를 사용하여 필터 기준을 테스트하려면 자체 detectorId 및 .json 파일을 사용하여 예제를 AWS CLI 따르세요.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**참고**
ListFindings 및 GetFindingsStatistics에는 와일드카드 일치를 사용할 수 없습니다. 와일드카드가 포함된 기준은 ListFindings 및 GetFindingsStatistics 사용하여 검증할 수 없습니다.
1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) API를 사용하거나 자체 탐지기 ID, 억제 규칙의 이름 및 .json 파일을 사용하는 아래 예시에 따라 AWS CLI를 사용하여 억제 규칙으로 사용할 필터를 업로드합니다.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html) API를 사용하여 프로그래밍 방식으로 필터 목록을 볼 수 있습니다. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html) API에 필터 이름을 제공하여 개별 필터의 세부 정보를 볼 수 있습니다. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html)를 사용하여 필터를 업데이트하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API를 사용하여 삭제합니다.
------
# GuardDuty에서 억제 규칙 업데이트
이 섹션에서는 특정의 AWS 계정 에서 억제 규칙을 업데이트하는 단계를 제공합니다 AWS 리전.
GuardDuty 콘솔의 억제 규칙 페이지에서 기존 **억제 규칙을** 업데이트할 수 있습니다. GuardDuty는 GuardDuty 콘솔에서 또는 GuardDuty CLI/API를 사용하여 억제 필터 설명, 순위 및 필터 기준 업데이트를 지원합니다. 억제 규칙 업데이트는 설명, 순위 및 기준에 대한 필드 값에 대해와 동일한 제한을 따릅니다[억제 규칙 생성](create-suppression-rules-guardduty.md).
멤버 계정인 경우 관리자 계정에서 회원님을 대신하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [관리자 계정 및 멤버 계정 관계](administrator_member_relationships.md) 단원을 참조하십시오.
원하는 액세스 방법을 선택하여 GuardDuty 결과 유형에 대한 억제 규칙을 삭제합니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **억제 규칙** 페이지에서 업데이트할 억제 규칙을 선택합니다.
1. **작업** 드롭다운에서 **억제 규칙 업데이트를** 선택합니다.
1. 그러면 기존 억제 규칙 양식이 열립니다.
1. 필요에 따라 **설명**, **순위** 및 **속성** 섹션을 변경합니다.
1. **억제 규칙 업데이트를** 선택하여 억제 규칙을 업데이트합니다.
------
#### [ API/CLI ]
**API를 사용하여 억제 규칙을 업데이트하려면:**
1. UpdateFilter API를 통해 억제 규칙을 업데이트할 수 있습니다. UpdateFilter API를 사용하여 **설명**, **순위** 및 **기준**만 업데이트할 수 있습니다. 이 세 필드는 모두 선택 사항입니다.
1. 기존 필터를 업데이트하려면 업데이트하려는 필터의 이름이 필요합니다.
1. 기존 기준을 업데이트하려면 필터를 처음 생성한 방법과 유사한 업데이트된 기준으로 JSON 파일을 생성합니다. test.example.com 도메인에 대한 DNS 요청이 있는 보관되지 않은 심각도가 낮은 조사 결과를 억제하는 기준의 예입니다. 중간 심각도 조사 결과의 경우 입력 목록은 ["4", "5", "7"]이 됩니다. 심각도가 높은 조사 결과의 경우 입력 목록은 ["6", "7", "8"]이 됩니다. 중요 심각도 조사 결과의 경우 입력 목록은 ["9", "10"]이 됩니다. 목록에 있는 값 하나를 기준으로 필터링할 수도 있습니다. 다음 예제에서는 심각도가 낮은 결과에 대한 필터를 추가합니다.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
JSON 필드 이름 및 이에 상응하는 콘솔의 목록은 [GuardDuty의 속성 필터](guardduty_filter-findings.md#filter_criteria) 단원을 참조하십시오.
필터 기준을 테스트하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API에서 동일한 JSON 기준을 사용하고, 올바른 결과가 선택되었는지 확인합니다. 를 사용하여 필터 기준을 테스트하려면 자체 detectorId 및 .json 파일을 사용하여 예제를 AWS CLI 따르세요.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
```
aws guardduty list-detectors --region us-east-1
```
1. 설명을 업데이트하려면 CLI 호출에 설명 파라미터를 포함할 수 있습니다.
1. 순위를 업데이트하려면 CLI 호출에 순위 파라미터를 포함할 수 있습니다.
1. 억제 필터에서 일반 필터로 업데이트하려면 CLI 호출에서 작업 파라미터와 값을 **ARCHIVE**로 사용합니다.
1. 기존 필터 API를 업데이트하거나 아래 예제 AWS CLI 를 자체 감지기 ID, 억제 규칙 이름 및 .json 파일과 함께 사용하여 업데이트합니다.
1. 다음은 위에서 설명한 모든 파라미터를 업데이트하는 CLI의 예입니다. - 명령에서 사용 사례에 맞게 업데이트할 특정 파라미터를 선택할 수 있습니다.
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# GuardDuty에서 억제 규칙 삭제하기
이 섹션에서는 특정의 AWS 계정 에서 억제 규칙을 삭제하는 단계를 제공합니다 AWS 리전.
사용자 환경에서 더 이상 예상되는 행동을 묘사하지 않는 억제 규칙을 삭제할 수 있습니다. GuardDuty가 검색 유형을 생성할 수 있도록 연결된 검색 유형을 더 이상 억제하지 않으려는 것입니다.
멤버 계정인 경우 관리자 계정에서 회원님을 대신하여 이 작업을 수행할 수 있습니다. 자세한 내용은 [관리자 계정 및 멤버 계정 관계](administrator_member_relationships.md) 단원을 참조하십시오.
원하는 액세스 방법을 선택하여 GuardDuty 검색 유형에 대한 억제 규칙을 삭제합니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **억제 규칙** 페이지에서 삭제할 억제 규칙을 선택합니다.
1. **작업** 드롭다운에서 **억제 규칙 삭제**를 선택합니다.
1. 확인 팝업이 표시됩니다. **삭제**를 선택하여 삭제를 진행합니다. 또는 **취소**를 선택하여 작업을 취소합니다.
------
#### [ API/CLI ]
[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html) API를 실행합니다. 특정 리전에 대한 필터 이름과 연결된 디텍터 ID를 지정합니다.
또는 *빨간색* 형식의 값을 대체하여 다음 AWS CLI 예제를 사용할 수 있습니다.
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
------
# 엔터티 목록 및 IP 주소 목록을 사용하여 위협 탐지 사용자 지정
Amazon GuardDuty는 VPC 흐름 로그, AWS CloudTrail 이벤트 로그 및 DNS 로그를 분석하고 처리하여 AWS 환경의 보안을 모니터링합니다. 하나 이상의 [사용 사례 중심 GuardDuty 보호 계획](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty)을 활성화하여([런타임 모니터링](runtime-monitoring.md)을 제외하고 GuardDuty 내에서 모니터링 기능을 확장할 수 있습니다.
목록을 사용하면 GuardDuty를 통해 환경에서 위협 탐지 범위를 사용자 지정할 수 있습니다. 신뢰할 수 있는 소스에서 조사 결과 생성을 중지하고 위협 목록에서 알려진 악성 소스에 대한 조사 결과를 생성하도록 GuardDuty를 구성할 수 있습니다. GuardDuty는 기존 IP 주소 목록을 계속 지원하며 IP 주소, 도메인 또는 둘 다를 포함할 수 있는 엔터티 목록(권장)으로 지원을 확장합니다.
**Topics**
+ [엔터티 목록 및 IP 주소 목록 이해](#guardduty-threat-intel-list-entity-sets)
+ [GuardDuty 목록에 대한 중요 고려 사항](#guardduty-lists-entity-sets-considerations)
+ [목록 형식](#prepare_list)
+ [목록 상태 이해](#guardduty-entity-list-statuses)
+ [엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정](guardduty-lists-prerequisites.md)
+ [엔터티 목록 또는 IP 목록 추가 및 활성화](guardduty-lists-create-activate.md)
+ [엔터티 목록 또는 IP 주소 목록 업데이트](guardduty-lists-update-procedure.md)
+ [엔터티 목록 또는 IP 주소 목록 비활성화](guardduty-lists-deactivate-procedure.md)
+ [엔터티 목록 또는 IP 주소 목록 삭제](guardduty-lists-delete-procedure.md)
## 엔터티 목록 및 IP 주소 목록 이해
GuardDuty는 엔터티 목록(권장)과 IP 목록이라는 두 가지 구현 접근 방식을 제공합니다. 두 접근 방식 모두 신뢰할 수 있는 소스를 지정하는 데 도움이 되므로 GuardDuty가 조사 결과를 생성하는 데 GuardDuty 사용하는 조사 결과 및 알려진 위협을 생성할 수 없습니다.
**엔터티 목록**은 IP 주소와 도메인 이름을 모두 지원합니다. 여러 리전에 걸쳐 IAM 정책 크기 제한에 영향을 주지 않는 단일 IAM 권한으로 Amazon Simple Storage Service(Amazon S3)에 직접 액세스합니다.
**IP 목록**은 IP 주소만 지원하고 [GuardDuty 서비스 연결 역할(SLR)](slr-permissions.md)(SLR)를 사용하므로 리전당 IAM 정책 업데이트가 필요하므로 IAM 정책 크기 제한에 영향을 미칠 수 있습니다.
신뢰할 수 있는 목록(엔터티 목록 및 IP 주소 목록 모두)에는 AWS 인프라와의 보안 통신을 위해 신뢰할 수 있는 항목이 포함됩니다. GuardDuty는 신뢰할 수 있는 소스에 나열된 항목에 대한 조사 결과를 생성하지 않습니다. 언제든지 리전 AWS 계정 당 당 하나의 신뢰할 수 있는 엔터티 목록과 하나의 신뢰할 수 있는 IP 주소 목록만 추가할 수 있습니다.
위협 목록(엔터티 목록과 IP 주소 목록 모두)에는 사용자가 알려진 악성 소스로 식별한 항목이 포함됩니다. GuardDuty는 이러한 소스와 관련된 활동을 감지하면 조사 결과를 생성하여 잠재적 보안 문제를 알려줍니다. 자체 위협 목록을 생성하거나 서드 파티 위협 인텔리전스 피드를 통합할 수 있습니다. 이 목록은 타사 위협 인텔리전스에서 제공하거나 조직에 맞춰 특별히 만들 수 있습니다. GuardDuty는 잠재적으로 의심스러운 활동으로 인한 조사 결과를 생성하는 것 외에도 위협 목록에서 온 입력이 연루된 활동을 기반으로 조사 결과를 생성합니다. 언제든지 리전 AWS 계정 당당 최대 6개의 위협 개체 목록과 위협 IP 주소 목록을 업로드할 수 있습니다.
**참고**
IP 주소 목록에서 엔터티 목록으로 마이그레이션하려면 [엔터티 목록의 사전 조건](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites)에 따라 필요한 엔터티 목록을 추가하고 활성화합니다. 그런 다음 해당 IP 주소 목록을 비활성화하거나 삭제하도록 선택할 수 있습니다.
## GuardDuty 목록에 대한 중요 고려 사항
목록 작업을 시작하기 전에 다음 고려 사항을 읽으세요.
+ IP 주소 목록 및 엔터티 목록은 공개적으로 라우팅 가능한 IP 주소 및 도메인으로 전송되는 트래픽에만 적용됩니다.
+ 엔터티 목록에서 항목은 CloudTrail, Amazon VPC의 VPC 흐름 로그 및 Route53 Resolver DNS 쿼리 로그 조사 결과에 적용됩니다.
IP 주소 목록에서 항목은 Amazon VPC 조사 결과의 CloudTrail 및 VPC 흐름 로그에 적용되지만 Route53 Resolver DNS 쿼리 로그 조사 결과에는 적용되지 않습니다.
+ 신뢰할 수 있는 목록과 위협 목록 모두에 동일한 IP 주소나 도메인을 포함한 경우 신뢰할 수 있는 목록의 항목이 우선합니다. 이 항목과 관련된 활동이 있는 경우 GuardDuty는 조사 결과를 생성하지 않습니다.
+ 다중 계정 환경에서는 GuardDuty 관리자 계정만 목록을 관리할 수 있습니다. 이 설정은 멤버 계정에 자동으로 적용됩니다. GuardDuty는 관리자 계정의 위협 출처에 등록된 악성 IP 주소(및 도메인)와 관련된 활동을 기반으로 조사 결과를 생성하며, 관리자 계정의 신뢰할 수 있는 출처에 등록된 IP 주소(및 도메인)와 관련된 활동에 대해서는 조사 결과를 생성하지 않습니다. 자세한 내용은 [Amazon GuardDuty에서 다중 계정](guardduty_accounts.md) 단원을 참조하십시오.
+ IPv4 주소만 허용됩니다. IPv6 주소는 지원하지 않습니다.
+ 엔터티 목록 또는 IP 주소 목록을 활성화, 비활성화 또는 삭제하면 프로세스가 15분 이내에 완료될 것으로 예상됩니다. 일부 상황에서는 이 작업의 완료까지 최대 40분이 소요될 수도 있습니다.
+ GuardDuty는 목록 상태가 **활성**인 경우에만 위협 탐지를 위해 목록을 사용합니다.
+ 목록의 S3 버킷 위치에 항목을 추가하거나 업데이트할 때마다 목록을 다시 활성화해야 합니다. 자세한 내용은 [엔터티 목록 또는 IP 주소 목록 업데이트](guardduty-lists-update-procedure.md) 단원을 참조하십시오.
+ 엔터티 목록과 IP 주소의 할당량은 다릅니다. 자세한 내용은 [GuardDuty 할당량](guardduty_limits.md) 단원을 참조하십시오.
## 목록 형식
GuardDuty는 목록 및 엔터티 목록에 대해 여러 파일 형식을 허용하며 파일당 최대 35MB입니다. 각 형식에는 고유한 요구 사항과 기능이 있습니다.
### 일반 텍스트(TXT)
이 형식은 IP 주소, CIDR 범위 및 도메인 이름을 지원합니다. 각 항목은 별도의 줄에 표시되어야 합니다.
**Example **엔터티 목록의 예****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **IP 주소 목록의 예****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression(STIX)
이 형식은 IP 주소, CIDR 블록 및 도메인 이름을 지원합니다. STIX를 사용하면 위협 인텔리전스에 추가 컨텍스트를 포함할 수 있습니다. GuardDuty는 STIX 표시기에서 IP 주소, CIDR 범위 및 도메인 이름을 처리합니다.
**Example **엔터티 목록의 예****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **IP 주소 목록의 예****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### Open Threat Exchange(OTX)TM CSV
이 형식은 CIDR 블록, 개별 IP 주소, 도메인을 지원합니다. 이 파일 형식에는 쉼표로 구분된 값이 있습니다.
**Example **엔터티 목록의 예****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **IP 주소 목록의 예****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSIGHT Threat Intelligence CSV
이 형식은 CIDR 블록, 개별 IP 주소, 도메인을 지원합니다. 다음 샘플 목록은 `FireEyeTM` CSV 형식을 사용합니다.
**Example **엔터티 목록의 예****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **IP 주소 목록의 예****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### ProofpointTM ET Intelligence Feed CSV
ProofPoint CSV 형식에서는 IP 주소 또는 도메인 이름을 하나의 목록에 추가할 수 있습니다. 다음 샘플 목록은 `Proofpoint` CSV 형식을 사용합니다. `ports` 파라미터를 제공하는 것은 선택 사항입니다. 제공하지 않을 때는 끝에 후행 쉼표(,)를 그대로 둡니다.
**Example **엔터티 목록의 예****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **IP 주소 목록의 예****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultTM Reputation Feed
다음 샘플 목록은 `AlienVault` 형식을 사용합니다.
**Example **엔터티 목록의 예****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **IP 주소 목록의 예****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## 목록 상태 이해
엔터티 목록 또는 IP 주소 목록을 추가하면 GuardDuty에 해당 목록의 상태가 표시됩니다. **상태** 열은 목록이 유효한지 여부와 조치가 필요한지 여부를 나타냅니다. 다음 목록에서는 유효한 상태 값을 설명합니다.
+ **활성** - 목록이 현재 사용자 지정 위협 탐지에 사용 중임을 나타냅니다.
+ **비활성** - 목록이 현재 사용 중이 아님을 나타냅니다. GuardDuty가 환경에서 위협 탐지에 이 목록을 사용하려면 [엔터티 목록 또는 IP 목록 추가 및 활성화](guardduty-lists-create-activate.md)의 3단계: 엔터티 목록 또는 IP 주소 목록 활성화를 참조하세요.
+ **오류** - 목록에 문제가 있음을 나타냅니다. 상태 위로 마우스를 가져가면 오류 세부 정보를 볼 수 있습니다.
+ **활성화** - GuardDuty가 목록을 활성화하는 프로세스를 시작했음을 나타냅니다. 이 목록의 상태를 계속 모니터링할 수 있습니다. 오류가 없으면 상태가 **활성**으로 업데이트되어야 합니다. 상태가 **활성화 중**으로 유지되는 동안에는 이 목록에서 어떤 작업도 수행할 수 없습니다. 목록 상태가 **활성**으로 변경되는 데 몇 분 정도 걸릴 수 있습니다.
+ **비활성화** - GuardDuty가 목록을 비활성화하는 프로세스를 시작했음을 나타냅니다. 이 목록의 상태를 계속 모니터링할 수 있습니다. 오류가 없으면 상태가 **비활성**으로 업데이트되어야 합니다. 상태가 **비활성화**로 유지되는 동안에는 이 목록에 대한 작업을 수행할 수 없습니다.
+ **삭제 보류** 중 - 목록이 삭제 중임을 나타냅니다. 상태가 **삭제 보류** 중으로 유지되는 동안에는 이 목록에서 어떤 작업도 수행할 수 없습니다.
# 엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정
GuardDuty는 엔터티 목록과 IP 주소 목록을 사용하여 AWS 환경에서 위협 탐지를 사용자 지정합니다. 엔터티 목록(권장)은 IP 주소와 도메인 이름을 모두 지원하는 반면 IP 주소 목록은 IP 주소만 지원합니다. 이러한 목록을 생성하기 전에 사용하려는 목록 유형에 필요한 권한을 추가해야 합니다.
## 엔터티 목록의 사전 조건
엔터티 목록을 추가하면 GuardDuty는 S3 버킷에서 신뢰할 수 있는 목록과 위협 인텔리전스 목록을 읽습니다. 엔터티 목록을 생성하는 데 사용하는 역할에는 S3 버킷에 대한 `s3:GetObject` 권한이 있어야 합니다.
**참고**
다중 계정 환경에서는 GuardDuty 관리자 계정만 목록을 관리할 수 있으며, 이 목록은 멤버 계정에 자동으로 적용됩니다.
S3 버킷 위치에 댁세스하기 위한 `s3:GetObject` 권한이 아직 없는 경우 다음 예제 정책을 사용하고 *amzn-s3-demo-bucket*을 S3 버킷 위치로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## IP 주소 목록의 사전 조건
GuardDuty에서 신뢰할 수 있는 IP 목록 및 위협 목록을 사용하려면 다양한 IAM 자격 증명에 적절한 권한이 있어야 합니다. [AmazonGuardDutyFullAccess\$1v2(권장)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) 관리형 정책이 연결되어 있는 ID는 업로드된 신뢰할 수 있는 IP 목록과 위협 목록의 이름을 바꾸거나 비활성화하는 것만 가능합니다.
신뢰할 수 있는 IP 목록 및 위협 목록으로 작업할 수 있는 전체 액세스 권한(이름 변경 및 비활성화 외에 추가, 활성화, 삭제, 목록 위치 또는 이름 업데이트까지 포함)을 여러 ID에 부여하려면 IAM 사용자, 그룹, 역할에 연결된 권한 정책에 다음과 같은 작업이 들어 있어야 합니다.
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**중요**
이러한 작업은 `AmazonGuardDutyFullAccess` 관리형 정책에 들어 있지 않습니다.
### 엔터티 목록 및 IP 목록과 함께 SSE-KMS 암호화 사용
GuardDuty는 목록에 대해 SSE-AES256 및 SSE-KMS 암호화를 지원합니다. SSE-C는 지원되지 않습니다. S3의 암호 유형에 대한 자세한 내용은 [서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html)를 참조하세요.
엔터티 목록 또는 IP 목록을 사용하는지 여부에 관계없이 SSE-KMS를 사용하는 경우 AWS KMS key 정책에 다음 문을 추가합니다. *123456789012*를 본인 계정 ID로 바꿉니다.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# 엔터티 목록 또는 IP 목록 추가 및 활성화
엔터티 목록 및 IP 주소 목록은 GuardDuty에서 위협 탐지 기능을 사용자 지정하는 데 도움이 됩니다. 목록에 대한 자세한 내용은 [엔터티 목록 및 IP 주소 목록 이해](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets) 섹션을 참조하세요. AWS 환경에 대한 신뢰할 수 있는 위협 인텔리전스 데이터를 관리하기 위해 GuardDuty는 엔터티 목록을 사용할 것을 권장합니다. 시작하기 전에 [엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정](guardduty-lists-prerequisites.md) 단원을 참조하세요.
다음 액세스 방법 중 하나를 선택하여 신뢰할 수 있는 엔터티 목록, 위협 엔터티 목록, 신뢰할 수 있는 IP 목록 또는 위협 IP 목록을 추가하고 활성화하세요.
------
#### [ Console ]
**(선택 사항) 1단계: 목록의 위치 URL 가져오기**
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.
1. 탐색 창에서 **버킷**을 선택합니다.
1. 추가할 특정 목록이 포함된 Amazon S3 버킷 이름을 선택합니다.
1. 세부 정보를 보려면 객체(목록) 이름을 선택합니다.
1. **속성** 탭에서 이 객체의 **S3 URI**를 복사합니다.
**2단계: 신뢰할 수 있는 또는 위협 인텔리전스 데이터 추가**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 **엔터티 목록** 또는 **IP 주소 목록** 탭을 선택합니다.
1. 선택한 탭에 따라 신뢰할 수 있는 목록 또는 위협 목록을 추가하도록 선택합니다.
1. 신뢰할 수 있는 목록 또는 위협 목록을 추가하는 대화 상자에서 다음 단계를 수행합니다.
1. **목록 이름**에 목록의 이름을 입력합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. **위치**에 목록을 업로드한 위치를 입력합니다. 아직 없는 경우 [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage) 섹션을 참조하세요.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**위치 URL의 형식**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (선택 사항) **예상 버킷 소유자**의 경우 **위치** 필드에 지정된 Amazon S3 버킷을 소유한 AWS 계정 ID를 입력할 수 있습니다.
AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 개체 목록과 IP 주소 목록에서 다르게 작동합니다. 엔터티 목록의 경우 GuardDuty는 현재 멤버 계정이 **위치** 필드에 지정된 S3 버킷을 소유하고 있는지 확인합니다. IP 주소 목록의 경우 AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다.
GuardDuty가 이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 목록을 활성화할 때 오류가 발생합니다.
1. [**I agree**] 확인란을 선택합니다.
1. [**Add list**]를 선택합니다. 추가된 목록의 **상태**는 기본적으로 **비활성**입니다. 목록이 유효하려면 목록을 활성화해야 합니다.
**3단계: 엔터티 목록 또는 IP 주소 목록 활성화**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 활성화하려는 목록이 포함된 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 활성화할 목록을 하나 선택합니다. 그러면 **작업** 및 **편집** 메뉴가 활성화됩니다.
1. **작업**을 선택한 후 **활성화**를 선택합니다.
------
#### [ API/CLI ]
**신뢰할 수 있는 엔터티 목록을 추가하고 활성화하려면**
1. [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**위협 엔터티 목록을 추가하고 활성화하려면**
1. [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**신뢰할 수 있는 IP 주소 목록을 추가하고 활성화하려면**
1. [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)를 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 신뢰할 수 있는 IP 주소 목록을 업데이트할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 신뢰할 수 있는 IP 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
**위협 IP 목록을 추가하고 활성화하려면**
1. [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)를 실행합니다. 이 위협 IP 주소 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 위협 IP 목록을 업데이트할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`를 위협 IP 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
------
엔터티 목록 또는 IP 주소 목록을 활성화한 후 이 목록이 적용되려면 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오.
# 엔터티 목록 또는 IP 주소 목록 업데이트
엔터티 목록 및 IP 주소 목록은 GuardDuty에서 위협 탐지 기능을 사용자 지정하는 데 도움이 됩니다. 목록에 대한 자세한 내용은 [엔터티 목록 및 IP 주소 목록 이해](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets) 섹션을 참조하세요.
목록 이름, S3 버킷 위치, 예상 버킷 소유자 계정 ID와 기존 목록의 항목을 업데이트할 수 있습니다. 목록의 항목을 업데이트하는 경우, GuardDuty가 최신 버전의 목록을 사용할 수 있도록 목록을 다시 활성화하는 단계를 따라야 합니다. 엔터티 목록 또는 IP 주소 목록을 업데이트하거나 활성화한 후, 해당 목록이 적용되는 데 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오.
**참고**
목록의 상태가 **활성화**, **비활성화** 또는 **삭제 보류** 중이면 작업을 수행하기 전에 몇 분 동안 기다려야 합니다. 이 상태에 대한 자세한 내용은 [목록 상태 이해](guardduty_upload-lists.md#guardduty-entity-list-statuses) 섹션을 참조하세요.
액세스 방법 중 하나를 선택하여 엔터티 목록 또는 IP 주소 목록을 업데이트합니다.
------
#### [ Console ]
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 적절한 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 업데이트할 목록(신뢰 또는 위협)을 하나 선택합니다. 그러면 **작업** 및 **편집** 메뉴가 활성화됩니다.
1. **편집**을 선택합니다.
1. 목록을 업데이트하는 대화 상자에서 업데이트할 세부 정보를 지정합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
1. (선택 사항) **예상 버킷 소유자**의 경우 **위치** 필드에 지정된 Amazon S3 버킷을 소유한 AWS 계정 ID를 입력할 수 있습니다.
AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 개체 목록과 IP 주소 목록에서 다르게 작동합니다. 엔터티 목록의 경우 GuardDuty는 현재 멤버 계정이 **위치** 필드에 지정된 S3 버킷을 소유하고 있는지 확인합니다. IP 주소 목록의 경우 AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다.
GuardDuty가 이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 목록을 활성화할 때 오류가 발생합니다.
1. **동의함** 확인란을 선택한 다음 **목록 업데이트**를 선택합니다.
------
#### [ API/CLI ]
다음 절차를 시작하려면 업데이트하려는 목록 리소스와 연결된 ID(예: `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` 또는 `threatIpSet`)가 필요합니다.
**신뢰할 수 있는 엔터티 목록을 업데이트하고 활성화하려면**
1. [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 업데이트하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 목록의 `name`를 업데이트하고이 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**위협 엔터티 목록을 업데이트하고 활성화하려면**
1. [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
1. 또는 목록의 `name`를 업데이트하고이 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 위협 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 `--detector-id` 값과 연결된 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 이 목록을 활성화할 때 오류가 발생합니다.
사용자 지정 위협 및 사용자 지정 신뢰할 수 있는 엔터티 세트에만 적용 - 지원되는 다음 형식과 일치하지 않는 위치 URL을 제공하면 목록 추가 및 활성화 중에 오류 메시지가 표시됩니다.
**신뢰할 수 있는 IP 주소 목록을 업데이트하고 활성화하려면**
1. [CreateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html)를 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 업데이트하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. 또는 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 신뢰할 수 있는 IP 목록을 업데이트할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
**위협 IP 목록을 추가하고 활성화하려면**
1. [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html)를 실행합니다. 이 위협 IP 주소 목록을 만들려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**목록 이름 지정 제약 조건** - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(\$1)을 포함할 수 있습니다.
IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.
1. 또는 목록을 활성화하는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행할 수 있습니다.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`를 위협 IP 목록을 업데이트할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
새로 생성된이 목록을 활성화하지 않으려면 파라미터 `--activate`를 `--no-activate`로 바꿉니다.
`expected-bucket-owner` 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. `expected-bucket-owner` 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 `--location` 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.
------
# 엔터티 목록 또는 IP 주소 목록 비활성화
GuardDuty가 더 이상 목록을 사용하지 않도록 하려면 목록을 비활성화하면 됩니다. 완료하는 데 몇 분이 걸릴 수도 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오. 목록이 비활성화된 후에는 엔터티 목록 또는 IP 주소 목록의 항목이 GuardDuty의 위협 탐지에 영향을 주지 않습니다.
액세스 방법 중 하나를 선택하여 목록을 비활성화합니다.
------
#### [ Console ]
**엔터티 목록 또는 IP 주소 목록을 비활성화하려면**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 비활성화하려는 목록이 포함된 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 선택한 탭에서 비활성화할 목록을 선택합니다.
1. **작업**을 선택한 후 **비활성화**를 선택합니다.
1. 작업을 확인하고 **비활성화**를 선택합니다.
------
#### [ API/CLI ]
다음 절차를 시작하려면 비활성화하려는 목록 리소스에 연결된 ID(예: `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet`, `threatIpSet`)가 필요합니다.
**신뢰할 수 있는 엔터티 목록을 비활성화하려면**
1. [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 신뢰할 수 있는 엔터티 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 비활성화할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**위협 엔터티 목록을 비활성화하려면**
1. [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`를 위협 엔터티 목록을 생성할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**신뢰할 수 있는 IP 주소 목록을 비활성화하려면**
1. [UpdateIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html)을 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 신뢰할 수 있는 IP 주소 목록을 비활성화할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**위협 IP 목록을 비활성화하려면**
1. [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html)을 실행합니다. 이 위협 IP 주소 목록을 비활성화하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 위협 IP 목록을 비활성화할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# 엔터티 목록 또는 IP 주소 목록 삭제
엔터티 세트 또는 IP 주소 세트에 목록 항목을 더 이상 유지하지 않으려면 삭제할 수 있습니다. 완료하는 데 몇 분이 걸릴 수도 있습니다. 자세한 내용은 [GuardDuty 목록에 대한 중요 고려 사항](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations) 단원을 참조하십시오.
목록의 상태가 **활성화** 또는 **비활성화**인 경우 작업을 수행하기 전에 몇 분 동안 기다려야 합니다. 자세한 내용은 [목록 상태 이해](guardduty_upload-lists.md#guardduty-entity-list-statuses) 단원을 참조하십시오.
액세스 방법 중 하나를 선택하여 목록을 삭제합니다.
------
#### [ Console ]
**엔터티 목록 또는 IP 주소 목록을 삭제하려면**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **목록**을 선택합니다.
1. **목록** 페이지에서 목록을 삭제할 탭(**엔터티 목록** 또는 **IP 주소 목록**)을 선택합니다.
1. 선택한 탭에서 삭제할 목록을 선택합니다.
1. **작업**을 선택한 후 **삭제**를 선택합니다.
목록 상태가 **삭제 보류 중**으로 변경됩니다. 목록이 삭제되는 데 몇 분 정도 걸릴 수 있습니다.
------
#### [ API/CLI ]
다음 절차를 시작하려면 삭제하려는 목록 리소스에 연결된 ID(예: `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet`, `threatIpSet`)가 필요합니다.
**신뢰할 수 있는 엔터티 목록을 삭제하려면**
1. [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html)를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 신뢰할 수 있는 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**위협 엔터티 목록을 비활성화하려면**
1. [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html)를 실행합니다. 이 위협 엔터티 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하여 이 작업을 수행해도 됩니다.
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 위협 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**신뢰할 수 있는 IP 주소 목록을 삭제하려면**
1. [DeleteIPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html)을 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 신뢰할 수 있는 IP 주소 목록을 삭제할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 위협 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
**위협 IP 목록을 삭제하려면**
1. [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html)을 실행합니다. 이 위협 IP 주소 목록을 삭제하려는 멤버 계정의 `detectorId`를 제공해야 합니다. 계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. 또는 다음 AWS Command Line Interface 명령을 실행하고 `detector-id`를 위협 IP 목록을 삭제할 멤버 계정의 탐지기 ID로 바꿉니다.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`를 위협 엔터티 목록을 삭제할 멤버 계정의 탐지기 ID와 *빨간색으로 표시된* 기타 자리 표시자 값으로 바꿉니다.
------
# 생성된 GuardDuty 조사 결과를 Amazon S3 버킷으로 내보내기
GuardDuty는 생성된 조사 결과를 90일 동안 보관합니다. GuardDuty는 활성 검색 조사 결과를 Amazon EventBridge(이벤트 브리지)로 내보냅니다. 선택적으로 생성된 조사 결과를 Amazon S3(Amazon Simple Storage Service) 버킷으로 내보낼 수 있습니다. 이를 통해 계정에서 잠재적으로 의심스러운 활동의 기록 데이터를 추적하고 권장 수정 단계가 성공적으로 수행되었는지 평가할 수 있습니다.
GuardDuty가 생성하는 모든 새 활성 검색 조사 결과는 검색 조사 결과가 생성된 후 약 5분 이내에 자동으로 내보내집니다. 활성 조사 결과에 대한 업데이트가 EventBridge로 내보내는 빈도를 설정할 수 있습니다. 선택한 빈도는 기존 조사 결과의 새로운 발생을 EventBridge, S3 버킷(구성된 경우) 및 Detective(통합된 경우)로 내보내는 데 적용됩니다. GuardDuty가 기존 조사 결과의 여러 발생을 집계하는 방법에 대한 자세한 내용은 [GuardDuty 결과 집계](finding-aggregation.md)을 참조하세요.
Amazon S3 버킷으로 조사 결과를 내보내도록 설정을 구성하면 GuardDuty는 AWS Key Management Service (AWS KMS)를 사용하여 S3 버킷의 조사 결과 데이터를 암호화합니다. 이렇게 하려면 S3 버킷과 AWS KMS 키에 권한을 추가해야 GuardDuty가 이를 사용하여 계정의 결과를 내보낼 수 있습니다.
**Topics**
+ [고려 사항](#guardduty-export-findings-considerations)
+ [1단계 - 조사 결과 내보내기에 필요한 권한](#guardduty_exportfindings-permissions)
+ [2단계 - KMS 키에 정책 연결](#guardduty-exporting-findings-kms-policy)
+ [3단계 - Amazon S3 버킷에 정책 첨부하기](#guardduty_exportfindings-s3-policies)
+ [4단계 - S3 버킷으로 조사 결과 내보내기(콘솔)](#guardduty_exportfindings-new-bucket)
+ [5단계 - 업데이트된 활성 조사 결과 내보내기 빈도 설정하기](#guardduty_exportfindings-frequency)
## 고려 사항
조사 결과를 내보내기 위한 전제 조건과 단계를 진행하기 전에 다음과 같은 주요 개념을 고려하세요.
+ **내보내기 설정은 리전 기준** - GuardDuty를 사용하는 각 리전에 대해 내보내기 옵션을 구성해야 합니다.
+ **다른 AWS 리전 (리전 간)의 Amazon S3 버킷으로 조사 결과 내보내기** - GuardDuty는 다음과 같은 내보내기 설정을 지원합니다.
+ Amazon S3 버킷 또는 객체와 AWS KMS 키는 동일한에 속해야 합니다 AWS 리전.
+ 상업 리전에서 생성된 조사 결과의 경우, 이러한 조사 결과를 모든 상업 리전의 S3 버킷으로 내보내도록 선택할 수 있습니다. 그러나 이러한 조사 결과를 옵트인 리전에서는 S3 버킷으로 내보낼 수 없습니다.
+ 옵트인 리전에서 생성된 조사 결과의 경우 해당 조사 결과를 생성된 동일한 옵트인 리전 또는 상용 리전으로 내보낼 수 있습니다. 그러나 한 리전(리전)에서 다른 리전으로 조사 결과를 내보낼 수는 없습니다.
+ **조사 결과 내보내기 권한** - 활성 조사 결과 내보내기에 대한 설정을 구성하려면 S3 버킷에 GuardDuty가 객체를 업로드할 수 있는 권한이 있어야 합니다. 또한 GuardDuty가 조사 결과를 암호화하는 데 사용할 수 있는 AWS KMS 키가 있어야 합니다.
+ **보관된 조사 결과는 내보내지 않음** - 억제된 조사 결과의 새 인스턴스를 포함하여 보관된 조사 결과는 내보내지 않습니다.
GuardDuty 결과가 *아카이브됨*으로 생성되면 *아카이브 해제*해야 합니다. 이렇게 하면 **필터 결과 상태**가 **활성**으로 변경됩니다. GuardDuty는 [5단계 - 조사 결과 내보내기 빈도](#guardduty_exportfindings-frequency)를 구성 방식에 따라 기존 아카이브되지 않은 조사 결과에 대한 업데이트를 내보냅니다.
+ **GuardDuty 관리자 계정에서 연결된 멤버 계정에서 생성된 조사 결과 내보내기 가능** - 관리자 계정에서 조사 결과 내보내기를 구성하면 동일한 리전에서 생성된 연결된 멤버 계정의 모든 조사 결과도 관리자 계정에 대해 구성한 것과 동일한 위치로 내보내집니다. 자세한 내용은 [GuardDuty 관리자 계정 및 멤버 계정 간의 관계 이해](administrator_member_relationships.md) 단원을 참조하십시오.
## 1단계 - 조사 결과 내보내기에 필요한 권한
조사 결과 내보내기 설정을 구성할 때 조사 결과를 저장할 수 있는 Amazon S3 버킷과 데이터 암호화에 사용할 AWS KMS 키를 선택합니다. GuardDuty 작업에 대한 권한 외에도 다음 작업에 대한 권한이 있어야 조사 결과 내보내기를 위한 설정을 성공적으로 구성할 수 있습니다.
+ `s3:GetBucketLocation`
+ `s3:PutObject`
조사 결과를 Amazon S3 버킷의 특정 접두사로 내보내야 하는 경우 IAM 역할에 다음 권한도 추가해야 합니다.
+ `s3:GetObject`
+ `s3:ListBucket`
## 2단계 - KMS 키에 정책 연결
GuardDuty는를 사용하여 버킷의 결과 데이터를 암호화합니다 AWS Key Management Service. 설정을 성공적으로 구성하려면 먼저 GuardDuty에 KMS 키를 사용할 수 있는 권한을 부여해야 합니다. KMS 키에 [정책을 연결](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)하여 권한을 부여할 수 있습니다.
다른 계정의 KMS 키를 사용하는 경우 키를 소유 AWS 계정 한에 로그인하여 키 정책을 적용해야 합니다. 검색 조사 결과를 내보내도록 설정을 구성할 때는 키를 소유한 계정의 ARN 키도 필요합니다.
**내보낸 조사 결과를 암호화하도록 GuardDuty의 KMS 키 정책을 수정하려면 다음과 같이 하세요.**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
1. 기존 KMS 키를 선택하거나 *AWS Key Management Service 개발자 안내서*에서 내보낸 조사 결과를 암호화하는 데 사용할 [새 키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) 단계를 수행합니다.
**참고**
KMS 키와 Amazon S3 버킷 AWS 리전 의는 동일해야 합니다.
동일한 S3 버킷과 KMS 키 쌍을 사용하여 모든 해당 리전에서 조사 결과를 내보낼 수 있습니다. 자세한 내용은 리전 간 조사 결과 내보내기에 대한 [고려 사항](#guardduty-export-findings-considerations)를 참조하세요.
1. **키 정책** 섹션에서 **편집**을 선택합니다.
**정책 보기로 전환**이 표시되면 이 옵션을 선택하여 **키 정책**을 표시한 다음 **편집**을 선택합니다.
1. 다음 정책 블록을 KMS 키 정책에 복사하여 GuardDuty에 키 사용 권한을 부여하세요.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. 정책 예제에서 **빨간색**으로 형식이 지정된 다음 값을 대체하여 정책을 편집합니다.
1. *KMS 키 ARN*을 KMS 키의 Amazon 리소스 이름(ARN)으로 바꿉니다. 키 ARN을 찾으려면 *AWS Key Management Service 개발자 가이드*에서 [키 ID 및 ARN 찾기](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)를 참조하세요.
1. *123456789012*을 조사 결과를 내보내는 GuardDuty 계정을 소유한 AWS 계정 ID로 바꿉니다.
1. *Region2*를 GuardDuty 조사 결과가 생성되는 AWS 리전 로 바꿉니다.
1. *SourceDetectorID*를 조사 결과가 생성된 특정 리전에 있는 GuardDuty 계정의 `detectorID`로 바꿉니다.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
**참고**
옵트인 지역에서 GuardDuty를 사용하는 경우 '서비스' 값을 해당 지역의 리전 엔드포인트로 바꾸세요. 예를 들어 중동(바레인) (me-south-1) 리전에서 GuardDuty를 사용하는 경우 `"Service": "guardduty.amazonaws.com"`을 `"Service": "guardduty.me-south-1.amazonaws.com"`으로 바꿉니다. 각 옵트인 리전의 엔드포인트에 대한 자세한 내용은 [GuardDuty 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)을 참조하세요.
1. 최종 문 앞에 정책 문구를 추가한 경우 이 문구를 추가하기 전에 쉼표를 추가합니다. KMS 키 정책의 JSON 구문이 유효한지 확인합니다.
**저장**을 선택합니다.
1. (선택 사항) 이후 단계에서 사용할 수 있도록 키 ARN을 메모장에 복사합니다.
## 3단계 - Amazon S3 버킷에 정책 첨부하기
검색 조사 결과를 내보낼 Amazon S3 버킷에 권한을 추가하여 GuardDuty가 이 S3 버킷에 객체를 업로드할 수 있도록 합니다. 계정 또는 다른에 속하는 Amazon S3 버킷을 사용하는 AWS 계정것과 관계없이 이러한 권한을 추가해야 합니다.
어느 시점에서든 다른 S3 버킷으로 조사 결과를 내보내기로 결정한 경우, 조사 결과를 계속 내보내려면 해당 S3 버킷에 권한을 추가하고 조사 결과 내보내기 설정을 다시 구성해야 합니다.
이러한 조사 결과를 내보내려는 Amazon S3 버킷이 아직 없는 경우 *Amazon S3 사용 설명서*의 [버킷 생성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)을 참조하세요.
### S3 버킷 정책에 권한을 첨부
1. **버킷 정책 편집** 페이지가 나타날 때까지 *Amazon S3 사용 설명서*의 [버킷 정책을 만들거나 편집](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)하려면 아래의 단계를 수행합니다.
1. 다음 **예시 정책**은 GuardDuty에 Amazon S3 버킷으로 검색 조사 결과를 내보낼 수 있는 권한을 부여하는 방법을 보여줍니다. 조사 결과 내보내기를 구성한 후 경로를 변경하는 경우에는 새 위치에 권한을 부여하도록 정책을 수정해야 합니다.
다음 **예시 정책**을 복사한 다음 **버킷 정책 편집기**에 붙여넣습니다.
최종 문 앞에 정책 문구를 추가한 경우 이 문구를 추가하기 전에 쉼표를 추가합니다. KMS 키 정책의 JSON 구문이 유효한지 확인합니다.
**S3 버킷 예시 정책**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. 정책 예제에서 **빨간색**으로 형식이 지정된 다음 값을 대체하여 정책을 편집합니다.
1. *Amazon S3 버킷 ARN*을 Amazon S3 버킷의 Amazon 리소스 이름(ARN)으로 바꿉니다. **버킷 ARN**은 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 콘솔의 **버킷 정책 편집** 페이지에서 찾을 수 있습니다.
1. *123456789012*을 조사 결과를 내보내는 GuardDuty 계정을 소유한 AWS 계정 ID로 바꿉니다.
1. *us-east-2*를 GuardDuty 조사 결과가 생성되는 AWS 리전 으로 바꿉니다.
1. *SourceDetectorID*를 조사 결과가 생성된 특정 리전에 있는 GuardDuty 계정의 `detectorID`로 바꿉니다.
계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.
1. *S3 버킷 ARN/[선택 접두사]* 자리 표시자 값의 *[선택 접두사]* 부분을 조사 결과를 내보낼 폴더 위치(선택 사항)로 바꿉니다. 접두사 사용에 대한 자세한 내용은 *Amazon S3 사용 설명서*의 [접두사를 사용하여 객체 구성하기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)를 참조하세요.
아직 존재하지 않는 폴더 위치를 선택 사항으로 제공하면 GuardDuty는 S3 버킷과 연결된 계정이 조사 결과를 내보내는 계정과 동일한 경우에만 해당 위치를 생성합니다. 다른 계정에 속한 S3 버킷으로 조사 결과물을 내보내는 경우 폴더 위치가 이미 존재해야 합니다.
1. *KMS 키 ARN*을 S3 버킷으로 내보낸 조사 결과의 암호화와 연결된 KMS 키의 Amazon 리소스 이름(ARN)으로 바꿉니다. 키 ARN을 찾으려면 *AWS Key Management Service 개발자 가이드*에서 [키 ID 및 ARN 찾기](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)를 참조하세요.
**참고**
옵트인 지역에서 GuardDuty를 사용하는 경우 '서비스' 값을 해당 지역의 리전 엔드포인트로 바꾸세요. 예를 들어 중동(바레인) (me-south-1) 리전에서 GuardDuty를 사용하는 경우 `"Service": "guardduty.amazonaws.com"`을 `"Service": "guardduty.me-south-1.amazonaws.com"`으로 바꿉니다. 각 옵트인 리전의 엔드포인트에 대한 자세한 내용은 [GuardDuty 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)을 참조하세요.
1. **저장**을 선택합니다.
## 4단계 - S3 버킷으로 조사 결과 내보내기(콘솔)
GuardDuty를 사용하면 조사 결과를 다른 AWS 계정의 기존 버킷으로 내보낼 수 있습니다.
새 S3 버킷을 만들거나 계정에서 기존 버킷을 선택할 때 선택적 접두사를 추가할 수 있습니다. 조사 결과 내보내기를 구성할 때 GuardDuty는 조사 결과물을 위한 새 폴더를 S3 버킷에 만듭니다. 이 접두사는 GuardDuty가 만든 기본 폴더 구조에 추가됩니다. 예를 들어, 선택적 접두사 `/AWSLogs/123456789012/GuardDuty/Region`의 형식입니다.
S3 객체의 전체 경로는 `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz` 입니다. `UUID`는 무작위로 생성되며 감지기 ID 또는 결과 ID를 나타내지 않습니다.
**중요**
KMS 키와 S3 버킷이 동일한 리전에 있어야 합니다.
이 단계를 완료하기 전에 각 정책을 KMS 키와 기존 S3 버킷에 첨부했는지 확인하세요.
**조사 결과 내보내기 구성**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지의 **조사 결과 내보내기 옵션**에서 **S3 버킷**에 대해 **지금 구성**(또는 필요에 따라 **편집**)을 선택합니다.
1. **S3 버킷 ARN**에 ****bucket ARN****를 입력합니다. 버킷 ARN을 찾으려면 *Amazon S3 사용 설명서*의 [S3 버킷 속성 보기](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)를 참조하세요.
1. **KMS 키 ARN**에 ****key ARN****를 입력합니다. 키 ARN을 찾으려면 *AWS Key Management Service 개발자 가이드*에서 [키 ID 및 ARN 찾기](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)를 참조하세요.
1.
**연결 정책.**
+ S3 버킷 정책을 첨부하는 단계를 수행합니다. 자세한 내용은 [3단계 - Amazon S3 버킷에 정책 첨부하기](#guardduty_exportfindings-s3-policies) 단원을 참조하십시오.
+ KMS 키 정책을 첨부하는 단계를 수행합니다. 자세한 내용은 [2단계 - KMS 키에 정책 연결](#guardduty-exporting-findings-kms-policy) 단원을 참조하십시오.
1. **저장**을 선택합니다.
## 5단계 - 업데이트된 활성 조사 결과 내보내기 빈도 설정하기
사용자 환경에 맞게 업데이트된 활성 검색 조사 결과를 내보내는 빈도를 구성하세요. 기본적으로 업데이트된 결과는 6시간마다 내보내집니다. 즉, 가장 최근 내보내기 이후에 업데이트된 모든 결과가 새 내보내기에 포함됩니다. 업데이트된 결과를 6시간마다 내보내고 내보내기가 12:00에 발생하는 경우 12:00 이후에 업데이트한 결과는 18:00에 내보냅니다.
**빈도를 설정하려면**
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. **설정**을 선택합니다.
1. **결과 내보내기 옵션** 섹션에서 **결과 업데이트 빈도**를 선택합니다. 이렇게 하면 업데이트된 활성 검색 조사 결과를 EventBridge와 Amazon S3 모두에 내보내는 빈도가 설정됩니다. 사용자는 다음 중에서 선택할 수 있습니다.
+ **15분마다 EventBridge 및 S3 업데이트**
+ **1시간마다 EventBridge 및 S3 업데이트**
+ **EventBridge 및 S3 6시간마다 업데이트(기본값)**
1. **변경 사항 저장**을 선택합니다.
# Amazon EventBridge를 사용하여 GuardDuty 조사 결과 처리
GuardDuty는 서버리스 이벤트 버스 서비스인 Amazon EventBridge(이전 Amazon CloudWatch Events)에 자동으로 조사 결과를 이벤트로 게시(전송)합니다. EventBridge는 애플리케이션 및 서비스의 실시간에 가까운 데이터 스트림을 Amazon Simple Notification Service(Amazon SNS) 주제, AWS Lambda 함수 및 Amazon Kinesis 스트림과 같은 대상으로 제공합니다. 자세한 내용은 [Amazon EventBridge 사용 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)를 참조하세요.
EventBridge를 사용하면 [이벤트](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html)를 수신하여 GuardDuty 조사 결과를 자동으로 모니터링하고 처리할 수 있습니다. EventBridge는 새로 생성된 조사 결과와 집계된 조사 결과 모두에 대한 이벤트를 수신하며, 기존 조사 결과의 후속 발생은 원본과 결합됩니다. 모든 GuardDuty 조사 결과에는 조사 결과 ID가 할당됩니다. GuardDuty는 각 조사 결과마다 고유한 조사 결과 ID를 포함한 EventBridge 이벤트를 생성합니다. GuardDuty에서 집계가 작동하는 방식에 대한 자세한 내용은 [GuardDuty 결과 집계](finding-aggregation.md) 섹션을 참조하세요.
자동 모니터링 및 처리 외에도 EventBridge를 사용하면 조사 결과 데이터를 장기간 보존할 수 있습니다. GuardDuty는 90일 동안 조사 결과를 저장합니다. EventBridge를 사용하면 조사 결과 데이터를 선호하는 스토리지 플랫폼으로 보내고 원하는 기간 동안 데이터를 저장할 수 있습니다. 더 긴 기간 동안 조사 결과를 유지하기 위해 GuardDuty는 [생성된 조사 결과를 Amazon S3로 내보내기](guardduty_exportfindings.md)를 지원합니다.
**Topics**
+ [GuardDuty의 EventBridge 알림 빈도](#eventbridge-freq-notifications-gdu)
+ [Amazon SNS 주제 및 엔드포인트 설정](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [GuardDuty에서 EventBridge 사용](#eventbridge_events)
+ [EventBridge 규칙 생성](#guardduty_eventbridge_severity_notification)
+ [다중 계정 환경용 EventBridge 규칙](#guardduty_findings_eventbridge_multiaccount)
## GuardDuty의 EventBridge 알림 빈도 이해
이 섹션에서는 EventBridge를 통해 조사 결과 알림을 수신하는 빈도와 후속 조사 결과 발생 빈도를 업데이트하는 방법을 설명합니다.
**고유한 조사 결과 ID가 있는 새로 생성된 조사 결과 알림**
GuardDuty는 고유한 조사 결과 ID로 조사 결과를 생성할 때 거의 실시간으로 이러한 알림을 보냅니다. 알림에는 알림 생성 프로세스 중에이 조사 결과 ID의 모든 후속 발생이 포함됩니다.
새로 생성된 조사 결과의 알림 빈도는 거의 실시간으로 표시됩니다. 기본적으로 이 빈도는 수정할 수 없습니다.
**후속 결과 발생에 대한 알림**
GuardDuty는 6시간 간격 내에 발생하는 특정 조사 결과 유형의 모든 후속 발생 사례를 한 이벤트로 통합합니다. 관리자 계정만 후속 조사 결과 발생에 대한 EventBridge 알림 빈도를 업데이트할 수 있습니다. 멤버 계정은 자신의 계정에 대해 이 빈도를 업데이트할 수 없습니다. 예를 들어 위임된 GuardDuty 관리자 계정이 빈도를 1시간으로 업데이트하는 경우 모든 멤버 계정은 EventBridge로 전송된 후속 조사 결과 발생에 대해서도 1시간의 알림 빈도를 갖습니다. 자세한 내용은 [Amazon GuardDuty에서 다중 계정](guardduty_accounts.md) 단원을 참조하십시오.
관리자 계정에서는 후속 검색어 발생에 대한 알림의 기본 빈도를 사용자 지정할 수 있습니다. 가능한 값은 15분, 1시간 또는 기본값 6시간입니다. 이러한 알림의 빈도 설정에 대한 자세한 내용은 [5단계 - 업데이트된 활성 조사 결과 내보내기 빈도 설정하기](guardduty_exportfindings.md#guardduty_exportfindings-frequency) 섹션을 참조하세요.
멤버 계정에 대한 EventBridge 알림을 수신하는 관리자 계정에 대한 자세한 내용은 [다중 계정 환경용 EventBridge 규칙](#guardduty_findings_eventbridge_multiaccount) 섹션을 참조하세요.
## Amazon SNS 주제 및 엔드포인트 설정(이메일, Slack 및 Amazon Chime)
Amazon Simple Notification Service(Amazon SNS)는 게시자에서 구독자에게 메시지를 전송하는 관리형 서비스입니다. 게시자는 *주제*에 메시지를 전송하여 구독자와 비동기적으로 통신합니다. 주제는 AWS Lambda Amazon Simple Queue Service(Amazon SQS), HTTP/S 및 이메일 주소와 같은 여러 엔드포인트를 그룹화할 수 있는 논리적 액세스 포인트 및 통신 채널입니다.
**참고**
EventBridge 이벤트 규칙 생성 중 또는 생성 후 선호하는 이벤트 규칙에 Amazon SNS 주제를 추가할 수 있습니다.
**Amazon SNS 주제 생성**
시작하려면 먼저 Amazon SNS에서 주제를 설정하고 엔드포인트를 추가해야 합니다. 주제를 생성하려면 *Amazon Simple Notification Service 개발자 안내서*의 [Step 1: Creating a topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)의 단계를 수행하세요. 주제가 생성되면 주제 ARN을 클립보드에 복사합니다. 이 주제 ARN을 사용하여 기본 설정 중 하나를 계속 진행합니다.
원하는 방법을 선택하여 GuardDuty 조사 결과 데이터를 전송할 위치를 설정합니다.
------
#### [ Email setup ]
**이메일 엔드포인트를 설정하려면**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 이후 다음 단계는이 주제에 대한 구독을 생성하는 것입니다. *Amazon Simple Notification Service 개발자 안내서*의 [Step 2: Creating a subscription to an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) 아래의 단계를 수행하세요.
1. **주제 ARN**의 경우 [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 단계에서 생성된 주제 ARN을 사용합니다. ARN 주제는 다음과 유사합니다.
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. **프로토콜**에서 **이메일**을 선택합니다.
1. **엔드포인트**는 Amazon SNS 알림을 받을 이메일 주소를 입력합니다.
구독이 생성된 후에는 이메일 클라이언트를 통해 이를 확인해야 합니다.
------
#### [ Slack setup ]
**채팅 애플리케이션 - Slack에서 Amazon Q Developer 구성하기**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 이후 다음 단계는 Slack용 클라이언트를 구성하는 것입니다.
*채팅 애플리케이션의 Amazon Q Developer 관리자 안내서*의 [Tutorial: Get started with Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html)에서 단계를 수행합니다.
------
#### [ Chime setup ]
**채팅 애플리케이션 - Chime에서 Amazon Q Developer 구성하기**
[Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge) 이후 다음 단계는 Chime용 Amazon Q Developer를 구성하는 것입니다.
*채팅 애플리케이션의 Amazon Q Developer 관리자 안내서*의 [Tutorial: Get started with Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html)에서 단계를 수행합니다.
------
## GuardDuty 조사 결과에 Amazon EventBridge 사용
EventBridge를 사용하면 모니터링하려는 이벤트를 지정하는 규칙을 생성합니다. 또한 이러한 규칙은 이러한 이벤트가 발생할 경우 자동화된 작업을 수행할 수 있는 대상 서비스 및 애플리케이션을 지정합니다. [대상](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html)은 이벤트가 규칙에 정의된 이벤트 패턴과 일치할 때 EventBridge가 이벤트를 전송하는 대상(리소스 또는 엔드포인트)입니다. 각 이벤트는 AWS 이벤트에 대한 EventBridge 스키마를 준수하는 JSON 객체이며, 조사 결과의 JSON 표현을 포함합니다. 특정 기준을 충족하는 이벤트만 전송하도록 규칙을 조정할 수 있습니다. 자세한 내용은 [JSON 스키마 주제]를 참조하세요. 조사 결과 데이터는 [EventBridge 이벤트](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html)로 구조화되므로 다른 애플리케이션, 서비스 및 도구를 사용하여 조사 결과를 모니터링, 처리하고 이에 따라 조치를 취할 수 있습니다.
이벤트에 기반한 GuardDuty 조사 결과에 대해 알림을 받으려면 GuardDuty에 대한 EventBridge 규칙 및 목표를 생성해야 합니다. 이 규칙은 규칙에 지정된 목표에 대해 GuardDuty에서 발생하는 조사 결과에 대한 알림을 보내도록 EventBridge를 활성화합니다.
**참고**
EventBridge와 CloudWatch Event는 기본 서비스 및 API가 동일합니다. 그러나 EventBridge에는 서비스형 소프트웨어(SaaS)애플리케이션 및 자체 애플리케이션에서 이벤트를 수신할 수 있는 추가 기능이 포함되어 있습니다. 기본 서비스와 API가 동일하기 때문에 GuardDuty 조사 결과의 이벤트 스키마도 동일합니다.
**GuardDuty에서 보관 및 보관되지 않은 조사 결과가 EventBridge와 작동하는 방법**
수동으로 보관하는 조사 결과의 경우, 그 조사 결과의 초기 발생과 후속 발생(보관 완료 후 생성된 것)은 특정 알림 빈도에 따라 EventBridge로 전송됩니다. 자세한 내용은 [GuardDuty의 EventBridge 알림 빈도 이해](#eventbridge-freq-notifications-gdu) 단원을 참조하십시오.
[억제 규칙](findings_suppression-rule.md)로 자동 보관빙되는 조사 결과의 경우, 그 조사 결과의 초기 발생과 이후 모든 발생(보관 완료 후 생성된 것)은 EventBridge로 전송되지 *않습니다*. 자동으로 보관된 이 조사 결과는 GuardDuty 콘솔에서 확인할 수 있습니다.
### 이벤트 스키마
[이벤트 패턴](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)이 이벤트를 대상으로 전송할지 여부를 결정하는 데 EventBridge가 사용하는 데이터를 정의합니다. GuardDuty용 EventBridge 이벤트의 형식은 다음과 같습니다.
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
`detail` 값은 한 조사 결과의 JSON 세부 정보를 객체 형태로 반환합니다. 이는 배열 내에 여러 조사 결과를 지원하는 전체 *조사 결과* 응답 구문을 반환하는 것과 대비됩니다.
`GUARDDUTY_FINDING_JSON_OBJECT`에 포함된 모든 파라미터의 전체 목록은 [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax)를 참조하세요. `GUARDDUTY_FINDING_JSON_OBJECT`에 보이는`id` 파라미터가 이전에 설명한 결과 ID입니다.
## GuardDuty 조사 결과를 위한 EventBridge 규칙 생성
다음 절차에서는 Amazon EventBridge 콘솔 및 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)를 사용하여 GuardDuty 조사 결과에 대한 EventBridge 규칙을 생성하는 방법에 대해 설명합니다. 규칙은 GuardDuty 결과에 대한 이벤트 스키마 및 패턴을 사용하는 EventBridge 이벤트를 감지하고 처리를 위해 해당 이벤트를 AWS Lambda 함수로 보냅니다.
AWS Lambda 는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행하는 데 사용할 수 있는 컴퓨팅 서비스입니다. 코드를 패키징하여에 *Lambda 함수* AWS Lambda 로 업로드합니다. AWS Lambda 그런 다음 함수가 호출될 때 함수를 실행합니다. 함수는 이벤트에 대한 응답으로 또는 애플리케이션 또는 서비스의 요청에 대한 응답으로 사용자가 수동으로 또는 자동으로 호출할 수 있습니다. Lambda 함수에 대한 자세한 내용은 [AWS Lambda 개발자 가이드](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)를 참조하세요.
원하는 방법을 선택하여 GuardDuty 조사 결과를 대상으로 보내는 EventBridge 규칙을 생성합니다.
------
#### [ Console ]
이 단계에 따라 Amazon EventBridge 콘솔을 사용하여 모든 GuardDuty 조사 결과 이벤트를 Lambda 함수로 자동 전송하여 처리하는 규칙을 생성합니다. 규칙은 특정 이벤트가 수신될 때 실행되는 규칙의 기본 설정을 사용합니다. 규칙 설정에 대한 자세한 내용이나 사용자 지정 설정을 사용하는 규칙을 생성하는 방법을 알아보려면 *Amazon EventBridge 사용 설명서*의 [Creating rules that react to events](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) 섹션을 참조하세요.
규칙을 생성하려면 규칙에서 대상으로 사용하도록 하려는 Lambda 함수를 생성합니다. 규칙을 생성할 때 이 함수를 규칙의 대상으로 지정해야 합니다. 대상은 이전에 생성한 SNS 주제일 수도 있습니다. 자세한 내용은 [Amazon SNS 주제 및 엔드포인트 설정(이메일, Slack 및 Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint) 단원을 참조하십시오.
**콘솔을 사용하여 이벤트 규칙을 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/) Amazon EventBridge 콘솔을 엽니다.
1. 탐색 창의 **버스** 아래에서 **규칙**을 선택합니다.
1. **Rules(규칙)** 섹션에서 **Create rule(규칙 생성)**을 선택합니다.
1. **규칙 세부 정보 정의** 페이지에서 다음을 수행합니다.
1. **Name(이름)**에 규칙 이름을 입력합니다.
1. (선택 사항) **설명**에 규칙에 대한 간략한 설명을 입력합니다.
1. **이벤트 버스**의 경우 **기본값**이 선택되어 있고 **선택한 이벤트 버스에 대해 규칙 활성화**가 켜져 있는지 확인하세요.
1. **규칙 유형**에서 **이벤트 패턴이 있는 규칙**을 생성합니다.
1. 마쳤으면 **다음**을 선택합니다.
1. **이벤트 패턴 빌드** 페이지에서 다음을 수행합니다.
1. **이벤트 소스**에서 **AWS 이벤트 또는 EventBridge 파트너 이벤트**를 선택합니다.
1. (선택 사항) **샘플 이벤트**의 경우 GuardDuty의 샘플 조사 결과 이벤트를 검토하여 이벤트에 포함될 수 있는 항목을 알아보세요. 이렇게 하려면 **AWS 이벤트**를 선택하세요. 그런 다음 **샘플 이벤트**에서 **GuardDuty 조사 결과**를 선택합니다.
1.
**옵션 1 - EventBridge가 제공하는 템플릿인 패턴 양식 사용**
**이벤트 패턴** 섹션에서 다음을 수행합니다.
1. **생성 방법**은 **패턴 양식 사용**을 선택합니다.
1. **이벤트 소스**에서 **AWS 서비스**를 선택합니다.
1. **AWS 서비스**는 **GuardDuty**를 선택합니다.
1. **이벤트 유형**에서 **GuardDuty 조사 결과**를 선택합니다.
마쳤으면 **다음**을 선택합니다.
1.
**옵션 2 - JSON에서 사용자 지정 이벤트 패턴 사용**
**이벤트 패턴** 섹션에서 다음을 수행합니다.
1. **생성 방법**은 **사용자 지정 패턴(JSON 편집기)**을 선택합니다.
1. **이벤트 패턴**에 다음과 같은 사용자 지정 JSON을 붙여넣으면 중간, 높음 및 중요 조사 결과에 대한 알림이 생성됩니다. 자세한 내용은 [검색 조사 결과 심각도 수준](guardduty_findings-severity.md) 단원을 참조하십시오.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
마쳤으면 **다음**을 선택합니다.
1.
**옵션 A AWS 서비스 - AWS Lambda 대상으로 선택**
**대상 선택** 페이지에서 다음을 수행합니다.
1. **대상 유형**의 경우 **AWS 서비스**를 선택합니다.
1. **대상 선택**에서 **Lambda 함수**를 선택합니다. 그런 다음 **함수**에서 이벤트를 보낼 함수를 선택합니다.
1. **버전/별칭 구성**에 대상 Lambda 함수의 버전 또는 별칭 설정을 입력합니다.
1. (선택 사항) **추가 설정**의 경우 사용자 지정 설정을 입력하여 Lambda 함수로 전송할 이벤트 데이터를 지정합니다. 함수에 성공적으로 전달되지 않은 이벤트를 처리하는 방법도 지정할 수 있습니다.
1. 마쳤으면 **다음**을 선택합니다.
1.
**옵션 B - 대상으로 SNS 주제 선택**
**대상 선택** 페이지에서 다음을 수행합니다.
1. **대상 유형**의 경우 **AWS 서비스**를 선택합니다.
1. **대상 선택**에서 **SNS 주제**를 선택합니다. 그런 다음 **대상 위치**에서 대상 위치에 따라 적절한 옵션을 선택합니다. **주제**는 생성한 SNS 주제의 이름을 선택합니다.
1. **추가 설정**을 폅니다. **대상 입력 구성**은 **입력 트랜스포머**를 선택합니다.
1. **Configure input transformer**(입력 구성 변환기)를 선택합니다.
1. 다음 코드를 복사하여 **대상 입력 트랜스포머** 섹션 아래의 **입력 경로** 필드에 붙여 넣으세요.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. 다음 코드를 복사하고 **템플릿** 필드에 붙여 넣어 이메일의 형식을 지정합니다.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. **태그 구성** 페이지에서 규칙에 할당할 하나 이상의 태그를 선택적으로 입력합니다. 그리고 **다음**을 선택합니다.
1. **검토 및 생성** 페이지에서 규칙의 설정을 검토하고 올바른지 확인합니다.
설정을 변경하려면, 설정이 포함된 섹션에서 **편집**을 선택한 다음, 올바른 설정을 입력합니다. 탐색 탭을 사용하여 설정이 포함된 페이지로 이동할 수도 있습니다.
1. 설정 검증을 마치면 **생성**를 선택합니다.
------
#### [ API ]
다음 절차에서는 AWS CLI 명령을 사용하여 GuardDuty에 대한 EventBridge 규칙 및 대상을 생성하는 방법을 보여줍니다. 특히, GuardDuty에서 생성한 모든 조사 결과에 대한 이벤트를 보내고 조사 결과에 대한 대상으로 AWS Lambda 함수를 생성하도록 EventBridge를 활성화하는 규칙을 생성하는 방법을 보여줍니다.
**참고**
이 예에서는 EventBridge를 트리거하는 규칙의 대상으로 Lambda 함수를 사용합니다. EventBridge를 트리거하는 대상으로 다른 AWS 리소스를 구성할 수도 있습니다. GuardDuty 및 EventBridge는 Amazon EC2 인스턴스, Amazon Kinesis 스트림, Amazon ECS 작업, AWS Step Functions 상태 시스템, `run` 명령 및 내장 대상과 같은 대상 유형을 지원합니다. 자세한 내용은 *Amazon EventBridge API 참조*의 [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)를 참조하세요.
**규칙 및 대상을 만들려면**
1. GuardDuty에서 생성한 모든 조사 결과에 대한 이벤트를 보내도록 EventBridge를 활성화하는 규칙을 만들려면 다음 EventBridge CLI 명령을 실행합니다.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
규칙을 추가적으로 사용자 지정하여 GuardDuty에서 생성한 조사 결과의 하위 집합에 대해서만 이벤트를 보내도록 EventBridge에 지시할 수 있습니다. 이 하위 집합은 규칙에서 지정되는 결과 속성 또는 속성을 기반으로 합니다. 예를 들어 다음 CLI 명령을 사용하여 심각도가 5 또는 8인 GuardDuty 조사 결과에 대해서만 EventBridge에서 이벤트를 보낼 수 있는 규칙을 생성합니다.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
이를 위해 JSON에서 사용할 수 있는 속성 값을 GuardDuty 결과에 사용할 수 있습니다.
1. 1단계에서 만든 규칙에 대한 대상으로 Lambda 함수를 연결하려면 다음 CloudWatch CLI 명령을 실행합니다.
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
위의 명령에서 `your-target-name`을 GuardDuty 이벤트의 실제 Lambda 함수로 바꿔야 합니다.
1. 대상을 간접적으로 호출하는 데 필요한 권한을 추가하려면 다음 Lambda CLI 명령을 실행합니다.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
위의 명령에서 `your_function`을 GuardDuty 이벤트의 실제 Lambda 함수로 바꿔야 합니다.
------
## GuardDuty 다중 계정 환경용 EventBridge 규칙
위임된 GuardDuty 관리자 계정을 사용하는 경우 멤버 계정에서 생성된 이벤트를 보고 다른 애플리케이션과 서비스를 사용하여 조치를 취할 수 있습니다. 관리자 계정의 EventBridge 규칙은 회원 계정에서 확인된 적용 가능한 조사 결과에 따라 트리거됩니다. 관리자 계정의 EventBridge를 통해 조사 결과 알림을 설정하면 계정과 멤버 계정 모두에서 조사 결과에 대한 알림을 받게 됩니다. 예를 들어 EventBridge를 사용하여 특정 유형의 새로운 조사 결과를 Lambda 함수에 전송하면, 해당 함수가 데이터를 처리하여 보안 인시던트 및 이벤트 관리(SIEM) 시스템으로 전송할 수 있습니다.
조사 결과의 JSON 세부 정보에 있는 `accountId` 필드를 사용하여 GuardDuty 조사 결과의 출처 멤버 계정을 식별할 수 있습니다. 특정 멤버 계정에 대한 사용자 지정 이벤트 규칙을 생성하려면 새 규칙을 생성하고 **이벤트 패턴**에서 다음 템플릿을 사용합니다. *123456789012*을 이벤트를 트리거하려는 멤버 계정의 `accountId`로 바꿉니다.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**참고**
이 예제에서는 지정된 계정 ID의 모든 조사 결과와 일치하는 규칙을 생성합니다. JSON 구문에 따라 여러 계정 ID 쉼표로 구분하여 포함할 수 있습니다.
# CloudWatch 로그 및 EC2용 맬웨어 보호 스캔 중에 리소스를 건너뛰는 이유 이해
EC2용 GuardDuty 맬웨어 보호는 Amazon CloudWatch 로그 그룹 **/aws/guardduty/malware-scan-events**로 이벤트를 게시합니다. 맬웨어 스캔과 관련된 각 이벤트에 대해 영향을 받는 리소스의 상태 및 스캔 결과를 모니터링할 수 있습니다. EC2용 맬웨어 보호 스캔 중에 특정 Amazon EC2 리소스 및 Amazon EBS 볼륨을 건너뛰었을 수 있습니다.
## EC2용 GuardDuty 맬웨어 보호에서 CloudWatch 로그 감사
**/aws/guardduty/malware-scan-events** CloudWatch 로그 그룹에서는 세 가지 유형의 스캔 이벤트가 지원됩니다.
| EC2용 맬웨어 보호 스캔 이벤트 이름 | 설명 |
| --- | --- |
| `EC2_SCAN_STARTED` | EC2용 GuardDuty 맬웨어 보호에서 맬웨어 스캔 프로세스(예: EBS 볼륨의 스냅샷 생성 준비)를 시작할 때 생성됩니다. |
| `EC2_SCAN_COMPLETED` | 영향을 받는 리소스의 EBS 볼륨 중 하나 이상에 대해 EC2용 GuardDuty 맬웨어 보호 스캔이 완료될 때 생성됩니다. 이 이벤트에는 스캔한 EBS 볼륨에 속하는 `snapshotId`도 포함됩니다. 스캔 완료 후에는 스캔 결과가 `CLEAN`, `THREATS_FOUND` 또는 `NOT_SCANNED`입니다. |
| `EC2_SCAN_SKIPPED` | EC2용 GuardDuty 맬웨어 보호 스캔에서 영향을 받는 리소스의 모든 EBS 볼륨을 건너뛸 때 생성됩니다. 건너뛴 이유를 식별하려면 해당 이벤트를 선택하고 세부 정보를 확인합니다. 건너뛴 이유에 대한 자세한 내용은 아래의 [맬웨어 스캔 중에 리소스를 건너뛴 이유](#mp-scan-skip-reasons) 섹션을 참조하세요. |
**참고**
를 사용하는 경우 Organizations의 멤버 계정에서 발생한 AWS Organizations CloudWatch 로그 이벤트는 관리자 계정과 멤버 계정의 로그 그룹 모두에 게시됩니다.
선호하는 액세스 방법을 선택하여 CloudWatch 이벤트를 보고 쿼리합니다.
------
#### [ Console ]
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) CloudWatch 콘솔을 엽니다.
1. 왼쪽 탐색 창의 [**로그(Logs)**]에서 [**로그 그룹(Log groups)**]을 선택합니다. **/aws/guardduty/malware-scan-events** 로그 그룹을 선택하여 EC2용 GuardDuty 맬웨어 보호의 스캔 이벤트를 봅니다.
쿼리를 실행하려면 **Log Insights**를 선택합니다.
쿼리 실행에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서**의 [CloudWatch Logs Insights를 사용한 로그 분석](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)을 참조하세요.
1. **스캔 ID**를 선택하여 영향을 받는 리소스 및 맬웨어 결과의 세부 정보를 모니터링합니다. 예를 들어 다음 쿼리를 실행하여 `scanId` 사용을 통해 CloudWatch 로그 이벤트를 필터링할 수 있습니다. 유효한 *scan-id*를 사용해야 합니다.
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ 로그 그룹을 사용하려면 Amazon CloudWatch 사용 설명서**에서 [AWS CLI를 사용하여 통해 로그 항목 검색](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli)을 참조하세요.
**/aws/guardduty/malware-scan-events** 로그 그룹을 선택하여 EC2용 GuardDuty 맬웨어 보호의 스캔 이벤트를 봅니다.
+ 로그 이벤트를 보고 필터링하려면 Amazon CloudWatch API 참조**의 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) 및 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) 섹션을 각각 참조하세요.
------
## EC2용 GuardDuty 맬웨어 보호 로그 보존
**/aws/guardduty/malware-scan-events** 로그 그룹의 기본 로그 보존 기간은 90일로, 이 기간이 지나면 로그 이벤트가 자동으로 삭제됩니다. CloudWatch 로그 그룹에 대한 로그 보존 정책을 변경하려면 *Amazon CloudWatch 사용 설명서*의 [CloudWatch 로그에서 로그 데이터 보존 변경](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) 또는 *Amazon CloudWatch API 참조*의 [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)를 참조하세요.
## 맬웨어 스캔 중에 리소스를 건너뛴 이유
맬웨어 스캔과 관련된 이벤트에서 특정 EC2 리소스 및 EBS 볼륨이 검사 프로세스 중에 건너뛰기되었을 수 있습니다. 다음 테이블에는 EC2용 GuardDuty 맬웨어 보호가 리소스를 스캔하지 않을 수 있는 이유가 나와 있습니다. 해당하는 경우 제안된 단계를 사용하여 이러한 문제를 해결하고, 다음에 EC2용 GuardDuty 맬웨어 보호에서 맬웨어 스캔을 시작할 때 이러한 리소스를 스캔합니다. 다른 문제는 이벤트 진행 상황을 알려주는 데 사용되며 조치를 취할 수 없습니다.
| 건너뛰는 이유 | 설명 | 제안 단계 |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | 온디맨드 맬웨어 스캔을 시작하기 위해 `resourceArn` 제공된를 AWS 사용자 환경에서 찾을 수 없습니다. | Amazon EC2 인스턴스 또는 컨테이너 워크로드의 `resourceArn`을 검증하고 다시 시도합니다. |
| `ACCOUNT_INELIGIBLE` | 온디맨드 맬웨어 스캔을 시작하려고 시도한 AWS 계정 ID가 GuardDuty를 활성화하지 않았습니다. | 이 AWS 계정에 대해 GuardDuty가 활성화되어 있는지 확인합니다. 새에서 GuardDuty를 활성화하면 동기화하는 데 최대 20분이 걸릴 AWS 리전 수 있습니다. |
| `UNSUPPORTED_KEY_ENCRYPTION` | EC2용 GuardDuty 맬웨어 보호는 암호화되지 않은 볼륨과 고객 관리 키로 암호화된 볼륨을 모두 지원합니다. [Amazon EBS 암호화](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html)를 사용하여 암호화된 EBS 볼륨의 스캔은 지원하지 않습니다. 현재 이 건너뛰기 사유가 적용되지 않는 리전에는 지역적 차이가 있습니다. 이에 대한 자세한 내용은 단원을 AWS 리전참조하십시오[리전별 기능 가용성](guardduty_regions.md#gd-regional-feature-availability). | 암호화 키를 고객 관리 키로 교체하세요. GuardDuty에서 지원하는 암호화 유형에 대한 자세한 내용은 [맬웨어 스캔에 지원되는 Amazon EBS 볼륨](gdu-malpro-supported-volumes.md) 섹션을 참조하세요. |
| `EXCLUDED_BY_SCAN_SETTINGS` | EC2 인스턴스 또는 EBS 볼륨이 맬웨어 스캔 도중 제외되었습니다. 태그가 포함 목록에 추가되었지만 리소스가 이 태그와 연결되지 않았거나, 태그가 제외 목록에 추가되었고 리소스가 이 태그와 연결되어 있거나, `GuardDutyExcluded` 태그가 이 리소스에 대해 `true`로 설정되었을 가능성이 있습니다. | 스캔 옵션이나 Amazon EC2 리소스에 연결된 태그를 업데이트하세요. 자세한 내용은 [사용자 정의 태그를 사용하는 스캔 옵션](malware-protection-customizations.md#mp-scan-options) 단원을 참조하십시오. |
| `UNSUPPORTED_VOLUME_SIZE` | 볼륨이 2,048GB를 초과합니다. | 실행 불가. |
| `NO_VOLUMES_ATTACHED` | EC2용 GuardDuty 맬웨어 보호가 계정에서 인스턴스를 찾았지만 스캔을 진행할 EBS 볼륨이 이 인스턴스에 연결되지 않았습니다. | 실행 불가. |
| `UNABLE_TO_SCAN` | 내부 서비스 오류입니다. | 실행 불가. |
| `SNAPSHOT_NOT_FOUND` | EBS 볼륨에서 생성되고 서비스 계정과 공유된 스냅샷이 없었고, EC2용 GuardDuty 맬웨어 보호에서 스캔을 진행할 수 없었습니다. | CloudTrail을 확인하여 스냅샷이 의도적으로 제거되지 않았는지 확인하세요. |
| `SNAPSHOT_QUOTA_REACHED` | 각 리전의 스냅샷에 허용되는 최대 볼륨에 도달했습니다. 이로 인해 스냅샷 보존뿐 아니라 새 스냅샷 생성도 불가능합니다. | 기존 스냅샷을 제거하거나 할당량 증가를 요청할 수 있습니다. 리전별 스냅샷의 기본 한도와 할당량 증가를 요청하는 방법은AWS 일반 참조 가이드**의 [Service quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs)에서 찾아볼 수 있습니다. |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | 11개를 초과하는 EBS 볼륨이 EC2 인스턴스에 연결되었습니다. EC2용 GuardDuty 맬웨어 보호가 `deviceName`을 알파벳순으로 정렬하여 처음 11개의 EBS 볼륨을 스캔했습니다. | 실행 불가. |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty는 `productCode`를 `marketplace`로 사용하여 대부분의 인스턴스를 스캔할 수 있습니다. 일부 마켓플레이스 인스턴스는 스캔에 적합하지 않을 수 있습니다. GuardDuty는 이러한 인스턴스를 건너뛰고 이유를 `UNSUPPORTED_PRODUCT_CODE_TYPE`으로 로깅합니다. 이 지원은 AWS GovCloud (US) 및 중국 리전에 따라 다릅니다. 자세한 내용은 [리전별 기능 가용성](guardduty_regions.md#gd-regional-feature-availability) 단원을 참조하십시오. 자세한 내용은 *Amazon EC2 사용 설명서*에서 [유료 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html)를 참조하세요. `productCode`에 대한 자세한 내용은 Amazon EC2 API 참조**의 [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) 섹션을 참조하세요. | 실행 불가. |
# EC2용 맬웨어 보호에서 오탐지 보고
EC2용 GuardDuty 맬웨어 보호는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에서 무해한 파일을 악성이거나 유해한 것으로 식별할 수 있습니다. EC2용 맬웨어 보호 및 GuardDuty 서비스 경험을 개선하기 위해 스캔 중에 악성 또는 유해한 것으로 식별된 파일에 실제로 맬웨어가 포함되어 있지 않다고 생각되는 경우 오탐지 결과를 보고할 수 있습니다.
**Amazon EC2 맬웨어 스캔 결과를 거짓 양성으로 보고하려면**
프로세스를 시작하려면에 문의하세요 지원. 다음 단계에 따라 스캔한 리소스에 대한 세부 정보를 제공합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. **EC2 맬웨어 스캔**을 선택합니다.
1. 스캔을 선택하여 **결과 ID**를 봅니다.
1. **결과 ID**를 제공합니다. 파일의 SHA-256 해시도 제공해야 합니다. 이는 EC2용 GuardDuty 맬웨어 보호에서 올바른 파일을 수신했는지 확인하는 데 필요합니다.
1. 지원 팀은 잠재적으로 악성 파일과 SHA-256 해시를 업로드하는 데 사용할 수 있는 Amazon Simple Storage Service(Amazon S3) 미리 서명된 URL을 제공합니다. 스캔한 객체를 업로드하는 단계에 대한 자세한 내용은 *Amazon S3 사용 설명서*의 [미리 서명된 URLs이 있는 객체 업로드](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)를 참조하세요.
1. 파일을 업로드한 후 지원 팀에 알립니다.
지원 는 파일을 수신한 후 승인을 제공합니다. GuardDuty 서비스 팀원이 제출한 내용을 분석하고 EC2용 맬웨어 보호 및 GuardDuty 서비스 사용 환경을 개선하기 위한 적절한 조치를 취합니다. 지원 팀은 사례에 대한 상태 업데이트를 계속 제공합니다. GuardDuty는 30일을 초과하여 S3 객체를 보관하지 않습니다.
# S3용 멀웨어 보호에서 S3 객체 검사 결과를 오탐으로 보고하는 경우
S3용 맬웨어 보호 스캔은 객체를 잠재적으로 악의적이거나 유해한 것으로 식별할 수 있습니다. 표시된 S3 객체에 멀웨어가 포함되어 있지 않다고 생각되면 이 멀웨어 검사 결과를 오탐으로 보고하세요.
S3용 맬웨어 보호를 독립적으로 사용하는 경우에도 거짓 긍정 보고서를 제출할 수 있습니다. 이 경우 GuardDuty는 결과를 생성하도록 설계되지 않았습니다. 스캔 상태 및 결과 상태 확인에 대한 자세한 내용은 [S3 객체 스캔 모니터링](monitoring-malware-protection-s3-scans-gdu.md)을 참조하세요.
**S3 오브젝트 멀웨어 검사 결과를 오탐으로 보고하려면 다음과 같이 하세요.**
프로세스를 시작하려면에 문의하세요 지원. 다음 단계에 따라 스캔한 S3 객체에 대한 세부 정보를 제공합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. 사용 사례에 따라 적절한 단계를 선택합니다.
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. 탐색 창에서 **조사 결과**를 선택합니다.
1. **조사 결과** 페이지에서 거짓 긍정 조사 결과를 선택하여 세부 정보를 확인합니다.
1. 조사 결과 세부 정보를 확인하여 **조사 결과 ID** , **리전**, 보호된 S3 버킷 **이름** 및 스캔된 객체 **키**를 제공합니다.
**항목 경로** 세부 정보에서 객체의 **해시**를 제공합니다. 이는 GuardDuty에서 올바른 파일을 수신했는지 확인하는 데 필요합니다.
------
#### [ Using Malware Protection for S3 independently ]
보호된 S3 버킷 이름, 스캔된 객체 이름 및 AWS 리전를 제공합니다.
------
1. 지원 팀은 잠재적으로 악성 파일과 해시를 업로드하는 데 사용할 수 있는 Amazon Simple Storage Service(Amazon S3) 미리 서명된 URL을 제공합니다. 스캔한 객체를 업로드하는 단계에 대한 자세한 내용은 *Amazon S3 사용 설명서*의 [미리 서명된 URLs이 있는 객체 업로드](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)를 참조하세요.
1. S3 객체를 업로드한 후 지원 팀에 알립니다.
지원 는 객체 수신을 승인합니다. GuardDuty 서비스 팀원이 제출한 내용을 분석하고 S3용 맬웨어 보호 및 GuardDuty 서비스 사용 환경을 개선하기 위한 적절한 조치를 취합니다. 지원 팀은 사례에 대한 상태 업데이트를 계속 제공합니다. GuardDuty는 30일을 초과하여 S3 객체를 보관하지 않습니다.
# 백업용 맬웨어 보호에서 거짓 긍정 보고
백업용 GuardDuty 맬웨어 보호에 대한 경험을 개선하기 위해 잠재적 거짓 긍정 및 거짓 부정을 보고할 수 있습니다.
****백업용 맬웨어 보호에서 식별된 잠재적 거짓 긍정 또는 거짓 부정을 보고하려면****
프로세스를 시작하려면에 문의하세요 지원. 다음 단계에 따라 스캔한 리소스에 대한 세부 정보를 제공합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. **맬웨어 스캔**을 선택합니다.
1. 스캔을 선택하여 **결과 ID**를 봅니다.
1. **결과 ID**를 제공합니다. 파일의 SHA-256 해시도 제공해야 합니다. 이는 GuardDuty에서 올바른 파일을 수신했는지 확인하는 데 필요합니다. 또한 샘플을 제공할 리전을 제공하십시오.
1. 지원 팀은 잠재적으로 악성 파일과 SHA-256 해시를 업로드하는 데 사용할 Amazon Simple Storage Service(Amazon S3) 미리 서명된 URL을 제공합니다. 스캔한 리소스를 업로드하는 단계에 대한 자세한 내용은 *Amazon S3 사용 설명서*의 [미리 서명된 URLs이 있는 객체 업로드](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html)를 참조하세요.
1. 파일을 업로드한 후 지원 팀에 알립니다.
지원 는 파일을 수신한 후 승인을 제공합니다. GuardDuty 서비스 팀원은 제출 내용을 분석하고 EC2용 맬웨어 보호에 대한 경험을 개선하기 위한 적절한 조치를 취합니다. 지원 팀은 사례에 대한 상태 업데이트를 계속 제공합니다. GuardDuty는 30일을 초과하여 S3 객체를 보관하지 않습니다.