기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# GuardDuty에서 시작한 맬웨어 스캔
<a name="gdu-initiated-malware-scan"></a>

GuardDuty가 시작된 맬웨어 스캔을 활성화하면 GuardDuty가 [GuardDuty에서 시작한 맬웨어 스캔을 간접적으로 호출하는 결과](gd-findings-initiate-malware-protection-scan.md)를 생성할 때마다 잠재적으로 영향을 받는 Amazon EC2 리소스에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 에이전트리스 맬웨어 스캔이 시작됩니다. 스캔을 시작하기 전에 사용자 지정을 위해 계정을 준비해야 합니다. 스캔 옵션을 사용하는 경우 스캔하려는 리소스와 연결된 포함 태그를 추가하거나 스캔 프로세스에서 건너뛰려는 리소스와 연결된 제외 태그를 추가할 수 있습니다. 자동 스캔 시작 시에는 항상 스캔 옵션을 고려합니다. GuardDuty는 글로벌 `GuardDutyExcluded`:`true` 태그 키:값 페어도 지원합니다. Amazon EC2 리소스에 이 전역 태그를 추가하면 GuardDuty가 스캔을 시작한 다음 건너뜁니다. 또한 스냅샷 보존 설정을 켜서 멀웨어가 탐지되었을 가능성이 있는 EBS 볼륨의 스냅샷을 보존하도록 선택할 수도 있습니다. 스캔 옵션, 전역 제외 태그 및 스냅샷 설정에 대한 자세한 내용은 [스냅샷 유지 및 EC2 스캔 범위 설정](malware-protection-customizations.md)을 참조하세요.

GuardDuty가 동일한 Amazon EC2 리소스에 대해 여러 개의 조사 결과를 생성하는 경우, 마지막 GuardDuty가 시작한 멀웨어 검사 이후 24시간이 경과한 후에만 GuardDuty가 검사를 시작할 수 있습니다. Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨을 스캔하는 방법에 대한 내용은 [GuardDuty가 맬웨어 탐지를 위해 EBS 볼륨을 스캔하는 방법](guardduty_malware_protection-ebs-volume-data.md) 섹션을 참조하세요.

다음 이미지는 GuardDuty에서 시작한 맬웨어 스캔의 작동 방식을 설명합니다.

![\[EC2용 맬웨어 보호의 작동 방식과 GuardDuty에서 사용 가능한 사용자 지정을 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/malwareprotection-diagram.png)


GuardDuty 맬웨어 감지 방법론 및 사용하는 스캔 엔진에 대한 자세한 내용은 [GuardDuty 맬웨어 탐지 스캔 엔진](guardduty-malware-detection-scan-engine.md)을 참조하세요.

맬웨어가 발견되면 GuardDuty가 [EC2용 맬웨어 보호 결과 유형](findings-malware-protection.md)을 생성합니다. GuardDuty가 동일한 리소스에서 맬웨어를 나타내는 결과를 생성하지 않는 경우 GuardDuty에서 시작한 맬웨어 스캔은 간접적으로 호출되지 않습니다. 동일한 리소스에서 온디맨드 맬웨어 스캔을 시작할 수도 있습니다. 자세한 내용은 [GuardDuty의 온디맨드 맬웨어 스캔](on-demand-malware-scan.md) 단원을 참조하십시오.

# GuardDuty에서 시작한 맬웨어 스캔의 30일 무료 평가판
<a name="malware-protection-ec2-guardduty-30-day-free-trial"></a>

 AWS 리전 언제든지 지원되는 AWS 계정 의에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화하거나 비활성화하도록 선택할 수 있습니다. 조직이 있는 경우 각 멤버 계정에는 자체 30일 무료 평가판이 있습니다.

30일 무료 평가판의 작동 방식을 이해하려면 다음 시나리오를 고려하세요.
+ GuardDuty를 처음 활성화하면(새 GuardDuty 계정) GuardDuty에서 시작하는 멀웨어 검사도 활성화되며 GuardDuty 서비스와 관련된 30일 무료 체험판에 포함됩니다.
+ 기존 GuardDuty 계정은 30일 무료 평가판으로 처음으로 GuardDuty에서 시작하는 멀웨어 검사를 활성화할 수 있습니다. 다른 리전에서 이 기능을 처음 활성화하면 해당 리전에서 30일 무료 평가판을 받게 됩니다.
+ 이 보호 계획이 GuardDuty에서 시작한 맬웨어 스캔과 온디맨드 맬웨어 스캔의 두 가지 스캔 유형으로 나뉘기 AWS 리전 전에에서 EC2용 맬웨어 보호를 사용했다면 동일한 요금 모델로 GuardDuty에서 시작한 맬웨어 스캔을 계속 사용할 수 있습니다 AWS 리전. 새 지역에서 처음으로 GuardDuty에서 시작하는 멀웨어 검사를 활성화 설정하면 계정에 30일 무료 평가판이 제공됩니다.

**참고**  
30일 무료 체험 기간 중이더라도 Amazon EBS 볼륨 스냅샷 생성 및 보존에 대한 표준 사용 요금이 적용됩니다. 자세한 내용은 [Amazon EBS 요금](https://aws.amazon.com/ebs/pricing/)을 참조하세요.

# 다중 계정 환경에서 GuardDuty에서 시작한 맬웨어 스캔 활성화하기
<a name="configure-malware-protection-guardduty-initiated-multi-account"></a>

다중 계정 환경에서는 GuardDuty 관리자 계정만 멤버 계정을 대신하여 GuardDuty에서 시작한 멀웨어 검사를 활성화할 수 있습니다. 또한 AWS Organizations 를 지원하는 멤버 계정을 관리하는 관리자 계정에서는 조직의 모든 기존 계정과 새 계정에서 GuardDuty가 시작하는 멀웨어 검사를 자동으로 활성화하도록 선택할 수 있습니다. 자세한 내용은 [를 사용하여 GuardDuty 계정 관리 AWS Organizations](guardduty_organizations.md) 단원을 참조하십시오.

## GuardDuty에서 시작한 맬웨어 스캔 활성화를 위해 신뢰할 수 있는 액세스 설정
<a name="delegated-admin-different-management-account"></a>

GuardDuty 위임된 관리자 계정이 조직의 관리 계정과 동일하지 않은 경우 관리 계정에서 조직의 GuardDuty에서 시작한 맬웨어 스캔을 활성화해야 합니다. 이렇게 하면 위임된 관리자 계정이를 통해 관리되는 멤버 계정[EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한](slr-permissions-malware-protection.md)에서를 생성할 수 있습니다 AWS Organizations.

**참고**  
위임된 GuardDuty 관리자 계정을 지정하기 전에 [사용 고려 사항 및 권장 사항](guardduty_organizations.md#delegated_admin_important)을 참조하세요.

선호하는 액세스 방법을 선택하여 위임된 GuardDuty 관리자 계정이 조직의 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 활성화할 수 있도록 허용합니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 AWS Organizations 조직의 관리 계정을 사용합니다.

1. 

   1. 위임된 GuardDuty 관리자 계정을 지정하지 않은 경우에는 다음과 같이 하세요.

      **설정** 페이지의 **위임된 GuardDuty 관리자 계정** 아래에서 조직에서 GuardDuty 정책을 관리하도록 지정할 12자리 **account ID**를 입력합니다. **위임**을 선택합니다.

   1. 

      1. 관리 계정과 다른 위임된 GuardDuty 관리자 계정을 이미 지정한 경우에는 관리 계정과 다른 관리자 계정을 지정해야 합니다.

         **설정** 페이지의 **위임된 관리자**에서 **권한** 설정을 켭니다. 이 작업을 수행하면 위임된 GuardDuty 관리자 계정이 멤버 계정에 관련 권한을 첨부하고 이러한 멤버 계정에서 GuardDuty가 시작한 멀웨어 검사를 활성화할 수 있습니다.

      1. 관리 계정과 동일한 위임된 GuardDuty 관리자 계정이 이미 지정한 경우 해당 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 직접 활성화할 수 있습니다. 자세한 내용은 [모든 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 자동 활성화](#auto-enable-malware-protection-all-organization-member) 단원을 참조하십시오.
**작은 정보**  
위임된 GuardDuty 관리자 계정이 관리 계정과 다른 경우, 멤버 계정에 대해 GuardDuty가 시작한 맬웨어 검사를 활성화할 수 있도록 위임된 GuardDuty 관리자 계정에 권한을 제공해야 합니다.

1. 위임된 GuardDuty 관리자 계정이 다른 리전의 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화하도록 허용하려면를 변경 AWS 리전하고 위의 단계를 반복합니다.

------
#### [ API/CLI ]

1. 관리 계정 보안 인증 정보를 사용하여 다음 명령을 실행합니다.

   ```
   aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
   ```

1. (선택 사항) 위임된 관리자 계정이 아닌 관리 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 활성화하려면 관리 계정에서 먼저 자신의 계정에 [EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한](slr-permissions-malware-protection.md)을 명시적으로 생성한 다음 다른 멤버 계정과 마찬가지로 위임된 관리자에서 GuardDuty에서 시작한 맬웨어 스캔을 활성화합니다.

   ```
   aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
   ```

1. 현재 선택한 AWS 리전에 위임된 GuardDuty 관리자 계정을 지정했습니다. 한 리전에서 계정을 위임된 GuardDuty 관리자 계정으로 지정한 경우, 해당 계정은 다른 모든 리전에서 위임된 GuardDuty 관리자 계정이어야 합니다. 다른 모든 리전에 대해서도 위 단계를 반복합니다.

------

## 위임된 GuardDuty 관리자 계정에 대한 GuardDuty 시작 맬웨어 검사 구성하기
<a name="configure-gdu-initiated-malware-pro-delegatedadmin"></a>

선호하는 액세스 방법을 선택하여 위임된 GuardDuty 관리자 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 활성 또는 비활성화합니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. 탐색 창에서 **EC2용 맬웨어 보호**를 선택합니다.

1. **EC2용 맬웨어 보호** 페이지에서 **GuardDuty에서 시작한 맬웨어 스캔** 옆에 있는 **편집**을 선택합니다.

1. 다음 중 하나를 수행하세요.

****모든 계정에 대해 활성화** 사용**
   + **모든 계정에 대해 활성화**를 선택합니다. 이렇게 하면 AWS 조직에 가입한 새 계정을 포함하여 조직의 모든 활성 GuardDuty 계정에 대한 보호 계획이 활성화됩니다.
   + **저장**을 선택합니다.

****수동으로 계정 구성** 사용**
   + 위임된 GuardDuty 관리자 계정 계정에 대해서만 보호 플랜을 활성화하려면 **수동으로 계정 구성**을 선택하세요.
   + **위임된 GuardDuty 관리자 계정(이 계정)** 섹션에서 **활성화**를 선택합니다.
   + **저장**을 선택합니다.

------
#### [ API/CLI ]

리전 탐지기 ID를 사용하고 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) 객체 `name`를 `EBS_MALWARE_PROTECTION`로, `status`를 `ENABLED`로 전달하여 updateDetector API 작업을 실행합니다.

다음 AWS CLI 명령을 실행하여 GuardDuty에서 시작한 맬웨어 스캔을 활성화할 수 있습니다. 위임된 GuardDuty 관리자 계정의 유효한 *탐지기 ID*를 사용해야 합니다.

계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
              --account-ids 555555555555 /
              --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

------

## 모든 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 자동 활성화
<a name="auto-enable-malware-protection-all-organization-member"></a>

원하는 액세스 방법을 선택하여 모든 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 기능을 활성화합니다. 여기에는 기존 멤버 계정과 조직에 새로 가입한 계정이 포함됩니다.

------
#### [ Console ]

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.

   위임된 관리자 GuardDuty 계정 보안 인증 정보를 사용해야 합니다.

1. 다음 중 하나를 수행하세요.

****EC2용 맬웨어 보호** 페이지 사용**

   1. 탐색 창에서 **EC2용 맬웨어 보호**를 선택합니다.

   1. **EC2용 맬웨어 보호** 페이지에서 **GuardDuty에서 시작한 맬웨어 스캔** 섹션에 있는 **편집**을 선택합니다.

   1. **모든 계정에 대해 활성화**를 선택합니다. 이 작업을 통해 조직의 기존 계정과 새 계정 모두에 대해 GuardDuty에서 시작한 맬웨어 스캔이 자동으로 활성화됩니다.

   1. **저장**을 선택합니다.
**참고**  
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

****계정** 페이지 사용**

   1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

   1. **계정** 페이지에서 **초대 기준으로 계정 추가** 전에 **자동 활성화** 기본 설정을 선택합니다.

   1. **자동 활성화 기본 설정 관리** 창의 **GuardDuty에서 시작한 맬웨어 스캔**에서 **모든 계정에 대해 활성화**를 선택합니다.

   1. **EC2용 맬웨어 보호** 페이지에서 **GuardDuty에서 시작한 맬웨어 스캔** 섹션에 있는 **편집**을 선택합니다.

   1. **모든 계정에 대해 활성화**를 선택합니다. 이 작업을 통해 조직의 기존 계정과 새 계정 모두에 대해 GuardDuty에서 시작한 맬웨어 스캔이 자동으로 활성화됩니다.

   1. **저장**을 선택합니다.
**참고**  
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

****계정** 페이지 사용**

   1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

   1. **계정** 페이지에서 **초대 기준으로 계정 추가** 전에 **자동 활성화** 기본 설정을 선택합니다.

   1. **자동 활성화 기본 설정 관리** 창의 **GuardDuty에서 시작한 맬웨어 스캔**에서 **모든 계정에 대해 활성화**를 선택합니다.

   1. **저장**을 선택합니다.

   **모든 계정에 대해 활성화** 옵션을 사용할 수 없는 경우 [멤버 계정에서 선택적으로 GuardDuty에서 시작한 맬웨어 스캔 활성화](#selective-enable-disable-malware-protection-member-accounts) 섹션을 참조하세요.

------
#### [ API/CLI ]
+ 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 선택적으로 활성화하려면 자체 *탐지기 ID*를 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 작업을 간접적으로 호출합니다.
+ 다음 예시에서는 단일 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화하는 방법을 보여줍니다. 멤버 계정을 비활성화하려면 `ENABLED`를 `DISABLED`로 바꿉니다.

  계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

  ```
  aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
  ```

  공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.
+ 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

------

## 모든 기존 활성 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 활성화
<a name="enable-for-all-existing-members-gdu-initiated-malware-scan"></a>

원하는 액세스 방법을 선택하여 조직의 모든 기존 활성 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 활성화합니다.

**모든 기존 활성 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 구성**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.

   위임된 GuardDuty 관리자 계정 자격 증명을 사용하여 로그인합니다.

1. 탐색 창에서 **EC2용 맬웨어 보호**를 선택합니다.

1. **EC2용 맬웨어 보호**에서 **GuardDuty에서 시작한 맬웨어 스캔** 구성의 현재 상태를 볼 수 있습니다. **활성 멤버 계정** 섹션에서 **작업**을 선택합니다.

1. **작업** 드롭다운 메뉴에서 **기존의 모든 활성 멤버 계정에 대해 활성화**를 선택합니다.

1. **저장**을 선택합니다.

## 새 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 자동 활성화
<a name="configure-malware-protection-new-accounts-organization"></a>

GuardDuty에서 시작한 맬웨어 스캔 구성을 선택하기 전에 새로 추가된 멤버 계정에서 GuardDuty를 **활성화**해야 합니다. 초대를 통해 관리되는 멤버 계정은 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 수동으로 구성할 수 있습니다. 자세한 내용은 [Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc) 단원을 참조하십시오.

원하는 액세스 방법을 선택하여 조직에 가입하는 새 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화합니다.

------
#### [ Console ]

위임된 GuardDuty 관리자 계정은 **EC2용 멀웨어 보호** 또는 **계정** 페이지를 사용하여 조직의 새 멤버 계정에 대해 GuardDuty에서 시작하는 멀웨어 검사를 활성화할 수 있습니다.

**새 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 자동 활성화**

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   위임된 관리자 GuardDuty 계정 보안 인증 정보를 사용해야 합니다.

1. 다음 중 하나를 수행하세요.
   + **EC2용 맬웨어 보호** 페이지 사용:

     1. 탐색 창에서 **EC2용 맬웨어 보호**를 선택합니다.

     1. **EC2용 맬웨어 보호** 페이지에서 **GuardDuty에서 시작한 맬웨어 스캔**에 있는 **편집**을 선택합니다.

     1. **수동으로 계정 구성**을 선택합니다.

     1. **새 멤버 계정에 대해 자동으로 활성화**를 선택합니다. 이 단계를 통해 새 계정이 조직에 가입할 때마다 해당 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔이 자동으로 활성화됩니다. 조직에서 GuardDuty 관리자 계정을 위임받은 사람만 이 구성을 수정할 수 있습니다.

     1. **저장**을 선택합니다.
   + **계정** 페이지 사용:

     1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

     1. **계정** 페이지에서 **자동 활성화** 기본 설정을 선택합니다.

     1. **자동 활성화 기본 설정 관리** 창의 **GuardDuty에서 시작한 맬웨어 스캔**에서 **새 계정에 대해 활성화**를 선택합니다.

     1. **저장**을 선택합니다.

------
#### [ API/CLI ]
+ 새 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화 또는 비활성화하려면 자체 *탐지기 ID*를 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html) API 작업을 간접적으로 호출합니다.
+ 다음 예시에서는 단일 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화하는 방법을 보여줍니다. 비활성화하려면 [멤버 계정에서 선택적으로 GuardDuty에서 시작한 맬웨어 스캔 활성화](#selective-enable-disable-malware-protection-member-accounts) 섹션을 참조하세요. 조직에 가입하는 모든 새 계정에 대해 활성화하지 않으려면 `AutoEnable`을 `NONE`으로 설정합니다.

  계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

  ```
  aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'
  ```

  공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.
+ 코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

------

## 멤버 계정에서 선택적으로 GuardDuty에서 시작한 맬웨어 스캔 활성화
<a name="selective-enable-disable-malware-protection-member-accounts"></a>

선호하는 액세스 방법을 선택하여 멤버 계정에서 선택적으로 GuardDuty에서 시작한 맬웨어 스캔을 구성합니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. **계정** 페이지의 **GuardDuty에서 시작한 맬웨어 스캔** 열에서 멤버 계정 상태를 검토합니다.

1. GuardDuty에서 시작한 맬웨어 스캔을 구성할 계정을 선택합니다. 한 번에 여러 개의 계정을 선택할 수 있습니다.

1. **보호 계획 편집** 메뉴에서 **GuardDuty에서 시작한 맬웨어 스캔**에 적합한 옵션을 선택합니다.

------
#### [ API/CLI ]

멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 선택적으로 활성화 또는 비활성화하려면 자체 *탐지기 ID*를 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 작업을 간접적으로 호출합니다.

다음 예시에서는 단일 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화하는 방법을 보여줍니다.

계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```

공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.

코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 선택적으로 활성화하려면 자체 *탐지기 ID*를 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html) API 작업을 실행합니다. 다음 예시에서는 단일 멤버 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔을 활성화하는 방법을 보여줍니다.

계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```

공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.

코드가 성공적으로 실행되면 빈 `UnprocessedAccounts` 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

------

## 초대를 통해 관리되는 조직의 기존 계정에 대해 GuardDuty에서 시작한 맬웨어 스캔 활성화
<a name="enable-malware-protection-existing-accounts-organization"></a>

멤버 계정에서 EC2용 GuardDuty 맬웨어 보호 서비스 연결 역할(SLR)을 생성해야 합니다. 관리자 계정은 AWS Organizations에서 관리하지 않는 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔 기능을 활성화할 수 없습니다.

현재 GuardDuty 콘솔([https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/))을 통해 다음 단계를 수행하여 기존 멤버 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 활성화할 수 있습니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   관리자 계정 보안 인증 정보를 사용하여 로그인합니다.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. GuardDuty에서 시작한 맬웨어 스캔을 활성화할 멤버 계정을 선택합니다. 한 번에 여러 개의 계정을 선택할 수 있습니다.

1. **작업**을 선택합니다.

1. **멤버 연결 해제**를 선택합니다.

1. 멤버 계정의 탐색 창에 있는 **보호 플랜**에서 **맬웨어 보호**를 선택합니다.

1. **GuardDuty에서 시작한 맬웨어 스캔 활성화**를 선택합니다. GuardDuty에서 멤버 계정에 대한 SLR을 생성합니다. SLR에 대한 내용은 [EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한](slr-permissions-malware-protection.md) 섹션을 참조하세요.

1. 관리자 계정의 탐색 창에서 **계정**을 선택합니다.

1. 조직에 다시 추가해야 하는 멤버 계정을 선택합니다.

1. **작업**을 선택하고 **멤버 추가**를 선택합니다.

------
#### [ API/CLI ]

1. 관리자 계정을 사용하여 GuardDuty에서 시작한 맬웨어 스캔을 활성화하려는 멤버 계정에서 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html) API를 실행합니다.

1. 멤버 계정을 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)를 간접적으로 호출하고 GuardDuty에서 시작한 맬웨어 스캔을 활성화합니다.

   계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

   ```
   aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
   ```

1. 관리자 계정을 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) API를 실행하고 멤버를 조직에 다시 추가합니다.

------

# 독립형 계정에서 GuardDuty에서 시작한 맬웨어 스캔 활성화하기
<a name="configure-malware-protection-single-account"></a>

독립 실행형 계정은 특정의 AWS 계정 에서 보호 계획을 활성화 또는 비활성화하는 결정을 소유합니다 AWS 리전.

계정이 AWS Organizations또는 초대 방법을 통해 GuardDuty 관리자 계정과 연결된 경우이 섹션은 계정에 적용되지 않습니다. 자세한 내용은 [다중 계정 환경에서 GuardDuty에서 시작한 맬웨어 스캔 활성화하기](configure-malware-protection-guardduty-initiated-multi-account.md) 단원을 참조하십시오.

GuardDuty에서 시작한 맬웨어 검사를 사용 설정하면 GuardDuty는 GuardDuty에 관련된 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨의 맬웨어 검사를 시작합니다. 맬웨어 스캔을 시작하는 조사 결과 목록은 [GuardDuty에서 시작한 맬웨어 스캔을 간접적으로 호출하는 결과](gd-findings-initiate-malware-protection-scan.md)을 참조하세요.

선호하는 액세스 방법을 선택하여 독립형 계정에서 GuardDuty에서 시작한 맬웨어 스캔을 구성합니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. 탐색 창의 **보호 플랜**에서 **EC2용 맬웨어 보호를** 선택합니다.

1. EC2용 맬웨어 보호 창에는 계정에 대한 GuardDuty에서 시작한 맬웨어 스캔의 현재 상태가 표시됩니다. 이 계정에서 GuardDuty가 시작한 멀웨어 검사를 사용하려면 **활성화**을 선택합니다.

1. **저장**을 선택하여 선택 사항을 확인합니다.

------
#### [ API/CLI ]

리전 탐지기 ID를 사용하고 `EbsVolumes`가 `true`로 설정된 `dataSources` 객체를 전달하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html) API 작업을 실행합니다.

다음 AWS CLI 명령을 실행 AWS CLI 하여를 사용하여 GuardDuty에서 시작한 맬웨어 스캔을 활성화할 수도 있습니다. 유효한 *탐지기 ID*를 사용해야 합니다.

계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

```
 aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'
```

------

# GuardDuty에서 시작한 맬웨어 스캔을 간접적으로 호출하는 결과
<a name="gd-findings-initiate-malware-protection-scan"></a>

GuardDuty가 Amazon EC2 인스턴스 또는 Amazon EC2 인스턴스에서 실행 중인 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작을 감지하면 GuardDuty가 검색 결과를 생성합니다. 이렇게 생성된 발견이 다음 GuardDuty 발견 목록에 속하는 경우, GuardDuty는 발견과 관련된 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨에서 자동으로 멀웨어 검사를 시작합니다. 스캔 후 GuardDuty가 맬웨어를 감지하면 하나 이상의 [EC2용 맬웨어 보호 결과 유형](findings-malware-protection.md)도 생성됩니다.

계정에서 다음 GuardDuty 조사 결과가 생성되면 GuardDuty는 잠재적으로 손상된 Amazon EC2 인스턴스의 Amazon EBS 볼륨에서 맬웨어 스캔을 자동으로 시작합니다.
+ [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot)
+ [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug)
+ [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command)
+  [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) 
+  [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) 
+  [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) 
+  [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) 
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce)(아웃바운드만 해당) 
+  [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) 
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)(아웃바운드만 해당)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)(아웃바운드만 해당)
+ [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay)
+ [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb)
+  [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) 
+ [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted)
+  [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) 
+  [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) 
+  [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) 
+  [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) 
+  [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) 
+  [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) 
+  [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) 
+  [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) 
+  [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) 
+  [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) 
+  [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) 
+  [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) 
+ [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic)
+  [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) 
+ [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint)
+  [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) 
+  [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) 
+  [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) 
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
+  [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind)