View a markdown version of this page

백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링

맬웨어 스캔이 시작된 후 GuardDuty는 스캔의 상태와 결과를 모니터링할 수 있는 몇 가지 메커니즘을 제공합니다. 다음 표에는 맬웨어 스캔과 관련된 일부 값이 나와 있습니다.

카테고리 잠재적 가치

스캔 상태

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED 또는 SKIPPED

스캔 범주

FULL_SCAN 또는 INCREMENTAL_SCAN

스캔 유형

GUARDDUTY_INITIATED, ON_DEMAND 또는 BACKUP_INITIATED

스캔 결과 상태

NO_THREATS_FOUND 또는 THREATS_FOUND

*스캔이 완료되지 않은 경우 스캔 결과 상태가 표시되지 않을 수 있습니다. THREATS_FOUND의 스캔 결과 상태는 GuardDuty가 맬웨어의 존재를 감지했음을 나타냅니다.

S3 복구 시점의 경우 COMPLETED_WITH_ISSUES는 일부 파일을 건너뛰거나 실패했음을 나타냅니다. AMI의 경우 COMPLETED_WITH_ISSUES는 하나 이상의 스냅샷을 스캔할 수 없음을 나타냅니다. 건너뛴 이유 목록은 아래를 참조하세요.

다양한 이유로 스캔을 건너뛸 수도 있습니다. 아래 표에서는 스캔을 건너뛸 수 있는 이유를 설명합니다.

스캔 건너뛴 이유 이유

ACCESS_DENIED

고객 역할에 서비스가 스캔을 수행하는 데 필요한 권한이 없습니다.

RESOURCE_NOT_FOUND

스캔하려는 리소스가 계정에 없거나 스캔 중에 삭제되었습니다.

스냅샷_크기_한도_초과

스냅샷 크기가 현재 GuardDuty에서 지원하는 크기보다 큽니다.

INCREMENTAL_NO_DIFFERENCE

증분 스캔 요청에 지정된 리소스에는 차이가 없습니다.

RESOURCE_UNAVAILABLE

리소스가 예상 상태가 아닙니다. 스캔이 증분인 경우 기본 복구 시점이 AVAILABLE 또는 COMPLETED 상태가 아닙니다.

관련 없음_리소스

증분 스캔의 경우 - 기본 리소스와 현재 리소스가 동일한 계보에 속하지 않음

BASE_RESOURCE_NOT_SCANNED

증분 스캔의 경우 - 기본 리소스가 이전에 스캔되지 않았거나 완료된 스캔을 찾을 수 없음

BASE_CREATED_AFTER_TARGET

증분 스캔의 경우 - 기본 리소스의 생성 날짜가 현재 리소스의 생성 날짜보다 큽니다.

UNSUPPORTED_FOR_INCREMENTAL

요청된 리소스 유형은 증분 스캔을 지원하지 않습니다.

UNSUPPORTED_AMI

퍼블릭 AMI, 임시 스토리지만 있는 AMI 및 사용 가능한 상태가 아닌 AMI는 스캔할 수 없습니다.

UNSUPPORTED_SNAPSHOT

콜드 스토리지 스냅샷은 스캔할 수 없습니다.

UNSUPPORTED_COMPOSITE_RP

복합 리소스 유형에는 스캔이 지원되지 않습니다.

지원되지 않는_PRODUCT_CODE_TYPE

요청된 리소스에는 스캔을 지원하지 않는 Amazon Marketplace 제품 코드가 포함되어 있습니다.

AMI_SNAPSHOT_LIMIT_EXCEEDED

AMI는 40개 이상의 스냅샷 스캔을 지원하지 않습니다.

NO_EBS_VOLUMES_FOUND

요청된 리소스에 대한 Ebs 블록 디바이스 매핑을 찾을 수 없음

관련 없음_리소스

증분 스캔의 경우 - 기본 리소스의 ARN이 예상 리소스의 ARN과 다름

ALL_FILES_SKIPPED_OR_FAILED

스캔 중인 모든 파일을 건너뛰거나 실패했습니다.

스캔 결과의 보존 기간은 90일입니다. 선호하는 액세스 방법을 선택하여 맬웨어 스캔 상태를 추적합니다.

콘솔을 사용하여 스캔 모니터링

  1. https://console.aws.amazon.com/guardduty/에서 GuardDuty 콘솔을 엽니다.

  2. 탐색 창에서 맬웨어 스캔을 선택합니다.

  3. 필터 검색창에서 사용할 수 있는 다음 속성을 기준으로 맬웨어 스캔을 필터링할 수 있습니다.

    • 스캔 ID - 맬웨어 스캔과 연결된 고유 식별자입니다.

    • 계정 ID - 맬웨어 스캔이 시작된 계정입니다.

    • 리소스 ARN - 스캔과 연결된 Amazon 리소스와 연결된 Amazon 리소스 이름(ARN)입니다.

    • 리소스 유형 - EC2 인스턴스, EBS 스냅샷 | EC2 AMI, EBS 복구 시점, EC2 복구 시점 또는 S3 복구 시점과 같이 스캔과 연결된 리소스 유형입니다.

    • 상태 - 실행 중, 건너뜀, 완료됨, 문제로 완료됨 또는 실패와 같은 스캔의 스캔 상태입니다.

    • 스캔 유형 - 온디맨드, GuardDuty 시작 또는 백업 시작 맬웨어 스캔인지 여부를 나타냅니다.

API/CLI를 사용하여 스캔 모니터링

  • ListMalwareScans를 호출하여 RESOURCE_ARN, , , SCAN_ID, ACCOUNT_IDSCAN_TYPE GUARDDUTY_FINDING_ID, RESOURCE_TYPE, SCAN_STATUS별로 맬웨어 스캔을 필터링할 수 있습니다SCAN_START_TIME. 또한 GetMalwareScan을 호출하여 scan-id를 입력으로 제공하여 스캔의 더 자세한 메타데이터를 검색할 수 있습니다. GUARDDUTY_FINDING_ID 필터 기준은 SCAN_TYPE이 GuardDuty initiated일 때 제공됩니다.

  • 아래 명령에서 예제 filter-criteria를 변경할 수 있으며 한 CriterionKey 번에 하나씩 기준으로 필터링할 수 있습니다. 의 옵션은 Resource_ARN, , SCAN_ID, ACCOUNT_ID, SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS, 및 RESOURCE_TYPECriterionKey입니다SCAN_START_TIME. max-results(최대 50) 및 sort-criteria를 변경할 수 있습니다. AttributeName 필드는에 필수sort-criteria이며 로 설정해야 합니다scanStartTime. 다음 예제에서 빨간색으로 된 값은 자리 표시자입니다. 이를 계정에 적합한 값으로 바꿉니다. ListMalwareScans에 대해 아래와 CriterionKey 동일한를 사용하는 경우 예제를 필터링하려는 리소스 유형EqualsValue으로 바꿔야 합니다.

    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123

  • ListMalwareScans에 대한 위의 명령에 대한 응답은 영향을 받는 리소스(들)에 대한 일부 세부 정보와 함께 최대 25개의 스캔을 반환합니다. GetMalwareScan에 대한 위의 명령에 대한 응답은 스캔에 대한 자세한 메타데이터가 포함된 단일 스캔을 반환합니다.

EventBridge를 사용하여 스캔 모니터링

Amazon EventBridge: 애플리케이션을 다양한 소스의 데이터와 쉽게 연결할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge는 자체 애플리케이션, Software-as-a-Service(SaaS) 애플리케이션 및 Amazon 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를 Lambda와 같은 대상으로 라우팅합니다. 이를 통해 서비스에서 발생하는 이벤트를 모니터링하고 이벤트 기반 아키텍처를 구축할 수 있습니다. 자세한 내용은 Amazon EventBridge 사용 설명서를 참조하세요.

GuardDuty는 스캔 상태가 확인되면 EventBridge 알림을 기본 이벤트 버스에 게시합니다. 계정에서 EventBridge 규칙을 설정하여 Amazon EventBridge와 통합된 다른 서비스로 이벤트를 보낼 수 있습니다. 표준 EventBridge 요금이 적용됩니다. 자세한 내용은 Amazon EventBridge 요금을 참조하세요.

아래 표시된 대부분의 값은 예제의 자리 표시자이며 스캔에 따라 달라집니다.

맬웨어 스캔 결과 이벤트

Backup의 잠재적 세부 정보 유형 값:

  • “GuardDuty 맬웨어 보호 EBS 스냅샷 스캔 결과”

  • “GuardDuty 맬웨어 보호 EC2 AMI 스캔 결과”

  • “GuardDuty 맬웨어 보호 S3 복구 시점 스캔 결과”

  • “GuardDuty 맬웨어 보호 EBS 복구 시점 스캔 결과”

  • “GuardDuty 맬웨어 보호 EC2 복구 시점 스캔 결과”

샘플 이벤트 패턴:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

위협이 발견되지 않은 EC2 AMI 스캔에 대한 샘플 알림 스키마:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
더보기간략히 보기

위협이 발견된 EC2 AMI 스캔에 대한 샘플 알림 스키마:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
더보기간략히 보기

건너뛴 EC2 AMI 스캔에 대한 샘플 알림 스키마:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
더보기간략히 보기