S3용 멀웨어 방지에서 S3 객체 스캔 모니터링하기

GuardDuty 탐지기 ID로 S3용 맬웨어 방지를 사용하는 경우 Amazon S3 객체가 잠재적으로 악성일 경우 GuardDuty가 S3용 맬웨어 보호 결과 유형를 생성합니다. GuardDuty 콘솔 및 API를 사용하여 생성된 조사 결과를 확인할 수 있습니다. 이 결과 유형을 이해하는 방법에 대한 자세한 내용은 결과 세부 정보을 참조하세요.

GuardDuty를 사용하도록 설정하지 않고 S3용 멀웨어 방지을 사용하는 경우(탐지 ID 없음), 스캔한 Amazon S3 객체가 잠재적으로 악성일지라도 GuardDuty는 어떠한 조사 결과도 생성할 수 없습니다.

내용

S3 객체 전위 스캔 상태 및 결과 상태

이 섹션에서는 잠재적인 S3 객체 스캔 상태 값과 스캔 결과 값에 대해 설명합니다.

S3 객체 검사 상태는 완료, 건너뛰기 또는 실패와 같은 멀웨어 검사 상태를 나타냅니다.

S3 객체 멀웨어 검사 결과 상태는 검사 상태 값에 따라 검사 결과를 나타냅니다. 각 멀웨어 검사 결과 상태 값은 검사 상태에 매핑됩니다.

다음 목록은 잠재적인 S3 객체 스캔 결과 값을 제공합니다. 태그 지정을 활성화한 경우 S3 객체 태그 사용를 사용하여 스캔 결과를 모니터링할 수 있습니다. 스캔 후 태그 값은 다음 스캔 결과 값 중 하나를 갖습니다.

S3 객체 잠재적 멀웨어 검사 결과 상태 값

NO_THREATS_FOUND – GuardDuty가 스캔한 객체와 관련된 잠재적 위협을 감지하지 못했습니다.
THREATS_FOUND – GuardDuty가 스캔한 객체와 관련된 잠재적 위협을 감지했습니다.
UNSUPPORTED - S3용 맬웨어 방지가 스캔을 건너뛰는 몇 가지 이유가 있습니다. 잠재적인 이유로는 암호로 보호되는 파일, 압축률이 매우 높은 아카이브, S3 할당량에 대한 맬웨어 보호 및 특정 Amazon S3 기능에 대한 지원을 사용하지 못할 수 있습니다. 자세한 내용은 S3에 대한 맬웨어 보호 기능 단원을 참조하십시오.
ACCESS_DENIED - GuardDuty는 스캔을 위해 이 객체에 액세스할 수 없습니다. 이 버킷과 연결된 IAM 역할 권한을 확인하세요. 자세한 내용은 IAM 역할 정책 생성 또는 업데이트 단원을 참조하십시오.

스캔 후 S3 객체 태그 지정을 활성화한 경우 S3 객체 스캔 후 태그 오류 문제 해결을 참조하세요.
FAILED – 내부 오류로 인해 GuardDuty가 이 객체에 대한 맬웨어 스캔을 수행할 수 없습니다.

다음 목록은 잠재적인 S3 객체 스캔 상태 값과 S3 객체 스캔 결과에 대한 매핑을 제공합니다.

S3 객체 전위 스캔 상태 값

완료됨 - 스캔이 성공적으로 완료되었으며 S3 객체에 맬웨어가 있는지 여부를 나타냅니다. 이 경우 잠재적 S3 객체 스캔 결과 값은 THREATS_FOUND 또는 NO_THREATS_FOUND일 수 있습니다.
건너뛰기 - 이 S3 객체를 검사하는 것이 S3용 멀웨어 방지에서 지원되지 않거나 GuardDuty가 선택한 버킷에 업로드된 S3 객체에 액세스할 수 없는 경우 악성코드 검사를 건너뜁니다.

이 경우 잠재적 S3 객체 스캔 결과 값은 UNSUPPORTED 또는 ACCESS_DENIED일 수 있습니다.

필요한 IAM 역할이 삭제되면 GuardDuty도 스캔을 건너뜁니다.
실패 - S3 객체 스캔 결과 값 FAILED과 마찬가지로 이 스캔 상태는 내부 오류로 인해 GuardDuty가 S3 객체에서 맬웨어 스캔을 수행할 수 없음을 의미합니다.

스캔 상태가 인 경우 S3 객체 스캔 결과에 대한 SKIPPED EventBridge 알림에는 내의 statusReasons 필드가 포함됩니다scanResultDetails. 이 필드는 스캔을 건너뛰는 특정 이유를 제공하는 문자열 목록입니다. 다음 표에서는 가능한 statusReasons 값을 설명합니다.

상태 이유	스캔 결과 상태	설명
`UNAUTHORIZED_TO_GET_OBJECT`	`ACCESS_DENIED`	S3용 맬웨어 보호에 S3 객체를 읽을 권한이 없거나 S3 객체가 존재하지 않습니다. 보호된 버킷과 연결된 IAM 역할에 필요한 권한이 있고 모든 버킷 AWS KMS 정책에서 역할이 객체를 복호화하도록 허용하는지 확인합니다.
`UNAUTHORIZED_TO_ASSUME_ROLE`	`ACCESS_DENIED`	S3용 맬웨어 보호는 보호된 버킷에 대해 구성된 IAM 역할을 수임할 수 없습니다. 역할 신뢰 정책이 S3용 맬웨어 보호가 역할을 수임하도록 허용하는지 확인합니다.
`SSE_C_ENCRYPTED_OBJECT`	`ACCESS_DENIED`	S3 객체는 고객 제공 암호화 키(SSE-C)로 암호화됩니다. GuardDuty는 SSE-C로 암호화된 객체에 액세스할 수 없습니다. 자세한 내용은 단원을 참조하십시오Amazon S3 기능의 지원 가능성.
`OBJECT_E_TAG_CHANGED`	`ACCESS_DENIED`	S3 객체 ETag는 스캔이 시작된 시간과 GuardDuty가 객체를 읽으려고 시도한 시간 사이에 변경되었습니다. 후속 업로드 또는 새 버전이 스캔됩니다.
`BUCKET_NOT_FOUND`	`ACCESS_DENIED`	스캔과 연결된 S3 버킷이 더 이상 존재하지 않습니다.
`UNSUPPORTED_STORAGE_CLASS`	`UNSUPPORTED`	S3 객체는 S3용 맬웨어 보호에서 지원하지 않는 스토리지 클래스를 사용합니다. 자세한 내용은 Amazon S3 기능의 지원 가능성 단원을 참조하십시오.
`OBJECT_SIZE_LIMIT_EXCEEDED`	`UNSUPPORTED`	S3 객체 크기가 S3용 맬웨어 보호의 최대 파일 크기 제한을 초과합니다. 자세한 내용은 S3 할당량에 대한 맬웨어 보호 단원을 참조하십시오.
`PASSWORD_PROTECTED`	`UNSUPPORTED`	객체는 암호로 보호됩니다.
`EXTRACTED_FILE_LIMIT_EXCEEDED`	`UNSUPPORTED`	아카이브에는 최대 허용 한도보다 많은 파일이 포함되어 있습니다. 자세한 내용은 S3 할당량에 대한 맬웨어 보호 단원을 참조하십시오.
`EXTRACTED_LEVEL_LIMIT_EXCEEDED`	`UNSUPPORTED`	아카이브가 허용되는 최대 중첩 깊이를 초과합니다.
`EXTRACTED_BYTE_LIMIT_EXCEEDED`	`UNSUPPORTED`	추출된 아카이브 콘텐츠가 허용되는 최대 바이트 크기를 초과합니다. 자세한 내용은 S3 할당량에 대한 맬웨어 보호 단원을 참조하십시오.
`EXTRACTION_RATIO_LIMIT_EXCEEDED`	`UNSUPPORTED`	아카이브의 압축률이 허용 한도를 초과합니다. 자세한 내용은 S3 할당량에 대한 맬웨어 보호 단원을 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보호된 버킷 상태 보기 및 이해

Amazon EventBridge 사용