기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty가 잠재적으로 손상된 Amazon EC2 리소스를 나타내는 조사 결과 유형을 생성하면 리소스는 인스턴스가 됩니다. 잠재적 조사 결과 유형은 EC2 결과 유형, GuardDuty 런타임 모니터링 조사 결과 유형 또는 EC2용 맬웨어 보호 결과 유형일 수 있습니다. 조사 결과를 야기한 동작이 환경에서 예상되는 경우 억제 규칙 사용을 고려하세요.
다음 단계를 수행하여 잠재적으로 손상된 Amazon EC2 인스턴스를 복구하세요.
-
잠재적으로 손상된 Amazon EC2 인스턴스 식별
잠재적으로 손상된 인스턴스에 맬웨어가 있는지 조사하고, 맬웨어가 발견되면 모두 제거합니다. GuardDuty의 온디맨드 맬웨어 스캔 사용을 통해 잠재적으로 손상된 EC2 인스턴스에서 맬웨어를 식별하거나, AWS Marketplace
에서 맬웨어를 식별 및 제거하는 데 유용한 파트너 제품이 있는지 확인할 수 있습니다. -
잠재적으로 손상된 Amazon EC2 인스턴스 격리
가능하면 다음 단계에 따라 잠재적으로 손상된 인스턴스를 격리하세요.
-
전용 격리 보안 그룹을 생성합니다. 격리 보안 그룹은 특정 IP 주소로부터의 인바운드 및 아웃바운드 액세스만 허용해야 합니다.
0.0.0.0/0 (0-65535)에 대한 트래픽을 허용하는 인바운드 또는 아웃바운드 규칙이 없는지 확인합니다. -
격리 보안 그룹을 이 인스턴스와 연결합니다.
-
잠재적으로 손상된 인스턴스에서 새로 생성된 격리 보안 그룹을 제외한 모든 보안 그룹 연결을 제거합니다.
참고
기존 추적된 연결은 보안 그룹 변경으로 인해 종료되지 않으며, 향후 트래픽만 새 보안 그룹에 의해 효과적으로 차단됩니다.
추적된 연결 및 추적되지 않은 연결에 대한 자세한 내용은 Amazon EC2 사용 설명서에서 Amazon EC2 보안 그룹 연결 추적을 참조하세요.
의심스러운 기존 연결에서 추가 트래픽을 차단하는 방법에 대한 자세한 내용은 Incident Response Playbook의 네트워크 IoCs를 기반으로 NACLs 적용
을 참조하세요.
-
-
의심스러운 활동의 출처 식별
맬웨어가 탐지되면 계정의 결과 유형에 따라 EC2 인스턴스에서 잠재적으로 승인되지 않은 활동을 식별하고 중지합니다. 이를 위해 열려 있는 포트를 닫고, 액세스 정책을 변경하고, 취약성을 수정하기 위해 애플리케이션을 업그레이드하는 등의 조치가 필요할 수 있습니다.
손상 가능성이 있는 EC2 인스턴스에 대한 승인되지 않은 활동을 찾아 중지할 수 없는 경우, 손상된 EC2 인스턴스를 종료하고 필요에 따라 새 인스턴스로 대체하는 것이 좋습니다. 다음은 EC2 인스턴스의 보안 유지를 위한 추가 리소스입니다.
-
찾아보기 AWS re:Post
추가 지원을 받으려면 AWS re:Post
을 찾아보세요. -
기술 지원 요청 제출
Premium Support 패키지를 구독하는 경우 기술 지원
요청을 제출할 수 있습니다.
