기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
잠재적으로 손상된 Amazon EC2 인스턴스 수정
가 잠재적으로 손상된 Amazon EC2 리소스 를 나타내는 결과 유형을 GuardDuty 생성하면 리소스는 인스턴스 가 됩니다. 잠재적 조사 결과 유형은 EC2 결과 유형, GuardDuty 런타임 모니터링 결과 유형또는 일 수 있습니다EC2 검색 유형에 대한 맬웨어 보호. 환경에서 결과를 야기한 동작이 예상되었다면 사용을 고려하세요억제 규칙.
다음 단계를 수행하여 잠재적으로 손상된 Amazon EC2 인스턴스를 해결합니다.
-
잠재적으로 손상된 Amazon EC2 인스턴스 식별
잠재적으로 손상된 인스턴스에 맬웨어가 있는지 조사하고, 맬웨어가 발견되면 모두 제거합니다. 의 온디맨드 맬웨어 스캔 GuardDuty 를 사용하여 잠재적으로 손상된 EC2 인스턴스에서 맬웨어를 식별하거나 맬웨어AWS Marketplace
를 식별하고 제거하는 데 유용한 파트너 제품이 있는지 확인할 수 있습니다. -
잠재적으로 손상된 Amazon EC2 인스턴스 격리
가능한 경우 다음 단계를 사용하여 잠재적으로 손상된 인스턴스를 격리합니다.
-
전용 격리 보안 그룹을 생성합니다. 격리 보안 그룹은 특정 IP 주소의 인바운드 및 아웃바운드 액세스 권한만 있어야 합니다. 에 대한 트래픽을 허용하는 인바운드 또는 아웃바운드 규칙이 없는지 확인합니다
0.0.0.0/0 (0-65535). -
격리 보안 그룹을 이 인스턴스와 연결합니다.
-
잠재적으로 손상된 인스턴스에서 새로 생성된 격리 보안 그룹을 제외한 모든 보안 그룹 연결을 제거합니다.
참고
기존 추적 연결은 보안 그룹 변경으로 인해 종료되지 않습니다. 향후 트래픽만 새 보안 그룹에 의해 효과적으로 차단됩니다.
추적된 연결과 추적되지 않은 연결에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon EC2 보안 그룹 연결 추적을 참조하세요. EC2
의심스러운 기존 연결에서 추가 트래픽을 차단 IoCs 하는 방법에 대한 자세한 내용은 Incident Response Playbook 의 네트워크를 NACLs 기반으로 강제 적용을
참조하세요.
-
-
의심스러운 활동의 출처 식별
맬웨어가 감지되면 계정의 결과 유형에 따라 EC2 인스턴스에서 잠재적으로 승인되지 않은 활동을 식별하고 중지합니다. 이를 위해 열려 있는 포트를 닫고, 액세스 정책을 변경하고, 취약성을 수정하기 위해 애플리케이션을 업그레이드하는 등의 조치가 필요할 수 있습니다.
잠재적으로 손상된 EC2 인스턴스에서 무단 활동을 식별하고 중지할 수 없는 경우 손상된 EC2 인스턴스를 종료하고 필요에 따라 새 인스턴스로 교체하는 것이 좋습니다. 다음은 EC2 인스턴스를 보호하기 위한 추가 리소스입니다.
-
찾아보기 AWS re:Post
추가 지원을 AWS re:Post
찾습니다. -
기술 지원 요청 제출
Premium Support 패키지를 구독하는 경우 기술 지원
요청을 제출할 수 있습니다.
