런타임 모니터링 결과 수정 - 아마존 GuardDuty
손상된 컨테이너 이미지 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

런타임 모니터링 결과 수정

계정에 대해 런타임 모니터링을 활성화하면 Amazon에서 사용자 AWS 환경의 잠재적 보안 문제를 런타임 모니터링 검색 유형 나타내는 런타임 모니터링을 생성할 GuardDuty 수 있습니다. 잠재적인 보안 문제는 사용자 환경의 Amazon EC2 인스턴스, 컨테이너 워크로드, Amazon EKS 클러스터 또는 일련의 자격 증명이 손상되었음을 나타냅니다. AWS 보안 에이전트는 여러 리소스 유형의 런타임 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔에서 생성된 검색 결과 세부 정보에서 리소스 유형을 확인하십시오. 다음 섹션에서는 각 리소스 유형에 대한 권장 해결 단계를 설명합니다.

Instance

결과 세부 정보의 리소스 유형인스턴스인 경우 EC2 인스턴스 또는 EKS 노드가 손상되었을 수 있음을 나타냅니다.

EKSCluster

결과 세부 정보의 리소스 유형EKSCluster인 경우 EKS 클러스터 내부의 포드 또는 컨테이너가 손상되었을 수 있음을 나타냅니다.

ECSCluster

검색 결과 세부 정보의 리소스 유형이 ECSCluster인 경우 ECS 작업이나 ECS 작업 내의 컨테이너가 잠재적으로 손상되었을 수 있음을 나타냅니다.

  1. 영향을 받는 ECS 클러스터를 식별하십시오.

    GuardDuty 런타임 모니터링 검색 결과는 검색 결과의 세부 정보 패널 또는 검색 결과 JSON의 resource.ecsClusterDetails 섹션에 ECS 클러스터 세부 정보를 제공합니다.

  2. 영향을 받는 ECS 작업을 식별하십시오.

    GuardDuty 런타임 모니터링 검색 결과는 검색 결과의 세부 정보 패널 또는 검색 결과 JSON의 resource.ecsClusterDetails.taskDetails 섹션에 ECS 작업 세부 정보를 제공합니다.

  3. 영향을 받는 작업을 분리하세요.

    작업에 대한 모든 수신 및 송신 트래픽을 거부하여 영향을 받는 작업을 격리합니다. 모든 트래픽 거부 규칙은 작업에 대한 모든 연결을 끊어 이미 진행 중인 공격을 중단하는 데 도움이 될 수 있습니다.

  4. 손상된 작업을 수정하세요.

    1. 작업을 손상시킨 취약성을 식별하십시오.

    2. 해당 취약성에 대한 수정 사항을 구현하고 새로운 대체 작업을 시작하십시오.

    3. 취약한 작업을 중지하세요.

Container

결과 세부 정보의 리소스 유형컨테이너인 경우 독립형 컨테이너가 손상되었을 수 있음을 나타냅니다.

손상된 컨테이너 이미지 문제 해결

GuardDuty 검색 결과 작업 손상이 확인되면 작업을 시작하는 데 사용된 이미지가 악의적이거나 손상된 것일 수 있습니다. GuardDuty 조사 결과는 resource.ecsClusterDetails.taskDetails.containers.image 필드 내의 컨테이너 이미지를 식별합니다. 멀웨어를 검사하여 이미지가 악성인지 여부를 확인할 수 있습니다.

손상된 컨테이너 이미지를 치료하려면

  1. 이미지 사용을 즉시 중지하고 이미지 리포지토리에서 이미지를 제거합니다.

  2. 이 이미지를 사용하는 모든 작업을 식별하십시오.

  3. 손상된 이미지를 사용하는 모든 작업을 중지하세요. 손상된 이미지 사용을 중단하도록 작업 정의를 업데이트하세요.