런타임 모니터링 결과 수정 - Amazon GuardDuty
손상된 컨테이너 이미지 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

런타임 모니터링 결과 수정

계정에 대해 런타임 모니터링을 활성화하면 Amazon에서 AWS 환경의 잠재적 보안 문제를 나타내는 GuardDuty 런타임 모니터링 결과 유형 를 생성할 GuardDuty 수 있습니다. 잠재적인 보안 문제는 손상된 Amazon EC2 인스턴스, 컨테이너 워크로드, Amazon EKS 클러스터 또는 AWS 환경의 손상된 보안 인증 정보 세트를 나타냅니다. 보안 에이전트는 여러 리소스 유형의 런타임 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔에서 생성된 결과 세부 정보에서 리소스 유형을 확인합니다. 다음 섹션에서는 각 리소스 유형에 대한 권장 해결 단계를 설명합니다.

Instance

조사 결과 세부 정보의 리소스 유형이 인스턴스 인 경우 EC2 인스턴스 또는 EKS 노드가 잠재적으로 손상되었음을 나타냅니다.

EKSCluster

조사 결과 세부 정보의 리소스 유형이 인 경우 EKS 클러스터 내의 포드 또는 컨테이너가 잠재적으로 손상되었음을 EKSCluster나타냅니다.

ECSCluster

조사 결과 세부 정보의 리소스 유형이 인 경우 ECSCluster작업 또는 ECS 작업 내 컨테이너ECS가 잠재적으로 손상되었음을 나타냅니다.

  1. 영향을 받는 ECS 클러스터 식별

    GuardDuty 런타임 모니터링 조사 결과는 조사 결과의 세부 정보 패널 또는 조사 결과의 resource.ecsClusterDetails 섹션에 ECS 클러스터 세부 정보를 제공합니다JSON.

  2. 영향을 받는 ECS 작업 식별

    GuardDuty 런타임 모니터링 조사 결과는 조사 결과의 세부 정보 패널 또는 조사 결과의 resource.ecsClusterDetails.taskDetails 섹션에 ECS 작업 세부 정보를 제공합니다JSON.

  3. 영향을 받는 작업 격리

    태스크에 대한 모든 수신 및 송신 트래픽을 거부하여 영향을 받는 태스크를 격리합니다. 모든 트래픽 거부 규칙은 작업에 대한 모든 연결을 끊어 이미 진행 중인 공격을 중단하는 데 도움이 될 수 있습니다.

  4. 손상된 작업 해결

    1. 작업을 손상시킨 취약성을 식별합니다.

    2. 해당 취약성에 대한 수정 사항을 구현하고 새 대체 작업을 시작합니다.

    3. 취약한 작업을 중지합니다.

Container

결과 세부 정보의 리소스 유형컨테이너인 경우 독립형 컨테이너가 손상되었을 수 있음을 나타냅니다.

손상된 컨테이너 이미지 문제 해결

GuardDuty 조사 결과가 작업 손상을 나타내는 경우 작업을 시작하는 데 사용되는 이미지가 악의적이거나 손상되었을 수 있습니다. GuardDuty 조사 결과는 resource.ecsClusterDetails.taskDetails.containers.image 필드 내에서 컨테이너 이미지를 식별합니다. 맬웨어가 있는지 스캔하여 이미지가 악성인지 여부를 확인할 수 있습니다.

손상된 컨테이너 이미지를 해결하려면

  1. 이미지 사용을 즉시 중지하고 이미지 리포지토리에서 이미지를 제거합니다.

  2. 이 이미지를 사용하는 모든 작업을 식별합니다.

  3. 손상된 이미지를 사용하는 모든 작업을 중지합니다. 손상된 이미지 사용을 중지하도록 태스크 정의를 업데이트합니다.