기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링
맬웨어 스캔이 시작된 후 GuardDuty는 스캔의 상태와 결과를 모니터링할 수 있는 몇 가지 메커니즘을 제공합니다. 다음 표에는 맬웨어 스캔과 관련된 일부 값이 나와 있습니다.
| 카테고리 | 잠재적 가치 |
|---|---|
|
스캔 상태 |
|
|
스캔 범주 |
|
|
스캔 유형 |
|
|
스캔 결과 상태 |
|
*스캔이 완료되지 않은 경우 스캔 결과 상태가 표시되지 않을 수 있습니다. THREATS_FOUND의 스캔 결과 상태는 GuardDuty가 맬웨어의 존재를 감지했음을 나타냅니다.
다양한 이유로 스캔을 건너뛸 수도 있습니다. 아래 표에서는 스캔을 건너뛸 수 있는 이유를 설명합니다.
| 스캔 건너뛴 이유 | 이유 |
|---|---|
|
ACCESS_DENIED |
고객 역할에 서비스가 스캔을 수행하는 데 필요한 권한이 없습니다. |
|
RESOURCE_NOT_FOUND |
스캔하려는 리소스가 계정에 없거나 스캔 중에 삭제되었습니다. |
|
스냅샷_크기_한도_초과 |
스냅샷 크기가 현재 GuardDuty에서 지원하는 크기보다 큽니다. |
|
INCREMENTAL_NO_DIFFERENCE |
증분 스캔 요청에 지정된 리소스에는 차이가 없습니다. |
|
RESOURCE_UNAVAILABLE |
리소스가 예상 상태가 아닙니다. 스캔이 증분인 경우 기본 복구 시점이 AVAILABLE 또는 COMPLETED 상태가 아닙니다. |
|
관련 없음_리소스 |
증분 스캔의 경우 - 기본 리소스와 현재 리소스가 동일한 계보에 속하지 않음 |
|
BASE_RESOURCE_NOT_SCANNED |
증분 스캔의 경우 - 기본 리소스가 이전에 스캔되지 않았거나 완료된 스캔을 찾을 수 없음 |
|
BASE_CREATED_AFTER_TARGET |
증분 스캔의 경우 - 기본 리소스의 생성 날짜가 현재 리소스의 생성 날짜보다 큽니다. |
|
UNSUPPORTED_FOR_INCREMENTAL |
요청된 리소스 유형은 증분 스캔을 지원하지 않습니다. |
|
UNSUPPORTED_AMI |
퍼블릭 AMI, 임시 스토리지만 있는 AMI 및 사용 가능한 상태가 아닌 AMI는 스캔할 수 없습니다. |
|
UNSUPPORTED_SNAPSHOT |
콜드 스토리지 스냅샷은 스캔할 수 없습니다. |
|
UNSUPPORTED_COMPOSITE_RP |
복합 리소스 유형에는 스캔이 지원되지 않습니다. |
|
지원되지 않는_PRODUCT_CODE_TYPE |
요청된 리소스에는 스캔을 지원하지 않는 Amazon Marketplace 제품 코드가 포함되어 있습니다. |
|
AMI_SNAPSHOT_LIMIT_EXCEEDED |
AMI는 40개 이상의 스냅샷 스캔을 지원하지 않습니다. |
|
NO_EBS_VOLUMES_FOUND |
요청된 리소스에 대한 Ebs 블록 디바이스 매핑을 찾을 수 없음 |
|
관련 없음_리소스 |
증분 스캔의 경우 - 기본 리소스의 ARN이 예상 리소스의 ARN과 다름 |
스캔 결과의 보존 기간은 90일입니다. 선호하는 액세스 방법을 선택하여 맬웨어 스캔 상태를 추적합니다.
콘솔을 사용하여 스캔 모니터링
https://console.aws.amazon.com/guardduty/
에서 GuardDuty 콘솔을 엽니다. 탐색 창에서 맬웨어 스캔을 선택합니다.
필터 검색창에서 사용할 수 있는 다음 속성을 기준으로 맬웨어 스캔을 필터링할 수 있습니다.
- 스캔 ID – Unique identifier associated with the malware scan.
- 계정 ID – Account where the malware scan initiated.
- 리소스 ARN – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
- 리소스 유형 – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
- Status – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
- 스캔 유형 – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.
API/CLI를 사용하여 스캔 모니터링
- You can invoke ListMalwareScans to filter malware scans by
리소스_ARN,SCAN_ID,ACCOUNT_ID,SCAN_TYPE GUARDDUTY_FINDING_ID,SCAN_STATUS,리소스_유형, andSCAN_START_TIME. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. TheGUARDDUTY_FINDING_IDfilter criteria is available when theSCAN_TYPEis GuardDuty initiated. - You may change the example
filter-criteriain the command below, and can filter on the basis of oneCriterionKeyat a time. The options forCriterionKeyareResource_ARN,SCAN_ID,ACCOUNT_ID,SCAN_TYPE,GUARDDUTY_FINDING_ID,SCAN_STATUS,리소스_유형, andSCAN_START_TIME. You can change the최대 결과(up to 50) and thesort-criteria. TheAttributeNamefield is mandatory forsort-criteriaand must be set toscanStartTime. In the following example, the values inredare placeholders. Replace them with the values appropriate for your account. If you use the sameCriterionKeyas below for ListMalwareScans, ensure to replace the exampleEqualsValuewith theresource-typeyou want to filter by.aws guardduty list-malware-scans --max-results25--sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'aws guardduty get-malware-scan --scan-idabc123 - The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.
EventBridge를 사용하여 스캔 모니터링
Amazon EventBridge: 애플리케이션을 다양한 소스의 데이터와 쉽게 연결할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge는 자체 애플리케이션, Software-as-a-Service(SaaS) 애플리케이션 및 Amazon 서비스의 실시간 데이터 스트림을 제공하고 해당 데이터를 Lambda와 같은 대상으로 라우팅합니다. 이를 통해 서비스에서 발생하는 이벤트를 모니터링하고 이벤트 기반 아키텍처를 구축할 수 있습니다. 자세한 내용은 Amazon EventBridge 사용 설명서를 참조하세요.
GuardDuty는 스캔 상태가 확인되면 EventBridge 알림을 기본 이벤트 버스에 게시합니다. 계정에서 EventBridge 규칙을 설정하여 Amazon EventBridge와 통합된 다른 서비스로 이벤트를 보낼 수 있습니다. 표준 EventBridge 요금이 적용됩니다. 자세한 내용은 Amazon EventBridge 요금
아래 표시된 대부분의 값은 예제의 자리 표시자이며 스캔에 따라 달라집니다.
맬웨어 스캔 결과 이벤트Backup의 잠재적 세부 정보 유형 값:
- “GuardDuty Malware Protection EBS Snapshot Scan Result”
- “GuardDuty Malware Protection EC2 AMI Scan Result”
- “GuardDuty Malware Protection S3 Recovery Point Scan Result”
- “GuardDuty Malware Protection EBS Recovery Point Scan Result”
- “GuardDuty Malware Protection EC2 Recovery Point Scan Result”
샘플 이벤트 패턴:
{ "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"], "source": ["aws.guardduty"] }
위협이 발견되지 않은 EC2 AMI 스캔에 대한 샘플 알림 스키마:
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result", "source": "aws.guardduty", "account": "1111222233334444", "time": "2025-11-01T00:00:00Z", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"], "detail": { "schemaVersion": "1.0", "scanStatus": "COMPLETED", "resourceType": "EC2_AMI", "scanId": "d41d8cd98f00b204e9800998ecf8427e", "scanStatusReason": null, "scanType": "ON_DEMAND", "triggerType": "GUARDDUTY", "scanCategory": "FULL_SCAN", "scanStartTime": 1234567890123, "scanCompleteTime": 2345678901234, "scanResultDetails": { "scanResultStatus": "NO_THREATS_FOUND", "uniqueThreatCount": null } } }
위협이 발견된 EC2 AMI 스캔에 대한 샘플 알림 스키마:
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result", "source": "aws.guardduty", "account": "1111222233334444", "time": "2025-11-01T00:00:00Z", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"], "detail": { "schemaVersion": "1.0", "scanStatus": "COMPLETED", "resourceType": "EC2_AMI", "scanId": "d41d8cd98f00b204e9800998ecf8427e", "scanStatusReason": null, "scanType": "ON_DEMAND", "triggerType": "GUARDDUTY", "scanCategory": "FULL_SCAN", "scanStartTime": 1234567890123, "scanCompleteTime": 2345678901234, "scanResultDetails": { "scanResultStatus": "THREATS_FOUND", "uniqueThreatCount": 1, "threats": { "name": "EICAR-Test-File (not a virus)", "source": "AMAZON", "count": 2, "itemDetails": [{ "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890", "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855", "itemPath": "/eicar.txt", "additionalInfo": { "versionId": null, "deviceName": "/dev/sdf" } }] } } } }
건너뛴 EC2 AMI 스캔에 대한 샘플 알림 스키마:
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result", "source": "aws.guardduty", "account": "1111222233334444", "time": "2025-11-01T00:00:00Z", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"], "detail": { "schemaVersion": "1.0", "scanStatus": "SKIPPED", "resourceType": "EC2_AMI", "scanId": "d41d8cd98f00b204e9800998ecf8427e", "scanStatusReason": "UNSUPPORTED_AMI", "scanType": "ON_DEMAND", "triggerType": "GUARDDUTY", "scanCategory": "FULL_SCAN", "scanStartTime": 1234567890123, "scanCompleteTime": 2345678901234, "scanResultDetails": { "uniqueThreatCount": null, "threats": null } } }
