AWS Systems Manager 사용

AWS Systems Manager Run Command를 사용하면 대상 인스턴스에서 Linux 셸 스크립트 및 Windows PowerShell 명령을 실행하는 온디맨드 변경을 원격으로 안전하게 수행할 수 있습니다. AWS IAM 서비스의 권한을 통해 Run Command를 호출할 수 있지만, 먼저 Amazon EC2 인스턴스를 관리형 인스턴스로 활성화하고, 시스템에 SSM Agent를 설치하고(기본적으로 설치되지 않은 경우), AWS IAM 권한을 구성해야 합니다. 자동화 또는 대응 활동에 Run Command를 사용하려는 경우 조사를 수행하기 전에 사전 요구 사항 활동을 완료해야 합니다.

Run Command를 포함하는 AWS Systems Manager는 Systems Manager에 의해 또는 Systems Manager를 대신하여 수행된 API 호출을 캡처하고 로그 파일을 지정한 Amazon S3 버킷으로 전송하는 서비스인 AWS CloudTrail과 통합됩니다. AWS CloudTrail에서 수집하는 정보를 참조하여 어떤 요청이 이루어졌는지, 어떤 소스 IP 주소에서 요청했는지, 누가 언제 요청했는지 등을 확인할 수 있습니다. CloudTrail은 Run Command를 사용하여 명령을 실행하거나 Systems Manager 문서를 생성하기 위한 API 요청을 포함하여 모든 Systems Manager API 작업에 대한 로그를 생성합니다.

AWS Systems Manager Run Command 서비스를 사용하여 Linux 셸 스크립트 및 Windows PowerShell 명령을 실행하는 SSM Agent를 호출할 수 있습니다. 이러한 스크립트는 Linux Memory Extractor(LiME) 커널 모듈과 같은 호스트에서 추가 데이터를 캡처하는 특정 도구를 로드하고 실행할 수 있습니다. 그런 다음 메모리 캡처를 VPC 네트워크의 포렌식 Amazon EC2 인스턴스로 또는 안정적인 저장을 위해 Amazon S3 버킷으로 전송할 수 있습니다.