AWS용 VM Threat Detection 사용 설정

이 페이지에서는 가상 머신 위협 감지를 설정하고 사용하여 Amazon Elastic Compute Cloud (EC2) VM의 영구 디스크에서 멀웨어를 검사하는 방법을 설명합니다.

AWS용 VM Threat Detection을 사용 설정하려면 AWS 플랫폼에서 AWS IAM 역할을 만들고 Security Command Center에서 AWS용 VM Threat Detection을 사용 설정한 다음 AWS에 CloudFormation 템플릿을 배포해야 합니다.

시작하기 전에

AWS에서 사용하도록 VM Threat Detection을 사용 설정하려면 특정 IAM 권한이 필요하며 Security Command Center를 AWS에 연결해야 합니다.

역할 및 권한

AWS용 VM 위협 감지 설정을 완료하려면Google Cloud 와 AWS 모두에서 필요한 권한이 있는 역할을 부여받아야 합니다.

Google Cloud 역할

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.

AWS 역할

AWS에서는 AWS 관리 사용자가 스캔을 사용 설정하는 데 필요한 AWS 계정을 만들어야 합니다.

AWS에서 VM Threat Detection의 역할을 만들려면 다음 단계를 따르세요.

  1. AWS 관리 사용자 계정을 사용하여 AWS Management Console에서 IAM 역할 페이지로 이동합니다.
  2. 서비스 또는 사용 사례 메뉴에서 람다를 선택합니다.
  3. 다음 권한 정책을 추가합니다.
    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole
  4. 권한 추가 > 인라인 정책 만들기를 클릭하여 새 권한 정책을 만듭니다.
    1. 다음 페이지를 열고 AWS용 취약점 평가 및 VM 위협 감지를 위한 역할 정책을 복사합니다.
    2. JSON 편집기에 정책을 붙여넣습니다.
    3. 정책의 이름을 지정합니다.
    4. 정책을 저장합니다.
  5. 트러스트 관계 탭을 엽니다.

  6. 다음 JSON 객체를 붙여넣어 기존 문장 배열에 추가합니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  7. 역할을 저장합니다.

나중에 AWS에 CloudFormation 템플릿을 설치할 때 이 역할을 할당합니다.

Security Command Center가 AWS에 연결되어 있는지 확인

VM 위협 감지를 사용하려면 AWS 커넥터를 만들 때 Cloud 애셋 인벤토리가 유지 관리하는 AWS 리소스 인벤토리에 액세스해야 합니다.

아직 연결이 설정되지 않은 경우 AWS용 VM 위협 감지를 사용 설정할 때 연결을 설정해야 합니다.

연결을 설정하려면 AWS 커넥터를 만듭니다.

Security Command Center에서 AWS용 VM Threat Detection 사용 설정

조직 수준에서 Google Cloud 에 AWS용 VM Threat Detection을 사용 설정해야 합니다.

콘솔

  1. Google Cloud 콘솔에서 Virtual Machine Threat Detection 서비스 사용 설정 페이지로 이동합니다.

    서비스 사용 설정으로 이동

  2. 조직을 선택합니다.

  3. Amazon Web Services 탭을 클릭합니다.

  4. 서비스 사용 설정 섹션의 상태 필드에서 사용 설정을 선택합니다.

  5. AWS 커넥터 섹션에서 상태가 AWS 커넥터 추가됨으로 표시되는지 확인합니다.

    상태가 추가된 AWS 커넥터 없음이 표시되면 AWS 커넥터 추가를 클릭합니다. 다음 단계로 진행하기 전에 구성 및 리소스 데이터 수집을 위해 AWS에 연결의 단계를 완료합니다.

gcloud

gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 숫자 식별자
  • NEW_STATE: ENABLED: AWS에 VM Threat Detection을 사용 설정합니다. DISABLED: AWS에 VM Threat Detection을 사용 중지합니다.

gcloud scc manage services update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=NEW_STATE

Windows(PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=NEW_STATE

Windows(cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=NEW_STATE

다음과 비슷한 응답이 표시됩니다.

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Security Command Center Management API의 organizations.locations.securityCenterServices.patch 메서드는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • ORGANIZATION_ID: 조직의 숫자 식별자
  • NEW_STATE: ENABLED: AWS에 VM Threat Detection을 사용 설정합니다. DISABLED: AWS에 VM Threat Detection을 사용 중지합니다.

HTTP 메서드 및 URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=intendedEnablementState

JSON 요청 본문:

{
  "intendedEnablementState": "NEW_STATE"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

이미 AWS용 취약점 평가 서비스를 사용 설정하고 이 기능의 일부로 CloudFormation 템플릿을 배포했다면 AWS용 VM 위협 감지 설정이 완료된 것입니다.

그렇지 않으면 6시간 후에 다음 작업을 실행합니다. CloudFormation 템플릿을 다운로드합니다.

CloudFormation 템플릿 다운로드

AWS에 VM Threat Detection을 사용 설정한 후 최소 6시간 후에 이 작업을 실행합니다.

  1. Google Cloud 콘솔에서 Virtual Machine Threat Detection 서비스 사용 설정 페이지로 이동합니다.

    서비스 사용 설정으로 이동

  2. 조직을 선택합니다.

  3. Amazon Web Services 탭을 클릭합니다.

  4. CloudFormation 템플릿 배포 섹션에서 CloudFormation 템플릿 다운로드를 클릭합니다. JSON 템플릿이 워크스테이션에 다운로드됩니다. 스캔해야 하는 각 AWS 계정에 템플릿을 배포해야 합니다.

AWS CloudFormation 템플릿 배포

AWS 커넥터를 만든 후 최소 6시간 후에 이 단계를 실행합니다.

CloudFormation 템플릿을 배포하는 방법에 관한 자세한 내용은 AWS 문서의 CloudFormation 콘솔에서 스택 만들기를 참고하세요.

  1. AWS Management Console에서 AWS CloudFormation 템플릿 페이지로 이동합니다.
  2. 스택 > 새 리소스 포함 (표준)을 클릭합니다.
  3. 스택 만들기 페이지에서 기존 템플릿 선택템플릿 파일 업로드를 선택하여 CloudFormation 템플릿을 업로드합니다.
  4. 업로드가 완료되면 고유한 스택 이름을 입력합니다. 템플릿의 다른 매개변수는 수정하지 마세요.
  5. 스택 세부정보 지정을 선택합니다. 스택 옵션 구성 페이지가 열립니다.
  6. 권한에서 이전에 만든 AWS 역할을 선택합니다.
  7. 메시지가 표시되면 확인 체크박스를 선택합니다.
  8. 제출을 클릭하여 템플릿을 배포합니다. 스택이 실행되기 시작하는 데 몇 분 정도 걸립니다.

배포 상태가 AWS 콘솔에 표시됩니다. CloudFormation 템플릿이 배포되지 않으면 문제 해결을 참고하세요.

스캔이 실행되기 시작한 후 위협이 감지되면 해당 발견 항목이 생성되어 Google Cloud 콘솔의 Security Command Center 발견 항목 페이지에 표시됩니다. 자세한 내용은 Google Cloud 콘솔에서 발견 항목 검토를 참고하세요.

모듈 관리

이 섹션에서는 모듈을 사용 설정 또는 중지하고 설정을 확인하는 방법을 설명합니다.

모듈 사용 설정 또는 중지

모듈을 사용 설정하거나 사용 중지한 후 변경사항이 적용되려면 최대 1시간이 걸릴 수 있습니다.

모든 VM Threat Detection 위협 발견 항목 및 이를 생성하는 모듈에 대한 자세한 내용은 위협 발견 항목을 참조하세요.

콘솔

Google Cloud 콘솔을 사용하면 조직 수준에서 VM Threat Detection 모듈을 사용 설정하거나 중지할 수 있습니다.

  1. Google Cloud 콘솔에서 모듈 페이지로 이동합니다.

    모듈로 이동

  2. 조직을 선택합니다.

  3. 모듈 탭의 상태 열에서 사용 설정 또는 사용 중지하려는 모듈의 현재 상태를 선택한 다음 다음 중 하나를 선택합니다.

    • 사용 설정: 모듈을 사용 설정합니다.
    • 사용 중지: 모듈을 사용 중지합니다.

gcloud

gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 숫자 식별자
  • MODULE_NAME: 사용 설정하거나 중지할 모듈의 이름입니다(예: MALWARE_DISK_SCAN_YARA_AWS). 유효한 값에는 AWS를 지원하는 위협 발견의 모듈만 포함됩니다.
  • NEW_STATE: 모듈을 사용 설정하려면 ENABLED, 모듈을 사용 중지하려면 DISABLED

다음 콘텐츠를 request.json 파일에 저장합니다. 

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

gcloud scc manage services update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc manage services update vm-threat-detection-aws \
    --organization=ORGANIZATION_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows(PowerShell)

gcloud scc manage services update vm-threat-detection-aws `
    --organization=ORGANIZATION_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows(cmd.exe)

gcloud scc manage services update vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

다음과 비슷한 응답이 표시됩니다.

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Security Command Center Management API의 organizations.locations.securityCenterServices.patch 메서드는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • ORGANIZATION_ID: 조직의 숫자 식별자
  • MODULE_NAME: 사용 설정하거나 중지할 모듈의 이름입니다(예: MALWARE_DISK_SCAN_YARA_AWS). 유효한 값에는 AWS를 지원하는 위협 발견의 모듈만 포함됩니다.
  • NEW_STATE: 모듈을 사용 설정하려면 ENABLED, 모듈을 사용 중지하려면 DISABLED

HTTP 메서드 및 URL: 

PATCH https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws?updateMask=modules

JSON 요청 본문:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

AWS용 VM Threat Detection 모듈의 설정 보기

모든 VM Threat Detection 위협 발견 항목 및 이를 생성하는 모듈에 대한 자세한 내용은 위협 발견 항목을 참고하세요.

콘솔

Google Cloud 콘솔을 사용하면 조직 수준에서 VM Threat Detection 모듈의 설정을 볼 수 있습니다.

  1. Google Cloud 콘솔에서 모듈 페이지로 이동합니다.

    모듈로 이동

  2. 조직을 선택합니다.

gcloud

gcloud scc manage services describe 명령어는 Security Command Center 서비스 또는 모듈의 상태를 가져옵니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 가져올 조직의 숫자 식별자

gcloud scc manage services describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc manage services describe vm-threat-detection-aws \
    --organization=ORGANIZATION_ID

Windows(PowerShell)

gcloud scc manage services describe vm-threat-detection-aws `
    --organization=ORGANIZATION_ID

Windows(cmd.exe)

gcloud scc manage services describe vm-threat-detection-aws ^
    --organization=ORGANIZATION_ID

다음과 비슷한 응답이 표시됩니다.

effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
modules:
  MALWARE_DISK_SCAN_YARA_AWS:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
name: organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws
updateTime: '2025-03-21T18:45:52.033110465Z'

REST

Security Command Center Management API의 organizations.locations.securityCenterServices.get 메서드는 Security Command Center 서비스 또는 모듈의 상태를 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • ORGANIZATION_ID: 가져올 조직의 숫자 식별자

HTTP 메서드 및 URL: 

GET https://securitycentermanagement.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/securityCenterServices/vm-threat-detection-aws

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "organizations/1234567890/locations/global/securityCenterServices/vm-threat-detection-aws",
  "intendedEnablementState": "ENABLED",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "MALWARE_DISK_SCAN_YARA_AWS": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2025-03-21T18:45:52.033110465Z"
}

문제 해결

VM Threat Detection 서비스를 사용 설정했지만 스캔이 실행되지 않는 경우 다음을 확인하세요.

  • AWS 커넥터가 올바르게 설정되었는지 확인합니다.
  • CloudFormation 템플릿 스택이 완전히 배포되었는지 확인합니다. AWS 계정의 상태는 CREATION_COMPLETE이어야 합니다.

다음 단계