GuardDuty 란?
- Amazon GuardDuty는 VPC 흐름 로그, AWS CloudTrail 이벤트 로그, DNS 로그 같은 데이터 원본을 분석하고 처리하는 지속적
보안 모니터링 서비스
- 취약점 발견과 경감 조치, 위협 탐지와 예방 측면에서 보안 인력들이 취할 수 있는 대응방식 강화
GuardDuty 특장점
- 아키텍처 변경이나 성능 저하 없이 손쉽게 원클릭 활성화
- No Agents, no sensors, no Network Appliances
- AWS 어카운트 및 리소스에 대한 상시 모니터링
- EC2 및 IAM에 관련된 위협 발견
- 글로벌 커버리지, 리전 기반 적용
- 머신러닝 기반 이상 행동 탐지 기능 탑재
- 추가적인 보호 기능을 위한 파트너 연계
- 간단하고 효과적인 가격 체계
GuardDuty 탐지유형
| 정찰 | 인스턴스침해 | 어카운트 침해 |
| 인스턴스 대사 과정 - Port Prob/Accepted Comm
- Port Scan (infra-VPC)
- Brute Force Attack (IP)
- Drop Point (IP)
- Tor Communications
어카운트 대사과정:- Tor API Call (failed) |
- C&C Activity
- Malicious Domain Request
- EC2 on Threat List
- Drop Point IP
- Malicious Comms (ASIS)
- Bitcoin Mining
- Outbound DDoS
- Spambot Activity
- Outbound SSH Brute Force
- Unusual Network Port
- Unusual Traffic Volume/Direction
- Unusual DNS Requests
- Domain Generated Algorithms
|
- Malicious API Call (bad IP)
- Tor API Call (accepted)
- CloudTrail Disabled
- Password Policy Change
- Instance Launch Unusual
- Region Activity Unusual
- Suspicious Console Login
- Unusual ISP Caller
- Mutating API Calls (create, update, delete)
- High Volume of Describe calls
- Unusual IAM User Added
|
GuardDuty 지원 데이터 소스
1. VPC Flow Logs
- VPC Flow Logs 분석. Flow Logs에 대 한 별도의 활성화 작업은 필요 없음. 로그데이터에 대한 수집은 독립적인 복제 스트림을
통해 수행됨.
- 별도 SIEM 분석환경이 있는 경우, 기 존 대로 VPC Flow Logs를 활성화하 여 이용할 것을 권장
2. DNS Logs
- EC2인스턴스가 알려진 타겟 도메인으 로 접근했던 DNS 로그 분석
- Route 53 query log를 포함한 DNS 로 그 정보. DNS 기반 분석을 위해 Route 53이 반드시 필요한 것은 아님
3. CloudTrail Events
- 관리 콘솔, SDK, CLI등을 통해 발생된 AWS API호출을 기록한 CloudTrail hist ory 분석
- API호출에 이용된 소스 IP주소를 포함 해서 사용자와 어카운트에 대한 식별
GuardDuty 구성
1. Service → GuardDuty → Get Stared
2. Enable GuardDuty
GuardDuty 생성 시 필요한 사용 권한
3. Settings
Generate sample findings
샘플 결과는 GuardDuty에서 생성된 다양한 조사 결과 유형을 시각화하고 분석하는 데 도움이 됩니다.
샘플 결과를 생성하면 GuardDuty가 현재의 결과 목록에 지원되는 조사 결과 유형별로 샘플 결과를 하나씩 채워 넣습니다.
Suspend GuardDuty(일시정지)
AWS 환경 모니터링이 중지되고 새로운 결과가 생성되지 않음
Disable GuardDuty(사용중지)
GuardDuty를 비활성화하면 GuardDuty에서 AWS 환경을 모니터링하고 새로운 결과를 생성하는 것을 중지 할뿐만 아니라 기존
발견 사항과 GuardDuty 구성을 잃게됨
4. Generate Sample findings 확인
5. List management
신뢰할 수 있는 IP목록과 위협 목록을 추가/삭제
6. Accounts
발견 사항을 공유
'AWS > Security' 카테고리의 다른 글
| [Security] AWS Network Firewall 이란? (0) | 2024.02.04 |
|---|
