Guard Duty?
악의적 활동 또는 무단 동작을 지속적으로 모니터링하는 위협 탐지 서비스(IDS)입니다. CloudTrail 관리 이벤트 로그, CloudTrail S3 데이터 이벤트 로그, DNS 로그, EKS 감사 로그 및 흐름 로그를 분석하고 처리해 위협을 식별합니다.
개념 및 용어
| 용어 | 설명 |
| 감지기 | GaurdDuty는 리전별 서비스인데 따라서 리전마다 감지기가 존재하고 이 감지기를 통해서 각 리전의 로그를 모니터링합니다. |
설정 창에서 콘솔의 현재 리전에 대한 감지기 ID를 찾거나 ListDetecors API를 사용하여 프로그래밍 방식으로 찾을 수 있다고 합니다. (코드는 넘 어려웡,,,) | | 데이터 원본 | 서비스들의 로그를 의미하며 이것을 분석하고 처리해 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냅니다 | | 결과 | GuardDuty를 통해 발견된 잠재적인 보안 문제 | | 억제 규칙 | 광범위한 위협에 집중할 수 있도록 하기 위해 사용자 환경에서 오탐지로 판단된 결과를 숨기고 가치가 낮은 결과의 노이즈를 줄이는 데 사용됩니다. 억제 규칙을 통해 결과 범위를 제한할 수 있습니다. | | 신뢰할 수 있는 IP 목록 | 안전한 통신을 위해 믿을 수 있는 IP 주소로 이루어져 있습니다. 이 지표에 포함된 IP 주소는 결과에 포함되지 않음 | | 위협 목록 | 위 지표와 반대로 악성 IP 주소로 이루어진 지표입니다. 이 지표에 포함된 IP에 대해 결과를 작성합니다. |
Usage
Usage 탭에서 사용량과 사용금액에 대한 값을 볼 수 있습니다. 다른 서비스들에 비해 소액밖에 소비하지 않기 때문에 항상 켜놓으면 좋은 서비스라고 생각됩니다.
결과 내보내기
설정에 결과 내보내기 옵션으로 GuardDuty가 알아낸 결과값을 통보받을 수 있는데 주기를 15분으로 줄이는게 좋다고 합니다.
List
settings → list로 이동
위에서 설명했던 신뢰 IP, 위협 IP를 설정할 수 있습니다.
특징
GuardDuty는 위에서 CloudTrail 등등의 로그를 수집한다고 했지만 사실 이런 서비스들을 실질적으로 활성화 시키지 않아도 GuardDuty는 분석이 가능합니다. 추가적인 소사를 위해 활성화 시키는게 보안상으로는 좋겠지만 이런 특징이 있는걸 알아놓으시는게 좋을 것 같습니다.
S3에 대한 정보 보안으로 Amazon Macie라는 서비스가 있지만 GuardDuty 기능이 대폭 확대되어 S3 Protection 기능을 추가로 설정 가능하다고 합니다.
머신러닝을 통해 자동으로 위협요소를 분류해주는 IDS 특성상 오탐 확률이 있습니다. 따라서 신뢰성이 높은 서비스이지만 오탐이 있을 수 있습니다.
Sample finding
AWS에서는 처음 사용해보는 사람들을 위해 smaple finding을 제공해주고 있습니다. 한번 사용해보시는 것을 추천드립니다.
finding 지표
low : 파란색
medium : 노란색
high : 빨간색
'네트워크 > 클라우드 컴퓨팅' 카테고리의 다른 글
| Lambda와 Event Bridge 이용해서 EC2 실행,종료 제어 (0) | 2023.03.16 |
|---|---|
| AWS ECR 컨테이너 이미지 업로드, 다운로드 (1) | 2023.03.15 |
| AWS Accelerator (0) | 2023.03.07 |
| EC2 배치 그룹 (0) | 2023.03.07 |
| system manager - fleet manager (0) | 2023.03.06 |
