GuardDuty 집계 찾기

모든 검색 결과는 동적입니다. 즉, 동일한 보안 문제와 관련된 새로운 활동이 GuardDuty 감지되면 새 결과를 생성하는 대신 원래 결과를 새 정보로 업데이트합니다. 이러한 동작을 통해 여러 개의 유사한 보고서를 살펴볼 필요 없이 진행 중인 문제를 식별하고 이미 알고 있는 보안 문제로 인한 전반적인 노이즈를 줄일 수 있습니다.

예를 들어 UnauthorizedAccess:EC2/SSHBruteForce 결과의 경우 인스턴스에 대한 다중 액세스 시도가 동일한 결과 ID로 집계되므로 결과의 세부 정보에서 카운트 수가 증가합니다. 그 결과는 인스턴스의 SSH 포트가 이러한 유형의 활동에 대해 제대로 보호되지 않았음을 나타내는 단일 보안 문제를 나타내는 것이기 때문입니다. 하지만 사용자 환경의 새 인스턴스를 대상으로 하는 SSH 액세스 활동이 GuardDuty 탐지되면 고유한 검색 결과 ID를 가진 새 검색 결과가 생성되어 새 리소스와 관련된 보안 문제가 있음을 알려줍니다.

결과 집계 시, 해당 활동에서 가장 최근에 발생한 정보로 업데이트됩니다. 즉, 위의 예에서 인스턴스가 새로운 작업자의 무차별 암호 대입 시도 대상인 경우 검색 세부 정보는 가장 최근 소스에 대한 원격 IP를 반영하기 위해 업데이트되며 이전 정보가 교체됩니다. 개별 활동 시도에 대한 전체 정보는 사용자 CloudTrail 또는 VPC 플로우 로그에서 계속 확인할 수 있습니다.

기존 검색 결과를 집계하는 대신 새 검색 결과를 GuardDuty 생성하라는 알림을 보내는 기준은 검색 결과 유형에 따라 다릅니다. 각 결과 유형의 집계 기준은 계정 내의 고유한 보안 문제를 가장 잘 파악할 수 있도록 보안 엔지니어가 결정합니다.