GuardDuty 2023년 3월 API 변경

GuardDuty API는 목록에 속하지 않는 보호 기능을 구성합니다. 기본 데이터 소스 기능 객체에는 기능 이름 및 상태와 같은 기능 세부 정보가 포함되며 일부 기능에 대한 추가 구성이 포함될 수 있습니다. 이 마이그레이션은 Amazon GuardDuty API 참조의 다음 API에 영향을 줍니다.

• CreateDetector

• GetDetector

• UpdateDetector

• GetMemberDetectors

• UpdateMemberDetectors

• DescribeOrganizationConfiguration

• UpdateOrganizationConfiguration

• GetRemainingFreeTrialDays

• GetUsageStatistics

기능 활성화와 데이터 소스 비교

GuardDuty 과거에는 모든 기능이 API의 dataSources 객체를 통해 전달되었습니다. 2023년 3월부터 API의 features dataSources 객체 대신 객체를 GuardDuty 선호합니다. 이전의 모든 데이터 소스에는 해당 기능이 있지만 최신 기능에는 해당 데이터 소스가 없을 수 있습니다.

다음 목록은 API를 통해 전달된 dataSources 및 features 객체 간의 비교를 보여줍니다.

• dataSources 객체에는 각 보호 유형에 대한 객체와 상태가 포함되어 있습니다. features객체는 각 보호 유형에 해당하는 GuardDuty 사용 가능한 기능 목록입니다.

  2023년 3월부터 사용자 AWS 환경에서 새 기능을 구성할 수 있는 유일한 방법은 GuardDuty 기능 활성화뿐입니다.

• API 요청 또는 응답의 dataSources GuardDuty 스키마는 사용 가능한 각 AWS 리전 위치에서 동일합니다. 하지만 일부 리전에서는 모든 기능을 사용하지 못할 수 있습니다. 따라서 사용 가능한 기능 이름은 리전에 따라 다를 수 있습니다.

기능 활성화의 작동 방식 이해

GuardDuty API는 해당하는 경우 계속해서 dataSources 객체를 반환하고 동일한 정보가 포함된 features 객체도 다른 형식으로 반환합니다. GuardDuty 2023년 3월 이전에 출시된 기능은 dataSources 객체와 features 객체를 통해 사용할 수 있습니다. GuardDuty 2023년 3월 이후 출시된 기능은 features 객체를 통해서만 사용할 수 있습니다. 같은 API 요청에서 dataSources 및 features 객체 표기법을 모두 사용하여 탐지기를 생성 또는 업데이트하거나 AWS Organizations 를 설명할 수 없습니다. GuardDuty 보호 유형을 활성화하려면 이제 객체도 포함된 동일한 API를 사용하여 기존 데이터 원본을 features features 객체로 마이그레이션해야 합니다.

참고

GuardDuty 이번 수정 후에는 새 데이터 소스를 추가하지 않을 예정입니다.

GuardDuty 데이터 소스 사용을 중단했습니다. 하지만 기본 데이터 소스 지원은 계속됩니다. GuardDuty 모범 사례에서는 계정에 이미 활성화된 모든 보호 유형에 기능 활성화를 사용하는 것이 좋습니다. 또한 모범 사례에 따라 계정에 새 보호 유형을 활성화할 때 기능 활성화를 사용해야 합니다.

기능 활성화 통합 변경 사항

• API, SDK 또는 AWS CloudFormation 템플릿을 통해 GuardDuty 구성을 관리하고 잠재적인 새 GuardDuty 기능을 활성화하려면 코드와 템플릿을 각각 수정해야 합니다. 자세한 내용은 Amazon GuardDuty API 참조의 업데이트된 API를 참조하십시오.

• 업그레이드 이전에 구성된 GuardDuty 기능의 경우 API, SDK 또는 템플릿을 계속 사용할 수 있습니다. AWS CloudFormation 하지만 feature 객체 사용으로 전환하는 것이 좋습니다.

  모든 데이터 소스에는 동일한 기능 객체가 있습니다. 자세한 정보는 dataSources를 features로 매핑을 참조하세요.

• 현재 features 객체의 additionalConfiguration은 특정 보호 유형에서만 사용 가능합니다.

  • 이러한 보호 유형의 경우 기능은 로 AdditionalConfiguration status 설정되어 ENABLED 있지만 기능 구성이 로 status ENABLED 설정되어 있지 않으면 이 경우 아무 조치도 취하지 않습니다. GuardDuty

  • 이로 인해 영향을 받는 API는 다음과 같습니다.

    • UpdateDetector

    • UpdateMemberDetectors

    • UpdateOrganizationConfiguration

dataSources를 features로 매핑

다음 표는 보호 유형, dataSources 및 features의 매핑을 보여줍니다.

GuardDuty 보호 유형	데이터 소스 이름*	기능 이름
VPC 흐름 로그	flowLogs(읽기 전용, 수정 불가)	FLOW_LOGS(읽기 전용, 수정 불가)
DNS 로그	dnsLogs(읽기 전용, 수정 불가)	DNS_LOGS(읽기 전용, 수정 불가)
CloudTrail 이벤트	cloudTrail(읽기 전용, 수정 불가)	CLOUD_TRAIL(읽기 전용, 수정 불가)
S3	s3Logs	S3_DATA_EVENTS
EKS 감사 로그 모니터링	kubernetes.auditlogs	EKS_AUDIT_LOGS
EC2의 멀웨어 보호	malwareProtection.scanEc2InstanceWithFindings.ebsVolumes	EBS_MALWARE_PROTECTION
RDS 로그인 이벤트	GuardDuty 이러한 보호 유형에 대한 기능 활성화 지원만 제공합니다.	RDS_LOGIN_EVENTS
EKS 런타임 모니터링		EKS_RUNTIME_MONITORING
런타임 모니터링		RUNTIME_MONITORING
GuardDuty Amazon EKS 클러스터용 보안 에이전트		EKS_RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT
GuardDuty Amazon ECS-Fargate 클러스터용 보안 에이전트		RUNTIME_MONITORING.additionalConfiguration.ECS_FARGATE_AGENT_MANAGEMENT
GuardDuty Amazon EC2 인스턴스용 보안 에이전트		RUNTIME_MONITORING.additionalConfiguration.EC2_AGENT_MANAGEMENT
Lambda 보호		LAMBDA_NETWORK_LOGS

*GetUsageStatistics는 고유한 dataSource 이름을 사용합니다. 자세한 내용은 비용 추정 GuardDuty 또는 GetUsageStatistics 단원을 참조하세요.