개체 목록 또는 IP 목록 추가 및 활성화 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

개체 목록 또는 IP 목록 추가 및 활성화

개체 목록 및 IP 주소 목록은 GuardDuty에서 위협 탐지 기능을 사용자 지정하는 데 도움이 됩니다. 이러한 목록에 대한 자세한 내용은 섹션을 참조하세요개체 목록 및 IP 주소 목록 이해. AWS 환경에 대한 신뢰할 수 있는 위협 인텔리전스 데이터를 관리하기 위해 GuardDuty는 엔터티 목록을 사용할 것을 권장합니다. 시작하기 전에 엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정 단원을 참조하십시오.

다음 액세스 방법 중 하나를 선택하여 신뢰할 수 있는 엔터티 목록, 위협 엔터티 목록, 신뢰할 수 있는 IP 목록 또는 위협 IP 목록을 추가하고 활성화합니다.

Console
(선택 사항) 1단계: 목록의 위치 URL 가져오기

  1. https://console.aws.amazon.com/s3/에서 S3 콘솔을 엽니다.

  2. 탐색 창에서 버킷을 선택합니다.

  3. 추가할 특정 목록이 포함된 Amazon S3 버킷 이름을 선택합니다.

  4. 세부 정보를 보려면 객체(목록) 이름을 선택합니다.

  5. 속성 탭에서 이 객체의 S3 URI를 복사합니다.

2단계: 신뢰할 수 있는 또는 위협 인텔리전스 데이터 추가

  1. https://console.aws.amazon.com/guardduty/에서 GuardDuty 콘솔을 엽니다.

  2. 탐색 창에서 목록을 선택합니다.

  3. 목록 페이지에서 개체 목록 또는 IP 주소 목록 탭을 선택합니다.

  4. 선택한 탭에 따라 신뢰할 수 있는 목록 또는 위협 목록을 추가하도록 선택합니다.

  5. 대화 상자에서 다음 단계를 수행하여 신뢰할 수 있는 또는 위협 목록을 추가합니다.

    1. 목록 이름에 목록의 이름을 입력합니다.

      목록 이름 지정 제약 조건 - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(_)을 포함할 수 있습니다.

      IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.

    2. 위치에 목록을 업로드한 위치를 입력합니다. 아직 없는 경우 Step 1: Fetching location URL of your list 섹션을 참조하세요.

      위치 URL의 형식

      • https://s3.amazonaws.com/bucket.name/file.txt

      • https://s3-aws-region.amazonaws.com/bucket.name/file.txt

      • http://bucket.s3.amazonaws.com/file.txt

      • http://bucket.s3-aws-region.amazonaws.com/file.txt

      • s3://bucket.name/file.txt

    3. (선택 사항) 예상 버킷 소유자의 경우 위치 필드에 지정된 Amazon S3 버킷을 소유한 AWS 계정 ID를 입력할 수 있습니다.

      AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 개체 목록과 IP 주소 목록에서 다르게 작동합니다. 개체 목록의 경우 GuardDuty는 현재 멤버 계정이 위치 필드에 지정된 S3 버킷을 소유하고 있는지 확인합니다. IP 주소 목록의 경우 AWS 계정 ID 소유자를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다.

      GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면 목록을 활성화할 때 오류가 발생합니다.

    4. [I agree] 확인란을 선택합니다.

    5. [Add list]를 선택합니다. 추가된 목록의 상태는 기본적으로 비활성입니다. 목록이 유효하려면 목록을 활성화해야 합니다.

3단계: 개체 목록 또는 IP 주소 목록 활성화

  1. https://console.aws.amazon.com/guardduty/에서 GuardDuty 콘솔을 엽니다.

  2. 탐색 창에서 목록을 선택합니다.

  3. 목록 페이지에서 목록 - 개체 목록 또는 IP 주소 목록을 활성화할 탭을 선택합니다.

  4. 활성화하려는 목록을 하나 선택합니다. 그러면 작업편집 메뉴가 활성화됩니다.

  5. 작업을 선택한 다음 활성화를 선택합니다.

API/CLI
신뢰할 수 있는 엔터티 목록을 추가하고 활성화하려면

  1. CreateTrustedEntitySet를 실행합니다. 이 신뢰할 수 있는 엔터티 목록을 생성하려는 멤버 계정detectorId의를 제공해야 합니다. 계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.

    목록 이름 지정 제약 조건 - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(_)을 포함할 수 있습니다.

  2. 또는 다음 AWS Command Line Interface 명령을 실행하여이 작업을 수행할 수 있습니다.

    aws guardduty create-trusted-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 감지기 ID와 빨간색으로 표시된 기타 자리 표시자 값으로 바꿉니다.

    새로 생성된이 목록을 활성화하지 않으려면 파라미터를 --activate로 바꿉니다--no-activate.

    expected-bucket-owner 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 --detector-id 값과 연결된 AWS 계정 ID가 --location 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.

위협 개체 목록을 추가하고 활성화하려면

  1. CreateThreatEntitySet를 실행합니다. 이 위협 개체 목록을 생성하려는 멤버 계정detectorId의를 제공해야 합니다. 계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.

    목록 이름 지정 제약 조건 - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(_)을 포함할 수 있습니다.

  2. 또는 다음 AWS Command Line Interface 명령을 실행하여이 작업을 수행할 수 있습니다.

    aws guardduty create-threat-entity-set \ 
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id를 신뢰할 수 있는 엔터티 목록을 생성할 멤버 계정의 감지기 ID와 빨간색으로 표시된 기타 자리 표시자 값으로 바꿉니다.

    새로 생성된이 목록을 활성화하지 않으려면 파라미터를 --activate로 바꿉니다--no-activate.

    expected-bucket-owner 파라미터는 선택 항목입니다. 이 파라미터의 값을 지정하든 지정하지 않든 GuardDuty는이 --detector-id 값과 연결된 AWS 계정 ID가 --location 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.

신뢰할 수 있는 IP 주소 목록을 추가하고 활성화하려면

  1. CreateIPSet를 실행합니다. 이 신뢰할 수 있는 IP 주소 목록을 생성하려는 멤버 계정detectorId의를 제공해야 합니다. 계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.

    IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.

    목록 이름 지정 제약 조건 - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(_)을 포함할 수 있습니다.

  2. 또는 다음 AWS Command Line Interface 명령을 실행하여이 작업을 수행하고를 신뢰할 수 있는 IP 주소 목록을 업데이트할 멤버 계정의 감지기 IDdetector-id로 바꿉니다.

    aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id를 신뢰할 수 있는 IP 목록을 생성할 멤버 계정의 감지기 ID와 빨간색으로 표시된 기타 자리 표시자 값으로 바꿉니다.

    새로 생성된이 목록을 활성화하지 않으려면 파라미터를 --activate로 바꿉니다--no-activate.

    expected-bucket-owner 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. expected-bucket-owner 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 --location 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.

위협 IP 목록을 추가하고 활성화하려면

  1. CreateThreatIntelSet를 실행합니다. 이 위협 IP 주소 목록을 생성하려는 멤버 계정detectorId의를 제공해야 합니다. 계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.

    목록 이름 지정 제약 조건 - 목록 이름에는 소문자, 대문자, 숫자, 대시(-) 및 밑줄(_)을 포함할 수 있습니다.

    IP 주소 목록의 경우 목록 이름은 AWS 계정 및 리전 내에서 고유해야 합니다.

  2. 또는 다음 AWS Command Line Interface 명령을 실행하여이 작업을 수행하고를 위협 IP 목록을 업데이트할 멤버 계정의 탐지기 IDdetector-id로 바꿉니다.

    aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate

    detector-id를 위협 IP 목록을 생성할 멤버 계정의 탐지기 ID와 빨간색으로 표시된 기타 자리 표시자 값으로 바꿉니다.

    새로 생성된이 목록을 활성화하지 않으려면 파라미터를 --activate로 바꿉니다--no-activate.

    expected-bucket-owner 파라미터는 선택 항목입니다. S3 버킷을 소유한 계정 ID를 지정하지 않으면 GuardDuty는 검증을 수행하지 않습니다. expected-bucket-owner 파라미터의 계정 ID를 지정하면 GuardDuty는이 AWS 계정 ID가 --location 파라미터에 지정된 S3 버킷을 소유하고 있는지 확인합니다. GuardDuty가이 S3 버킷이 지정된 계정 ID에 속하지 않음을 발견하면이 목록을 활성화할 때 오류가 발생합니다.

개체 목록 또는 IP 주소 목록을 활성화한 후이 목록이 적용되려면 몇 분 정도 걸릴 수 있습니다. 자세한 내용은 GuardDuty 목록에 대한 중요 고려 사항 단원을 참조하십시오.