Amazon의 개념 및 주요 용어 GuardDuty

Amazon을 시작 GuardDuty하면 개념 및 관련 주요 용어에 대해 알아보는 것이 도움이 될 수 있습니다.

계정

AWS 리소스가 포함된 표준 Amazon Web Services(AWS) 계정입니다. 계정으로 AWS 에 로그인하고를 활성화할 수 있습니다 GuardDuty.

다른 계정을 초대하여에서 AWS 계정을 활성화 GuardDuty 하고 연결할 수도 있습니다 GuardDuty. 초대가 수락되면 계정이 관리자 계정으로 GuardDuty 지정되고 추가된 계정이 멤버 계정이 됩니다. 그런 다음 해당 계정을 대신하여 해당 계정의 GuardDuty 조사 결과를 보고 관리할 수 있습니다.

관리자 계정의 사용자는 자신의 계정과 모든 멤버 계정에 대한 GuardDuty 결과를 구성하고 GuardDuty 보고 관리할 수 있습니다. 관리자 계정이 관리할 수 있는 멤버 계정 수에 대한 자세한 내용은 GuardDuty 할당량을 참조하세요.

멤버 계정의 사용자는 계정의 GuardDuty 조사 결과를 구성하고 GuardDuty 보고 관리할 수 있습니다( GuardDuty 관리 콘솔 또는를 통해 GuardDuty API). 멤버 계정의 사용자는 다른 멤버 계정의 결과를 보거나 관리할 수 없습니다.

는 GuardDuty 관리자 계정과 멤버 계정이 동시에 될 AWS 계정 수 없습니다. AWS 계정 는 멤버십 초대를 한 번만 수락할 수 있습니다. 멤버십 초대 수락은 선택 사항입니다.

자세한 내용은 Amazon의 여러 계정 GuardDuty 단원을 참조하십시오.

공격 시퀀스

공격 시퀀스는에서 관찰한 대로 의심스러운 활동의 패턴과 일치하는 특정 시퀀스에서 GuardDuty발생한 여러 이벤트의 상관관계입니다.는 계정에서 기본 데이터 소스, AWS 리소스 및 타임라인을 포괄하는 이러한 다단계 공격을 탐지하는 확장된 위협 탐지 기능을 GuardDuty 사용합니다.

다음 목록은 공격 시퀀스와 관련된 주요 용어를 간략하게 설명합니다.

• 지표 - 일련의 이벤트가 잠재적으로 의심스러운 활동과 일치하는 이유에 대한 정보를 제공합니다.

• 신호 - 신호는 GuardDuty 관찰된 API 활동 또는 계정에서 이미 감지된 GuardDuty 결과입니다. 계정의 특정 시퀀스에서 관찰된 이벤트를 상호 연관시켜는 공격 시퀀스를 GuardDuty 식별합니다.

  계정에 잠재적 위협을 나타내지 않는 이벤트가 있습니다. 이를 약한 신호로 GuardDuty 간주합니다. 그러나 상관관계가 있는 경우 잠재적으로 의심스러운 활동과 일치하는 특정 시퀀스에서 약한 신호와 GuardDuty 조사 결과가 관찰되면 공격 시퀀스 조사 결과가 GuardDuty 생성됩니다.

• 엔드포인트 - 위협 행위자가 공격 시퀀스에서 잠재적으로 사용한 네트워크 엔드포인트에 대한 정보입니다.

감지기

Amazon GuardDuty 은 리전 서비스입니다. 특정 GuardDuty 에서를 활성화하면 AWS 리전 AWS 계정 가 감지기 ID와 연결됩니다. 이 32자 영숫자 ID는 해당 리전 내 계정에 고유합니다. 예를 들어 다른 리전의 동일한 계정에 GuardDuty 대해를 활성화하면 계정이 다른 감지기 ID와 연결됩니다. 의 형식은 detectorId 입니다12abc34d567e8fa901bc2d34e56789f0.

조사 GuardDuty 결과 및 서비스 관리에 대한 모든 조사 결과, 계정 및 작업은 감지기 ID를 GuardDuty 사용하여 API 작업을 실행합니다.

계정 및 현재 리전detectorId의를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나를 실행합니다. ListDetectors API.

참고

다중 계정 환경에서 멤버 계정에 대한 모든 결과는 관리자 계정의 탐지기까지 적용됩니다.

CloudWatch 이벤트 알림 빈도 구성,에 대한 선택적 보호 계획의 활성화 또는 비활성화 등 일부 GuardDuty 기능은 감지 GuardDuty 기를 통해 구성됩니다.

내에서 S3용 맬웨어 보호 사용 GuardDuty

GuardDuty 이 활성화된 계정에서 S3용 맬웨어 보호를 활성화하면 보호된 리소스 활성화, 편집 및 비활성화와 같은 S3용 맬웨어 보호 작업이 감지기 ID와 연결되지 않습니다.

를 활성화하지 않고 위협 탐지 옵션인 S3용 맬웨어 방지를 GuardDuty 선택하면 계정에 대해 생성된 탐지기 ID가 없습니다.

기본 데이터 소스

한 세트의 데이터의 출처 또는 위치. AWS 환경에서 무단 또는 예상치 못한 활동을 감지하려면에서 AWS CloudTrail 이벤트 로그, AWS CloudTrail 관리 이벤트, S3에 대한 데이터 이벤트, VPC 흐름 로그, DNS 로그의 AWS CloudTrail 데이터를 GuardDuty 분석하고 처리합니다. 단원을 참조하십시오GuardDuty 기본 데이터 소스.

기능

GuardDuty 보호 계획에 맞게 구성된 기능 객체는 AWS 환경에서 무단 또는 예상치 못한 활동을 감지하는 데 도움이 됩니다. 각 GuardDuty 보호 계획은 데이터를 분석하고 처리하도록 해당 기능 객체를 구성합니다. 일부 기능 객체에는 EKS 감사 로그, RDS 로그인 활동 모니터링, Lambda 네트워크 활동 로그 및 EBS 볼륨이 포함됩니다. 자세한 내용은 GuardDuty API의 보호 계획에 대한 기능 이름 단원을 참조하십시오.

결과

GuardDuty에서 발견된 잠재적인 보안 문제. 자세한 내용은 Amazon GuardDuty 조사 결과 이해 및 생성 단원을 참조하십시오.

결과는 GuardDuty 콘솔에 표시되며 보안 문제에 대한 자세한 설명을 포함합니다. GetFindings 및를 호출하여 생성된 조사 결과를 검색할 수도 있습니다. ListFindings API 작업.

Amazon CloudWatch events를 통해 조사 GuardDuty 결과를 볼 수도 있습니다.는 HTTPS 프로토콜을 CloudWatch 통해 Amazon에 조사 결과를 GuardDuty 보냅니다. 자세한 내용은 Amazon CloudWatch Events를 사용하여 GuardDuty 결과에 대한 사용자 지정 응답 생성 단원을 참조하십시오.

IAM 역할

S3 객체를 스캔하는 데 필요한 권한이 있는 IAM 역할입니다. 스캔한 객체에 태그를 지정하면 IAM PassRole 권한이 스캔한 객체에 태그를 GuardDuty 추가하는 데 도움이 됩니다.

맬웨어 보호 계획 리소스

버킷에 대해 S3용 맬웨어 보호를 활성화하면는 EC2 계획 리소스에 대한 맬웨어 보호를 GuardDuty 생성합니다. 이 리소스는 보호된 버킷의 고유 식별자인 EC2 계획 ID에 대한 맬웨어 보호와 연결됩니다. 맬웨어 보호 계획 리소스를 사용하여 보호된 리소스에 대한 API 작업을 수행합니다.

보호 버킷(보호 리소스)

Amazon S3 버킷은 이 버킷에 대해 S3에 대한 맬웨어 보호를 활성화하고 보호 상태가 활성으로 변경될 때 보호되는 것으로 간주됩니다.

GuardDuty 는 S3 버킷만 보호된 리소스로 지원합니다.

보호 상태

멀웨어 차단 플랜 리소스와 관련된 상태입니다. 버킷에 대해 S3용 맬웨어 보호를 사용 설정한 후 이 상태는 버킷이 올바르게 설정되었는지 여부를 나타냅니다.

S3 객체 접두사

Amazon 심플 스토리지 서비스(Amazon S3) 버킷에서 접두사를 사용하여 스토리지를 구성할 수 있습니다. 접두사는 S3 버킷에 있는 객체를 논리적으로 그룹화하는 것입니다. 자세한 내용은 Amazon S3 사용 설명서의 객체 구성 및 나열하기를 참조하세요.

스캔 옵션

용 GuardDuty 맬웨어 보호EC2가 활성화되면 스캔하거나 건너뛸 Amazon EC2 인스턴스와 Amazon Elastic Block Store(EBS) 볼륨을 지정할 수 있습니다. 이 기능을 사용하면 EC2 인스턴스 및 EBS 볼륨과 연결된 기존 태그를 포함 태그 목록 또는 제외 태그 목록에 추가할 수 있습니다. 포함 태그 목록에 추가한 태그와 관련된 리소스는 맬웨어 스캔의 대상이 되지만 제외 태그 목록에 추가된 리소스는 스캔되지 않습니다. 자세한 내용은 사용자 정의 태그를 사용하는 스캔 옵션 단원을 참조하십시오.

스냅샷 보존

용 GuardDuty 맬웨어 보호EC2가 활성화되면 AWS 계정에 EBS 볼륨의 스냅샷을 유지하는 옵션이 제공됩니다.는 EBS 볼륨의 스냅샷을 기반으로 복제EBS본 볼륨을 GuardDuty 생성합니다. EC2 스캔용 맬웨어 보호가 복제본 EBS 볼륨에서 맬웨어를 감지하는 경우에만 EBS 볼륨의 스냅샷을 유지할 수 있습니다. 복제본 EBS 볼륨에서 맬웨어가 감지되지 않으면는 스냅샷 보존 설정에 관계없이 EBS 볼륨의 스냅샷을 GuardDuty 자동으로 삭제합니다. 자세한 내용은 스냅샷 보존 단원을 참조하십시오.

억제 규칙

억제 규칙은 몇 가지 속성을 고유하게 조합하여 결과 범위를 제한할 수 있습니다. 예를 들어 GuardDuty 필터를 통해 특정를 VPC실행AMI하거나 특정 EC2 태그를 사용하여 특정의 인스턴스Recon:EC2/Portscan에서만 자동 보관하도록 규칙을 정의할 수 있습니다. 그러면 이 규칙에 따라 포트 스캔 결과가 기준을 만족하는 인스턴스에서 자동으로 아카이브됩니다. 그러나가 암호화폐 채굴과 같은 다른 악의적인 활동을 수행하는 인스턴스를 GuardDuty 감지하는 경우에도 알림을 허용합니다.

GuardDuty 관리자 계정에 정의된 억제 규칙은 GuardDuty 멤버 계정에 적용됩니다. GuardDuty 멤버 계정은 억제 규칙을 수정할 수 없습니다.

억제 규칙을 사용하면가 GuardDuty 여전히 모든 결과를 생성합니다. 억제 규칙은 결과 범위를 제한하는 동시에 모든 활동에 대해 완전하면서 변경 불가능하도록 기록을 유지합니다.

일반적으로 억제 규칙은 광범위한 위협에 집중할 수 있도록 하기 위해 사용자 환경에서 오탐지로 판단된 결과를 숨기고 가치가 낮은 결과의 노이즈를 줄이는 데 사용됩니다. 자세한 내용은 의 억제 규칙 GuardDuty 단원을 참조하십시오.

신뢰할 수 있는 IP 목록

환경과의 매우 안전한 통신을 위한 신뢰할 수 AWS 있는 IP 주소 목록입니다.는 신뢰할 수 있는 IP 목록을 기반으로 조사 결과를 생성하지 GuardDuty 않습니다. 자세한 내용은 신뢰할 수 있는 IP 목록 및 위협 목록 사용 단원을 참조하십시오.

위협 IP 목록

알려진 악성 IP 주소 목록입니다. 잠재적으로 의심스러운 활동으로 인해 조사 결과를 생성하는 것 외에도는 이러한 위협 목록을 기반으로 조사 결과를 GuardDuty 생성합니다. 자세한 내용은 신뢰할 수 있는 IP 목록 및 위협 목록 사용 단원을 참조하십시오.