기본 데이터 소스

GuardDuty 기본 데이터 소스를 사용하여 알려진 악성 도메인 및 IP 주소와의 통신을 탐지하고 비정상적인 동작을 식별합니다. 이러한 소스에서 다른 소스로 전송되는 동안에는 모든 GuardDuty 로그 데이터가 암호화됩니다. GuardDuty프로파일링 및 이상 탐지를 위해 이러한 로그 소스에서 다양한 필드를 추출한 다음 이러한 로그를 삭제합니다.

다음 섹션에서는 지원되는 각 데이터 원본을 GuardDuty 사용하는 방법을 설명합니다. GuardDuty 에서 활성화하면 이 로그 소스를 GuardDuty 자동으로 모니터링하기 시작합니다. AWS 계정

AWS CloudTrail 이벤트 로그

AWS CloudTrail , AWS SDK, 명령줄 도구 및 특정 AWS 서비스를 사용하여 이루어진 API 호출을 포함하여 계정에 대한 API 호출 기록을 제공합니다. AWS AWS Management Console CloudTrail 또한 지원하는 서비스의 AWS API를 호출한 사용자 및 계정 CloudTrail, 호출이 호출된 소스 IP 주소, 호출이 호출된 시간을 식별하는 데도 도움이 됩니다. 자세한 내용은AWS CloudTrail 사용 설명서에서 AWS CloudTrail란 무엇입니까? 섹션을 참조하세요.

GuardDuty 또한 관리 이벤트를 모니터링합니다. CloudTrail GuardDuty활성화하면 독립적이고 복제된 이벤트 스트림을 CloudTrail 통해 직접 CloudTrail 관리 이벤트를 소비하기 시작하고 CloudTrail 이벤트 로그를 분석합니다. 에 기록된 이벤트에 GuardDuty 액세스할 때는 추가 요금이 부과되지 않습니다. CloudTrail

GuardDuty CloudTrail 이벤트를 관리하거나 기존 CloudTrail 구성에 영향을 주지 않습니다. 마찬가지로, CloudTrail 구성은 이벤트 로그를 사용하고 GuardDuty 처리하는 방법에 영향을 주지 않습니다. CloudTrail 이벤트 액세스 및 보존을 관리하려면 CloudTrail 서비스 콘솔 또는 API를 사용하세요. 자세한 내용은 AWS CloudTrail 사용 설명서에서 이벤트 기록과 함께 CloudTrail 이벤트 보기를 참조하십시오.

AWS CloudTrail 글로벌 이벤트 GuardDuty 처리 방법

대부분의 AWS 서비스에서는 CloudTrail 이벤트가 생성된 AWS 리전 위치에 이벤트가 기록됩니다. AWS Identity and Access Management (IAM), (AWS STS), 아마존 심플 스토리지 서비스 AWS Security Token Service (Amazon S3), CloudFront Amazon 및 Amazon Route 53 (Route 53) 과 같은 글로벌 서비스의 경우 이벤트는 이벤트가 발생한 지역에서만 생성되지만 전 세계적으로 중요합니다.

네트워크 구성 또는 사용자 권한과 같은 보안 가치가 있는 CloudTrail 글로벌 서비스 이벤트를 사용하면 해당 이벤트를 복제하여 활성화한 각 지역에서 처리합니다. GuardDuty GuardDuty 이 동작은 각 지역의 사용자 및 역할 프로필을 GuardDuty 유지하는 데 도움이 되며, 이는 이상 이벤트를 탐지하는 데 필수적입니다.

사용할 수 GuardDuty 있는 모든 기능을 AWS 리전 활성화하는 것이 좋습니다. AWS 계정이렇게 하면 GuardDuty 활발하게 사용하지 않을 수도 있는 지역에서도 무단 또는 비정상적 활동에 대한 결과를 얻을 수 있습니다.

AWS CloudTrail 관리 이벤트

관리 이벤트는 컨트롤 플레인 이벤트라고도 합니다. 이러한 이벤트는 AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 통찰력을 제공합니다.

GuardDuty모니터링하는 CloudTrail 관리 이벤트의 예는 다음과 같습니다.

• 보안 구성(IAM AttachRolePolicy API 작업)

• 데이터 라우팅 규칙 구성(Amazon EC2 CreateSubnet API 작업)

• 로깅 설정 (AWS CloudTrail CreateTrailAPI 작업)

VPC 흐름 로그

Amazon VPC의 VPC 흐름 로그 기능은 사용자 환경 내의 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스에 연결된 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처합니다. AWS

활성화하면 GuardDuty 계정 내 Amazon EC2 인스턴스의 VPC 흐름 로그 분석이 즉시 시작됩니다. 이때 이 서비스는 독립적이고 중복된 흐름 로그 스트림을 통해 VPC 흐름 로그 기능에서 직접 VPC 흐름 로그 이벤트를 사용합니다. 이 프로세스는 기존 흐름 로그 구성에는 영향을 미치지 않습니다.

GuardDuty 람다 프로텍션

Lambda 보호는 Amazon의 선택적 개선 사항입니다. GuardDuty 현재 Lambda 네트워크 활동 모니터링에는 VPC 네트워킹을 사용하지 않는 로그를 포함하여 계정에 대한 모든 Lambda 함수의 Amazon VPC 흐름 로그가 포함되어 있습니다. Lambda 함수를 잠재적인 보안 위협으로부터 보호하려면 계정에서 Lambda 보호를 구성해야 합니다. GuardDuty 자세한 정보는 GuardDuty 람다 프로텍션을 참조하세요.

GuardDuty 런타임 모니터링

EC2 인스턴스용 EKS 런타임 모니터링 또는 런타임 모니터링에서 보안 에이전트를 관리 (수동 또는 통해 GuardDuty) 하고 GuardDuty 현재 Amazon EC2 인스턴스에 배포되어 있고 이 수집된 런타임 이벤트 유형 인스턴스로부터 수신한 경우, 이 Amazon EC2 인스턴스의 VPC 흐름 로그 분석에 GuardDuty 대해서는 요금이 부과되지 않습니다. AWS 계정 이렇게 하면 계정에서 이중 사용 비용이 발생하는 GuardDuty 것을 방지할 수 있습니다.

GuardDuty 흐름 로그를 관리하거나 계정에서 액세스할 수 있게 만들지 않습니다. 흐름 로그의 액세스 및 보존을 관리하려면 VPC 흐름 로그 기능을 구성해야 합니다.

DNS 로그

Amazon EC2 인스턴스에 AWS DNS 확인자를 사용하는 경우 (기본 설정), GuardDuty 내부 DNS 확인자를 통해 요청 및 응답 DNS 로그에 액세스하고 이를 처리할 수 있습니다. AWS OpenDNS 또는 GoogleDNS와 같은 다른 DNS 확인자를 사용하거나 자체 DNS 확인자를 설정하는 경우 이 데이터 원본의 데이터에 액세스하여 데이터를 처리할 수 없습니다. GuardDuty

활성화하면 독립된 GuardDuty 데이터 스트림에서 DNS 로그를 즉시 분석하기 시작합니다. 이 데이터 스트림은 Route 53 해석기 쿼리 로깅 기능을 통해 제공되는 데이터와는 별개입니다. 이 기능의 구성은 GuardDuty 분석에 영향을 주지 않습니다.

참고

GuardDuty 시작된 Amazon EC2 인스턴스의 DNS 로그 모니터링을 지원하지 않습니다. 해당 환경에서는 Amazon Route 53 Resolver 쿼리 로깅 기능을 사용할 수 AWS Outposts 없기 때문입니다.