결과 내보내기

GuardDuty 생성된 결과를 90일 동안 보관합니다. GuardDuty 활성 결과를 Amazon EventBridge (EventBridge) 으로 내보냅니다. 선택적으로 생성된 결과를 Amazon Simple Storage 서비스 (Amazon S3) 버킷으로 내보낼 수 있습니다. 이렇게 하면 계정에서 잠재적으로 의심스러운 활동의 기록 데이터를 추적하고 권장 해결 단계가 성공적이었는지 평가하는 데 도움이 됩니다.

새로 GuardDuty 생성되는 활성 검색 결과는 모두 검색 결과 생성 후 약 5분 이내에 자동으로 내보내집니다. 활성 검색 결과에 대한 업데이트를 내보내는 빈도를 설정할 수 EventBridge 있습니다. 선택한 빈도는 기존 검색 결과를 S3 버킷 (구성된 경우) 및 Detective (통합된 경우) 로 새로 내보내는 데 EventBridge 적용됩니다. 기존 검색 결과의 여러 발생을 GuardDuty 집계하는 방법에 대한 자세한 내용은 을 참조하십시오. GuardDuty 집계 찾기

결과를 Amazon S3 버킷으로 내보내도록 설정을 구성하는 경우, AWS Key Management Service (AWS KMS) 를 GuardDuty 사용하여 S3 버킷의 결과 데이터를 암호화합니다. 이를 위해서는 계정에서 결과를 내보내는 데 사용할 GuardDuty 수 있도록 S3 버킷과 AWS KMS 키에 권한을 추가해야 합니다.

고려 사항

결과를 내보내기 위한 사전 요구 사항 및 단계를 진행하기 전에 다음 주요 개념을 고려하십시오.

• 내보내기 설정은 지역입니다. — 사용하는 각 지역에서 내보내기 옵션을 구성해야 합니다. GuardDuty

• 결과를 다른 AWS 리전 (지역 간) 의 Amazon S3 버킷으로 내보내기 — 다음 내보내기 설정을 GuardDuty 지원합니다.

  • Amazon S3 버킷 또는 객체와 AWS KMS 키는 동일한 객체에 속해야 합니다 AWS 리전.

  • 상업 지역에서 생성된 검색 결과의 경우 해당 결과를 상업 지역의 S3 버킷으로 내보내도록 선택할 수 있습니다. 하지만 옵트인 지역의 S3 버킷으로 이러한 결과를 내보낼 수는 없습니다.

  • 옵트인 지역에서 생성된 결과의 경우, 이러한 결과를 생성된 동일한 옵트인 리전 또는 상업용 리전으로 내보낼 수 있습니다. 하지만 한 옵트인 지역의 결과를 다른 옵트인 지역으로 내보낼 수는 없습니다.

• 검색 결과 내보내기 권한 - 활성 검색 결과를 내보내기 위한 설정을 구성하려면 S3 버킷에 객체 업로드를 허용하는 GuardDuty 권한이 있어야 합니다. 또한 결과를 암호화하는 데 사용할 GuardDuty 수 있는 AWS KMS 키가 있어야 합니다.

• 보관된 검색 결과는 내보내지 않음 - 기본 동작은 숨겨진 검색 결과의 새 인스턴스를 포함하여 보관된 검색 결과를 내보내지 않는 것입니다.

  GuardDuty 검색 결과가 보관됨으로 생성되면 보관을 취소해야 합니다. 그러면 검색 결과 필터 상태가 활성으로 변경됩니다. GuardDuty 구성 방법에 따라 기존 보관되지 않은 검색 결과로 업데이트를 내보냅니다. 5단계 — 검색 결과 내보내기 빈도

• GuardDuty 관리자 계정은 관련 구성원 계정에서 생성된 검색 결과를 내보낼 수 있음 — 관리자 계정에서 검색 결과 내보내기를 구성하면 같은 지역에서 생성된 관련 구성원 계정의 모든 검색 결과도 관리자 계정에 대해 구성한 위치와 동일한 위치로 내보냅니다. 자세한 내용은 GuardDuty 관리자 계정과 회원 계정 간의 관계 이해 단원을 참조하십시오.

1단계 — 검색 결과를 내보내는 데 필요한 권한

검색 결과 내보내기 설정을 구성할 때는 검색 결과를 저장할 수 있는 Amazon S3 버킷과 데이터 암호화에 사용할 AWS KMS 키를 선택합니다. 결과를 내보내는 설정을 성공적으로 구성하려면 GuardDuty 작업에 대한 권한 외에도 다음 작업에 대한 권한도 있어야 합니다.

• s3:GetBucketLocation

• s3:PutObject

• s3:ListBucket

2단계 — 키에 정책 연결 KMS

GuardDuty 를 사용하여 버킷의 검색 결과 데이터를 암호화합니다. AWS Key Management Service설정을 성공적으로 구성하려면 먼저 KMS 키 사용 GuardDuty 권한을 부여해야 합니다. 정책을 KMS 키에 연결하여 권한을 부여할 수 있습니다.

다른 계정의 KMS 키를 사용하는 경우 키를 AWS 계정 소유한 계정에 로그인하여 키 정책을 적용해야 합니다. 결과를 내보내도록 설정을 구성할 때는 키를 ARN 소유한 계정의 키도 필요합니다.

내보낸 결과를 GuardDuty 암호화하도록 KMS 키 정책을 수정하려면

1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.

2. 를 변경하려면 AWS 리전페이지 오른쪽 상단에 있는 지역 선택기를 사용하십시오.

3. 기존 KMS 키를 선택하거나 AWS Key Management Service 개발자 안내서에서 새 키를 만드는 단계를 수행하십시오. 그러면 내보낸 결과를 암호화하는 데 사용할 수 있습니다.

   참고

   KMS키와 Amazon S3 버킷은 동일해야 합니다. AWS 리전

   동일한 S3 버킷과 KMS 키 페어를 사용하여 적용 가능한 모든 지역에서 결과를 내보낼 수 있습니다. 자세한 고려 사항 내용은 지역 간 결과 내보내기를 참조하십시오.

4. Key policy(키 정책) 섹션에서 Edit(편집)를 선택합니다.

   정책 보기로 전환이 표시되면 이를 선택하여 키 정책을 표시한 다음 편집을 선택합니다.

5. 다음 정책 블록을 KMS 키 정책에 복사하여 키 사용 GuardDuty 권한을 부여하십시오.

   {    
       "Sid": "AllowGuardDutyKey",
       "Effect": "Allow",
       "Principal": {
           "Service": "guardduty.amazonaws.com"
       },
       "Action": "kms:GenerateDataKey",
       "Resource": "KMS key ARN",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": "123456789012",
               "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
           }
       }
   }

6. 다음과 같이 형식이 지정된 값을 대체하여 정책을 편집하십시오. red정책 예제에서:

   1. Replace KMS key ARN KMS키의 Amazon 리소스 이름 (ARN) 을 사용합니다. 키를 ARN 찾으려면 AWS Key Management Service 개발자 안내서의 키 ID 찾기를 참조하십시오. ARN

   2. Replace 123456789012 GuardDuty 계정을 소유한 AWS 계정 ID를 사용하여 결과를 내보냅니다.

   3. Replace Region2 GuardDuty 검색 결과가 생성되는 AWS 리전 위치를 사용합니다.

   4. Replace SourceDetectorID 조사 결과가 생성된 특정 지역의 GuardDuty 계정과 함께 detectorID

      계정과 현재 지역의 계정을 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 를 실행하십시오 ListDetectorsAPI. detectorId

   참고

   옵트인 GuardDuty 지역에서 사용하는 경우 “서비스” 값을 해당 지역의 지역 엔드포인트로 바꾸십시오. 예를 들어 중동 (바레인) (me-south-1) GuardDuty 지역에서 사용하는 경우 로 바꾸십시오. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" 각 옵트인 지역의 엔드포인트에 대한 자세한 내용은 엔드포인트 및 할당량을 참조하십시오. GuardDuty

7. 최종 성명서 앞에 정책 설명을 추가한 경우 이 설명을 추가하기 전에 쉼표를 추가하세요. KMS키 정책의 JSON 구문이 유효한지 확인하세요.

   저장(Save)을 선택합니다.

8. (선택 사항) 이후 단계에서 사용할 ARN 수 있도록 키를 메모장에 복사합니다.

3단계 — Amazon S3 버킷에 정책 연결

이 S3 버킷에 객체를 업로드할 GuardDuty 수 있도록 결과를 내보낼 Amazon S3 버킷에 권한을 추가합니다. 사용자 계정이나 다른 AWS 계정계정에 속한 Amazon S3 버킷을 사용하는 것과 별개로 이러한 권한을 추가해야 합니다.

어느 시점에서든 다른 S3 버킷으로 결과를 내보내려는 경우, 검색 결과를 계속 내보내려면 해당 S3 버킷에 권한을 추가하고 검색 결과 내보내기 설정을 다시 구성해야 합니다.

이러한 결과를 내보낼 Amazon S3 버킷이 아직 없는 경우 Amazon S3 사용 설명서의 버킷 생성을 참조하십시오.

S3 버킷 정책에 권한을 추가하려면

1. Amazon S3 사용 설명서의 버킷 정책 생성 또는 편집하기에서 버킷 정책 편집 페이지가 나타날 때까지 아래의 단계를 수행하십시오.

2. 예제 정책은 Amazon S3 버킷으로 결과를 내보낼 GuardDuty 권한을 부여하는 방법을 보여줍니다. 내보내기 결과를 구성한 후 경로를 변경하는 경우 새 위치에 권한을 부여하도록 정책을 수정해야 합니다.

   다음 예제 정책을 복사하여 버킷 정책 편집기에 붙여넣습니다.

   최종 명령문 앞에 정책 설명을 추가한 경우 이 설명을 추가하기 전에 쉼표를 추가하세요. KMS키 정책의 JSON 구문이 유효한지 확인하세요.

   S3 버킷 예시 정책

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowGuardDutygetBucketLocation",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": [
                   "s3:GetBucketLocation",
                   "s3:ListBucket"
               ],
               "Resource": "Amazon S3 bucket ARN",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "AllowGuardDutyPutObject",
               "Effect": "Allow",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "123456789012",
                       "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
   
                   }
               }
           },
           {
               "Sid": "DenyUnencryptedUploadsThis is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption": "aws:kms"
                   }
               }
           },
           {
               "Sid": "DenyIncorrectHeaderThis is optional",
               "Effect": "Deny",
               "Principal": {
                   "Service": "guardduty.amazonaws.com"
               },
               "Action": "s3:PutObject",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "StringNotEquals": {
                       "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                   }
               }
           },
           {
               "Sid": "DenyNon-HTTPS",
               "Effect": "Deny",
               "Principal": "*",
               "Action": "s3:*",
               "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
               "Condition": {
                   "Bool": {
                       "aws:SecureTransport": "false"
                   }
               }
           }
       ]
   }

3. 다음과 같이 형식이 지정된 값을 대체하여 정책을 편집하십시오. red정책 예제에서:

   1. Replace Amazon S3 bucket ARN Amazon S3 버킷의 Amazon 리소스 이름 (ARN) 을 사용합니다. https://console.aws.amazon.com/s3/콘솔의 버킷 ARN 정책 편집 페이지에서 버킷을 찾을 수 있습니다.

   2. Replace 123456789012 GuardDuty 계정을 소유한 AWS 계정 ID를 사용하여 결과를 내보냅니다.

   3. Replace Region2 GuardDuty 검색 결과가 생성되는 AWS 리전 위치를 사용합니다.

   4. Replace SourceDetectorID 조사 결과가 생성된 특정 지역의 GuardDuty 계정과 함께 detectorID

      계정과 현재 지역의 계정을 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 를 실행하십시오 ListDetectorsAPI. detectorId

   5. Replace [optional prefix] 일부 S3 bucket ARN/[optional prefix] 결과를 내보내려는 선택적 폴더 위치가 포함된 자리 표시자 값 접두사 사용에 대한 자세한 내용은 Amazon S3 사용 설명서의 접두사를 사용한 객체 구성을 참조하십시오.

      아직 존재하지 않는 선택적 폴더 위치를 GuardDuty 제공하면 S3 버킷과 연결된 계정이 결과를 내보내는 계정과 동일한 경우에만 해당 위치가 생성됩니다. 다른 계정에 속한 S3 버킷으로 결과를 내보내는 경우 폴더 위치가 이미 있어야 합니다.

   6. Replace KMS key ARN S3 버킷으로 내보낸 결과의 암호화와 관련된 KMS 키의 Amazon 리소스 이름 (ARN) 을 사용합니다. 키를 ARN 찾으려면 키 ID 찾기 및 ARN AWS Key Management Service 개발자 안내서를 참조하십시오.

   참고

   옵트인 GuardDuty 지역에서 사용하는 경우 “서비스”의 값을 해당 지역의 지역 엔드포인트로 바꾸십시오. 예를 들어 중동 (바레인) (me-south-1) GuardDuty 지역에서 사용하는 경우 로 바꾸십시오. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" 각 옵트인 지역의 엔드포인트에 대한 자세한 내용은 엔드포인트 및 할당량을 참조하십시오. GuardDuty

4. 저장(Save)을 선택합니다.

4단계 - 결과를 S3 버킷으로 내보내기 (콘솔)

GuardDuty 결과를 다른 AWS 계정버킷의 기존 버킷으로 내보낼 수 있습니다.

새 S3 버킷을 만들거나 계정에서 기존 버킷을 선택할 때 선택적 접두사를 추가할 수 있습니다. 내보내기 결과를 구성할 때 S3 버킷에 결과를 저장할 새 폴더를 GuardDuty 생성합니다. 생성된 기본 폴더 구조에 접두사가 추가됩니다. GuardDuty 선택적 접두사의 형식을 예로 들 수 있습니다. /AWSLogs/123456789012/GuardDuty/Region

S3 객체의 전체 경로는 입니다. amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz UUID는 무작위로 생성되며 탐지기 ID 또는 검색 ID를 나타내지 않습니다.

중요

KMS키와 S3 버킷은 같은 지역에 있어야 합니다.

이 단계를 완료하기 전에 해당 정책을 KMS 키와 기존 S3 버킷에 연결했는지 확인하십시오.

내보내기 결과를 구성하려면

1. 에서 GuardDuty 콘솔을 엽니다 https://console.aws.amazon.com/guardduty/.

2. 탐색 창에서 설정을 선택합니다.

3. 설정 페이지의 검색 결과 내보내기 옵션에서 S3 버킷에 대해 지금 구성 (또는 필요에 따라 편집) 을 선택합니다.

4. S3 버킷의 ARN 경우 를 입력합니다bucket ARN. ARN버킷을 찾으려면 Amazon S3 사용 설명서의 S3 버킷 속성 보기를 참조하십시오. https://console.aws.amazon.com/guardduty/콘솔에 있는 관련 버킷의 속성 페이지에 있는 권한 탭에서

5. KMS키에 ARN 를 입력합니다 key ARN. 키를 ARN 찾으려면 키 ID 찾기 및 ARN AWS Key Management Service 개발자 안내서를 참조하십시오.

6. 정책 연결

   • 단계를 수행하여 S3 버킷 정책을 연결합니다. 자세한 내용은 3단계 — Amazon S3 버킷에 정책 연결 단원을 참조하십시오.

   • 단계를 수행하여 KMS 키 정책을 연결합니다. 자세한 내용은 2단계 — 키에 정책 연결 KMS 단원을 참조하십시오.

7. 저장(Save)을 선택합니다.

5단계 — 업데이트된 활성 결과를 내보내는 빈도 설정

업데이트된 활성 검색 결과를 내보내는 빈도를 환경에 맞게 구성하십시오. 기본적으로 업데이트된 결과는 6시간마다 내보내집니다. 즉, 가장 최근 내보내기 이후에 업데이트된 모든 결과가 새 내보내기에 포함됩니다. 업데이트된 결과를 6시간마다 내보내고 내보내기가 12:00에 발생하는 경우 12:00 이후에 업데이트한 결과는 18:00에 내보냅니다.

빈도를 설정하려면

1. 에서 GuardDuty 콘솔을 엽니다 https://console.aws.amazon.com/guardduty/.

2. 설정을 선택합니다.

3. 결과 내보내기 옵션 섹션에서 결과 업데이트 빈도를 선택합니다. 이렇게 하면 업데이트된 활성 검색 결과를 Amazon EventBridge S3와 Amazon S3로 내보내는 빈도가 설정됩니다. 사용자는 다음 중에서 선택할 수 있습니다.

   • 15분마다 EventBridge S3와 S3를 업데이트합니다.

   • 1시간마다 EventBridge S3와 S3를 업데이트합니다.

   • 6시간마다 S3 업데이트 CWE (기본값)

4. 변경 사항 저장(Save changes)을 선택합니다.