고려 사항 1단계 — 검색 결과를 내보내는 데 필요한 권한 2단계 — KMS 키에 정책 연결 3단계 — Amazon S3 버킷에 정책 연결 4단계 - 결과를 S3 버킷으로 내보내기 (콘솔)5단계 — 업데이트 빈도 내보내기

결과 내보내기

GuardDuty 생성된 결과를 90일 동안 보관합니다. GuardDuty 활성 결과를 Amazon EventBridge (EventBridge) 으로 내보냅니다. 선택적으로 생성된 결과를 Amazon Simple Storage 서비스 (Amazon S3) 버킷으로 내보낼 수 있습니다. 이렇게 하면 계정에서 잠재적으로 의심스러운 활동의 기록 데이터를 추적하고 권장 해결 단계가 성공적이었는지 평가하는 데 도움이 됩니다.

새로 GuardDuty 생성되는 활성 검색 결과는 모두 검색 결과 생성 후 약 5분 이내에 자동으로 내보내집니다. 활성 검색 결과에 대한 업데이트를 내보내는 빈도를 설정할 수 EventBridge 있습니다. 선택한 빈도는 기존 검색 결과를 S3 버킷 (구성된 경우) 및 Detective (통합된 경우) 로 새로 내보내는 데 EventBridge 적용됩니다. 기존 검색 결과의 여러 발생을 GuardDuty 집계하는 방법에 대한 자세한 내용은 을 참조하십시오. GuardDuty 집계 결과 찾기

결과를 Amazon S3 버킷으로 내보내도록 설정을 구성하는 경우, AWS Key Management Service (AWS KMS) 를 GuardDuty 사용하여 S3 버킷의 결과 데이터를 암호화합니다. 이를 위해서는 계정에서 결과를 내보내는 데 사용할 GuardDuty 수 있도록 S3 버킷과 AWS KMS 키에 권한을 추가해야 합니다.

고려 사항

결과를 내보내기 위한 사전 요구 사항 및 단계를 진행하기 전에 다음 주요 개념을 고려하십시오.

내보내기 설정은 지역입니다. — 사용하는 각 지역에서 내보내기 옵션을 구성해야 합니다. GuardDuty
결과를 다른 AWS 리전 (지역 간) 의 Amazon S3 버킷으로 내보내기 — 다음 내보내기 설정을 GuardDuty 지원합니다.
- Amazon S3 버킷 또는 객체와 AWS KMS 키는 동일한 객체에 속해야 합니다 AWS 리전.
- 상업 지역에서 생성된 검색 결과의 경우 해당 결과를 상업 지역의 S3 버킷으로 내보내도록 선택할 수 있습니다. 하지만 옵트인 지역의 S3 버킷으로 이러한 결과를 내보낼 수는 없습니다.
- 옵트인 지역에서 생성된 결과의 경우, 해당 결과를 생성된 동일한 옵트인 리전 또는 상업용 리전으로 내보낼 수 있습니다. 하지만 한 옵트인 지역의 결과를 다른 옵트인 지역으로 내보낼 수는 없습니다.
검색 결과 내보내기 권한 - 활성 검색 결과를 내보내기 위한 설정을 구성하려면 S3 버킷에 객체 업로드를 허용하는 GuardDuty 권한이 있어야 합니다. 또한 결과를 암호화하는 데 사용할 GuardDuty 수 있는 AWS KMS 키가 있어야 합니다.
보관된 검색 결과는 내보내지 않음 - 기본 동작은 숨겨진 검색 결과의 새 인스턴스를 포함하여 보관된 검색 결과를 내보내지 않는 것입니다.

보관된 결과를 내보내려면 보관을 취소해야 합니다. 그러면 상태가 활성으로 변경됩니다. 내보내기 빈도에 따라 검색 결과가 구성된 S3 버킷으로 내보내집니다.
GuardDuty 관리자 계정은 관련 멤버 계정에서 생성된 검색 결과를 내보낼 수 있습니다. — 관리자 계정에서 내보내기 결과를 구성하면 동일한 지역에서 생성된 관련 멤버 계정의 모든 검색 결과도 관리자 계정 계정에 대해 구성한 동일한 위치로 내보냅니다. 자세한 정보는 GuardDuty 관리자 계정과 구성원 계정 간의 관계 이해을 참조하세요.

1단계 — 검색 결과를 내보내는 데 필요한 권한

검색 결과 내보내기 설정을 구성할 때는 검색 결과를 저장할 수 있는 Amazon S3 버킷과 데이터 암호화에 사용할 AWS KMS 키를 선택합니다. 결과를 내보내는 설정을 성공적으로 구성하려면 GuardDuty 작업에 대한 권한 외에도 다음 작업에 대한 권한도 있어야 합니다.

s3: GetBucketLocation
s3: PutObject

2단계 — KMS 키에 정책 연결

GuardDuty 를 사용하여 버킷의 검색 결과 데이터를 암호화합니다. AWS Key Management Service설정을 성공적으로 구성하려면 먼저 KMS 키 사용 GuardDuty 권한을 부여해야 합니다. KMS 키에 정책을 연결하여 권한을 부여할 수 있습니다.

다른 계정의 KMS 키를 사용하는 경우 키를 AWS 계정 소유한 사람에게 로그인하여 키 정책을 적용해야 합니다. 결과를 내보내도록 설정을 구성할 때는 키를 소유한 계정의 키 ARN도 필요합니다.

내보낸 결과를 암호화하도록 KMS 키 정책을 GuardDuty 수정하려면

https://console.aws.amazon.com/kms 에서 AWS KMS 콘솔을 엽니다.
를 변경하려면 페이지 오른쪽 상단의 지역 선택기를 사용하십시오. AWS 리전
기존 KMS 키를 선택하거나 AWS Key Management Service 개발자 가이드에서 내보낸 결과를 암호화하는 데 사용할 새 키를 만드는 단계를 수행하십시오.

참고
KMS 키와 Amazon S3 버킷의 키는 동일해야 합니다. AWS 리전

동일한 S3 버킷과 KMS 키 페어를 사용하여 적용 가능한 모든 지역에서 결과를 내보낼 수 있습니다. 자세한 고려 사항 내용은 지역 간 결과 내보내기를 참조하십시오.
Key policy(키 정책) 섹션에서 Edit(편집)를 선택합니다.

정책 보기로 전환이 표시되면 이를 선택하여 키 정책을 표시한 다음 편집을 선택합니다.

다음 정책 블록을 KMS 키 정책에 복사하여 키 사용 GuardDuty 권한을 부여합니다.


{    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

정책 예제에서 빨간색 서식이 지정된 다음 값을 대체하여 정책을 편집하십시오.
1. KMS 키 ARN을 KMS 키의 아마존 리소스 이름 (ARN) 으로 대체합니다. 키 ARN을 찾으려면 개발자 안내서의 키 ID 및 ARN 찾기를 참조하십시오.AWS Key Management Service
2. 123456789012를 결과를 내보내는 계정을 소유한 AWS 계정 ID로 바꾸십시오. GuardDuty
3. 지역 2를 검색 결과가 생성된 곳으로 바꾸십시오. AWS 리전 GuardDuty
4. SourceDetectorID를 조사 결과가 detectorID 생성된 특정 지역의 GuardDuty 계정 이름으로 바꾸십시오.
  
  계정 및 현재 지역의 계정을 detectorId 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.
참고
옵트인 GuardDuty 지역에서 사용하는 경우 “서비스” 값을 해당 지역의 지역 엔드포인트로 바꾸십시오. 예를 들어 중동 (바레인) (me-south-1) GuardDuty 지역에서 사용하는 경우 로 바꾸십시오. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" 각 옵트인 지역의 엔드포인트에 대한 자세한 내용은 엔드포인트 및 할당량을 참조하십시오. GuardDuty
최종 성명서 앞에 정책 설명을 추가한 경우 이 설명을 추가하기 전에 쉼표를 추가하세요. KMS 키 정책의 JSON 구문이 유효한지 확인하세요.

저장을 선택합니다.
(선택 사항) 이후 단계에서 사용할 수 있도록 키 ARN을 메모장에 복사합니다.

3단계 — Amazon S3 버킷에 정책 연결

이 S3 버킷에 객체를 업로드할 GuardDuty 수 있도록 결과를 내보낼 Amazon S3 버킷에 권한을 추가합니다. 사용자 계정이나 다른 AWS 계정계정에 속한 Amazon S3 버킷을 사용하는 것과 별개로 이러한 권한을 추가해야 합니다.

어느 시점에서든 다른 S3 버킷으로 결과를 내보내려는 경우, 검색 결과를 계속 내보내려면 해당 S3 버킷에 권한을 추가하고 검색 결과 내보내기 설정을 다시 구성해야 합니다.

이러한 결과를 내보낼 Amazon S3 버킷이 아직 없는 경우 Amazon S3 사용 설명서의 버킷 생성을 참조하십시오.

S3 버킷 정책에 권한을 추가하려면

Amazon S3 사용 설명서의 버킷 정책 생성 또는 편집하기에서 버킷 정책 편집 페이지가 나타날 때까지 아래의 단계를 수행하십시오.

예제 정책은 Amazon S3 버킷으로 결과를 내보낼 GuardDuty 권한을 부여하는 방법을 보여줍니다. 내보내기 결과를 구성한 후 경로를 변경하는 경우 새 위치에 권한을 부여하도록 정책을 수정해야 합니다.

다음 예제 정책을 복사하여 버킷 정책 편집기에 붙여넣습니다.

최종 명령문 앞에 정책 설명을 추가한 경우 이 설명을 추가하기 전에 쉼표를 추가하세요. KMS 키 정책의 JSON 구문이 유효한지 확인하세요.

S3 버킷 예시 정책


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGuardDutygetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "Amazon S3 bucket ARN",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "AllowGuardDutyPutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "DenyUnencryptedUploadsThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "DenyIncorrectHeaderThis is optional",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN"
                }
            }
        },
        {
            "Sid": "DenyNon-HTTPS",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "Amazon S3 bucket ARN/[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

정책 예제에서 빨간색 서식이 지정된 다음 값을 대체하여 정책을 편집하십시오.
1. Amazon S3 버킷 ARN을 Amazon S3 버킷의 Amazon 리소스 이름 (ARN) 으로 교체합니다. 버킷 ARN은 https://console.aws.amazon.com/s3/ 콘솔의 버킷 정책 편집 페이지에서 찾을 수 있습니다.
2. 123456789012를 결과를 내보내는 계정을 소유한 AWS 계정 ID로 바꾸십시오. GuardDuty
3. 지역 2를 검색 결과가 생성된 곳으로 바꾸십시오. AWS 리전 GuardDuty
4. SourceDetectorID를 조사 결과가 detectorID 생성된 특정 지역의 GuardDuty 계정 이름으로 바꾸십시오.
  
  계정 및 현재 지역의 계정을 detectorId 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.
5. S3 버킷 ARN/ [선택적 접두사] 자리 표시자 값의 [선택적 접두사] 부분을 결과를 내보낼 선택적 폴더 위치로 바꿉니다. 접두사 사용에 대한 자세한 내용은 Amazon S3 사용 설명서의 접두사를 사용한 객체 구성을 참조하십시오.
  
  아직 존재하지 않는 선택적 폴더 위치를 GuardDuty 제공하면 S3 버킷과 연결된 계정이 결과를 내보내는 계정과 동일한 경우에만 해당 위치가 생성됩니다. 다른 계정에 속한 S3 버킷으로 결과를 내보내는 경우 폴더 위치가 이미 있어야 합니다.
6. KMS 키 ARN을 S3 버킷으로 내보낸 결과의 암호화와 관련된 KMS 키의 Amazon 리소스 이름 (ARN) 으로 대체합니다. 키 ARN을 찾으려면 개발자 안내서의 키 ID 및 ARN 찾기를 참조하십시오.AWS Key Management Service
참고
옵트인 GuardDuty 지역에서 사용하는 경우 “서비스”의 값을 해당 지역의 지역 엔드포인트로 바꾸십시오. 예를 들어 중동 (바레인) (me-south-1) GuardDuty 지역에서 사용하는 경우 로 바꾸십시오. "Service": "guardduty.amazonaws.com" "Service": "guardduty.me-south-1.amazonaws.com" 각 옵트인 지역의 엔드포인트에 대한 자세한 내용은 엔드포인트 및 할당량을 참조하십시오. GuardDuty
저장을 선택합니다.

4단계 - 결과를 S3 버킷으로 내보내기 (콘솔)

GuardDuty 결과를 다른 AWS 계정버킷의 기존 버킷으로 내보낼 수 있습니다.

새 S3 버킷을 만들거나 계정에서 기존 버킷을 선택할 때 선택적 접두사를 추가할 수 있습니다. 내보내기 결과를 구성할 때 S3 버킷에 결과를 저장할 새 폴더를 GuardDuty 생성합니다. 생성된 기본 폴더 구조에 접두사가 추가됩니다. GuardDuty 선택적 접두사의 형식을 예로 들 수 있습니다. /AWSLogs/123456789012/GuardDuty/Region

중요

KMS 키와 S3 버킷이 동일한 리전에 있어야 합니다.

이 단계를 완료하기 전에 KMS 키와 기존 S3 버킷에 해당 정책을 연결했는지 확인하세요.

내보내기 결과를 구성하려면

https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.
탐색 창에서 설정을 선택합니다.
설정 페이지의 검색 결과 내보내기 옵션에서 S3 버킷에 대해 지금 구성 (또는 필요에 따라 편집) 을 선택합니다.
S3 버킷 ARN의 경우 를 입력합니다. bucket ARN 버킷 ARN을 찾으려면 Amazon S3 사용 설명서의 S3 버킷의 속성 보기를 참조하십시오. https://console.aws.amazon.com/guardduty/ 콘솔의 관련 버킷 속성 페이지에 있는 권한 탭에서
KMS 키 ARN의 경우 를 입력합니다. key ARN 키 ARN을 찾으려면 개발자 안내서의 키 ID 및 ARN 찾기를 참조하십시오.AWS Key Management Service
정책 첨부
- 단계를 수행하여 S3 버킷 정책을 연결합니다. 자세한 정보는 3단계 — Amazon S3 버킷에 정책 연결을 참조하세요.
- KMS 키 정책을 연결하는 단계를 수행하십시오. 자세한 정보는 2단계 — KMS 키에 정책 연결을 참조하세요.
저장(Save)을 선택합니다.

5단계 — 업데이트된 활성 결과를 내보내는 빈도 설정

업데이트된 활성 결과를 내보내는 빈도를 환경에 맞게 구성하십시오. 기본적으로 업데이트된 결과는 6시간마다 내보내집니다. 즉, 가장 최근 내보내기 이후에 업데이트된 모든 결과가 새 내보내기에 포함됩니다. 업데이트된 결과를 6시간마다 내보내고 내보내기가 12:00에 발생하는 경우 12:00 이후에 업데이트한 결과는 18:00에 내보냅니다.

빈도를 설정하려면

https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.
설정을 선택합니다.
결과 내보내기 옵션 섹션에서 결과 업데이트 빈도를 선택합니다. 이렇게 하면 업데이트된 활성 검색 결과를 Amazon EventBridge S3와 Amazon S3로 내보내는 빈도가 설정됩니다. 사용자는 다음 중에서 선택할 수 있습니다.
- 15분마다 EventBridge S3와 S3를 업데이트합니다.
- 1시간마다 EventBridge S3와 S3를 업데이트합니다.
- Update CWE and S3 every 6 hours (default)(6시간마다 CWE 및 S3 업데이트(기본값))
변경 사항 저장를 선택합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

신뢰할 수 있는 IP 및 위협 목록

이벤트를 통한 CloudWatch 응답 자동화