GuardDuty 결과 형식 - 아마존 GuardDuty
Threat Purposes

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

GuardDuty 결과 형식

GuardDuty는 AWS 환경에서 의심스럽거나 예기치 않은 행동을 탐지할 때 결과를 생성합니다. 결과는 GuardDuty에서 발견한 잠재적 보안 문제에 대한 세부 정보를 포함한 알림입니다. 결과 세부 정보에는 발생한 문제, 의심되는 활동과 관련된 AWS 리소스, 문제의 활동이 발생한 시점에 대한 정보와 기타 정보가 포함되어 있습니다.

조사 결과 세부 정보의 가장 유용한 정보 중 하나는 조사 결과 유형입니다. 조사 결과 유형의 용도는 잠재적인 보안 문제에 대한 간결하면서도 읽기 쉬운 설명을 제공하는 것입니다. 예를 들어 GuardDuty Recon:EC2/PortProbeUnprotectedPort 결과 유형은 AWS 환경의 어느 지점에서 EC2 인스턴스에 잠재적 공격자가 탐색 중인 보호되지 않는 포트가 있음을 신속하게 알려줍니다.

GuardDuty는 생성한 다양한 결과 유형에 다음 형식을 사용합니다.

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

이 형식의 각 부분은 결과 유형의 한 측면을 나타냅니다. 이러한 측면에는 다음과 같은 설명이 있습니다.

  • ThreatPurpose - 위협, 공격 유형 또는 잠재적 공격 단계의 주요 목적을 설명합니다. GuardDuty 위협 목적의 전체 목록은 다음 섹션을 참조하세요.

  • ResourceTypeAffected - 이 결과에서 공격의 잠재적인 대상으로 식별된 AWS 리소스를 설명합니다. 현재 GuardDuty는 EC2, S3, IAM 및 EKS 리소스에 대한 결과를 생성할 수 있습니다.

  • ThreatFamilyName - GuardDuty가 탐지하는 전반적인 위협 또는 잠재적인 악성 활동을 설명합니다. 예를 들어 NetworkPortUnusual의 값은 GuardDuty 결과에서 식별된 EC2 인스턴스에 해당 결과에서 식별된 특정 원격 포트에 대한 이전 통신 내역이 없음을 나타냅니다.

  • DetectionMechanism - GuardDuty가 결과를 탐지한 방법을 설명합니다. 이는 일반적인 결과 유형의 변형 또는 GuardDuty가 특정 메커니즘을 사용하여 탐지한 결과를 나타내는 데 사용할 수 있습니다. 예를 들어 Backdoor:EC2/DenialOfService.Tcp는 TCP를 통해 서비스 거부(DoS)가 탐지되었음을 나타냅니다. UDP 변형은 Backdoor:EC2/DenialOfService.Udp입니다.

    .Custom 값은 GuardDuty가 사용자 지정 위협 목록을 기반으로 결과를 탐지했음을 나타내고, .Reputation은 GuardDuty가 도메인 평판 점수 모델을 사용하여 결과를 탐지했음을 나타냅니다.

  • Artifact - 악성 활동에 사용된 도구가 소유한 특정 리소스를 설명합니다. 예를 들어 결과 유형 CryptoCurrency:EC2/BitcoinTool.B!DNS에서 DNS EC2 인스턴스가 알려진 비트코인 관련 도메인과 통신 중임을 나타냅니다.

Threat Purposes

GuardDuty에서 위협 목적은 위협, 공격 유형 또는 잠재적 공격 단계의 주요 목적을 설명합니다. 예를 들어 Backdoor와 같은 일부 위협 목적은 공격 유형을 나타냅니다. 그러나 Impact와 같은 일부 위협 목적은 MITRE ATT&CK 전략과 연계되어 있습니다. MITRE ATT&CK 전략은 적의 공격 주기에서 서로 다른 단계를 나타냅니다. 현재 GuardDuty 릴리스에서 ThreatPurpose는 다음 값을 가질 수 있습니다.

Backdoor

이 값은 해당 공격이 AWS 리소스를 손상시키고 변조하였으며 악의적인 활동에 대한 추가 지침을 수신하도록 홈 명령 및 제어(C&C) 서버에 접속할 수 있음을 나타냅니다.

동작

이 값은 GuardDuty에서 관련 AWS 리소스에 대해 설정된 기준과 다른 활동 또는 활동 패턴을 탐지했음을 나타냅니다.

CredentialAccess

이 값은 GuardDuty가 공격자가 환경에서 계정 ID 또는 암호와 같은 보안 인증 정보를 훔치는 데 사용할 수 있는 활동 패턴을 탐지했음을 나타냅니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Cryptocurrency

이 값은 GuardDuty가 환경의 AWS 리소스가 암호화폐와 관련된 소프트웨어(예: 비트코인)를 호스팅하고 있음을 탐지했음을 나타냅니다.

DefenseEvasion

이 값은 GuardDuty가 공격자가 환경에 침투하는 동안 탐지를 피하기 위해 사용할 수 있는 활동 또는 활동 패턴을 탐지했음을 나타냅니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Discovery

이 값은 GuardDuty에서 공격자가 시스템 및 내부 네트워크에 대한 지식을 넓히는 데 사용할 수 있는 활동 또는 활동 패턴을 탐지했음을 나타냅니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Execution

이 값은 공격자가 네트워크를 탐색하거나 데이터를 훔치기 위해 악성 코드 실행을 시도할 수 있음을 GuardDuty에서 탐지했음을 나타냅니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Exfiltration

이 값은 GuardDuty에서 공격자가 네트워크에서 데이터를 훔치려고 할 때 사용할 수 있는 활동 또는 활동 패턴을 탐지했음을 나타냅니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Impact

이 값은 GuardDuty에서 공격자가 시스템 및 데이터를 조작, 방해 또는 파괴하려고 시도하는 중임을 보여주는 활동 또는 활동 패턴을 탐지했음을 나타냅니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

InitialAccess

이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Pentest

때때로 AWS 리소스의 소유자 또는 이들의 공인 대리인이 전반적으로 허용적인 개방형 보안 그룹 또는 액세스 키와 같은 취약성을 찾기 위해 AWS 애플리케이션에 대해 테스트를 의도적으로 실행합니다. 이러한 침투 테스트는 공격자가 취약한 리소스를 찾아내기 전에 해당 리소스를 파악하여 제재하기 위해 수행됩니다. 하지만 권한이 있는 침투 테스터가 사용하는 일부 도구는 무료로 사용할 수 있으므로 무단 사용자 또는 공격자가 탐색 테스트를 실행할 수 있습니다. GuardDuty는 이러한 활동 이면의 진정한 의도까지는 파악할 수 없지만 Pentest 값은 GuardDuty에서 이러한 활동을 탐지했고 알려진 침투 테스트에서 생성한 활동과 유사하므로 잠재적인 공격일 수 있음을 나타내며, 네트워크의 악의적인 탐색을 나타낼 수 있습니다.

Persistence

이 값은 GuardDuty에서 공격자가 초기 액세스 경로가 차단된 경우에도 시스템에 대한 액세스를 시도하고 유지하기 위해 사용할 수 있는 활동 또는 활동 패턴을 탐지했음을 나타냅니다. 기존 사용자의 손상된 보안 인증 정보를 통해 액세스 권한을 획득한 후 새 IAM 사용자를 생성하는 것이 여기에 포함될 수 있습니다. 기존 사용자의 보안 인증 정보가 삭제되면 공격자는 기존 이벤트의 일부로 탐지되지 않은 새 사용자에 대한 액세스를 유지하게 됩니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

정책

이 값은 AWS 계정에서 권장되는 보안 모범 사례에 반하는 행동을 보이고 있음을 나타냅니다.

PrivilegeEscalation

이 값은 AWS 환경 내의 관련 주체가 공격자가 네트워크에 대해 더 높은 수준의 권한을 얻기 위해 활용할 수 있는 행동을 보이고 있음을 알려줍니다. 이 위협 목적은 MITRE ATT&CK 전략을 기반으로 합니다.

Recon

이 값은 네트워크 정찰을 수행할 때 공격자가 액세스 범위를 넓히거나 리소스를 활용하는 방법을 결정하는 데 사용할 수 있는 활동 또는 활동 패턴을 GuardDuty에서 탐지했음을 나타냅니다. 예를 들어 이 활동에는 포트를 조사하고, 사용자, 데이터베이스 테이블을 나열하는 등의 방법으로 AWS 환경의 취약성을 파악하는 활동이 포함될 수 있습니다.

Stealth

이 값은 공격자가 행동을 적극적으로 숨기려고 함을 나타냅니다. 예를 들어 익명화 프록시 서버를 사용하면 활동의 실제 특성을 파악하는 것이 무척 어려울 수 있습니다.

Trojan

이 값은 공격이 조용히 악의적인 활동을 수행하는 트로이 목마 프로그램을 사용 중임을 의미합니다. 때때로 이 소프트웨어는 일반적인 프로그램으로 보이기도 합니다. 사용자가 실수로 이 소프트웨어를 실행할 때도 있고, 취약성을 악용하여 이 소프트웨어가 자동으로 실행될 수도 있습니다.

UnauthorizedAccess

이 값은 권한 없는 개인의 의심되는 활동 또는 의심되는 활동 패턴을 GuardDuty에서 탐지했음을 나타냅니다.