아마존 GuardDuty 조사 결과 이해

탐지 GuardDuty 결과는 네트워크 내에서 탐지된 잠재적 보안 문제를 나타냅니다. GuardDuty AWS 환경에서 예상치 못한 잠재적 악의적 활동이 탐지될 때마다 검색 결과를 생성합니다.

GuardDuty 콘솔의 GuardDuty 검색 결과 페이지에서 AWS CLI 또는 API 작업을 사용하여 결과를 보고 관리할 수 있습니다. 결과를 관리하는 방법에 대한 개요는 아마존 GuardDuty 조사 결과 관리 섹션을 참조하세요.

주제:

조사 결과 세부 정보

GuardDuty 조사 결과 내에서 사용할 수 있는 데이터 유형에 대해 알아보세요.

샘플 결과

테스트하거나 더 잘 이해할 수 있도록 샘플 결과를 생성하는 방법을 알아보세요 GuardDuty.

GuardDuty 결과 형식

GuardDuty 탐지 유형의 형식과 추적하는 GuardDuty 다양한 위협 목적을 이해하십시오.

결과 유형

사용 가능한 모든 검색 GuardDuty 결과를 유형별로 보고 검색하십시오. 각 결과 유형 항목에는 문제 해결을 위한 팁 및 제안 사항뿐만 아니라 해당 결과에 대한 설명이 포함되어 있습니다.

GuardDuty 조사 결과의 심각도 수준

각 GuardDuty 탐지 결과에는 보안 엔지니어가 판단한 바에 따라 탐지 결과가 네트워크에 미칠 수 있는 잠재적 위험을 반영하는 지정된 심각도 수준과 값이 있습니다. 심각도 값은 1.0~8.9 범위 내에 있을 수 있으며, 값이 높을수록 심각도 위험도 높아짐을 의미합니다. 조사 결과로 강조된 잠재적 보안 문제에 대한 대응을 결정하는 데 도움이 되도록 이 범위를 심각도 높음, 중간, 낮음 심각도 수준으로 GuardDuty 세분화하십시오.

참고

값 0과 9.0~10.0은 향후에 사용하기 위해 예약되어 있습니다.

다음은 조사 결과에 대해 현재 정의된 심각도 수준 및 값과 각 GuardDuty 결과에 대한 일반적인 권장 사항입니다.

심각도 수준	값 범위
높음	7.0 - 8.9
높음 심각도 수준은 문제의 리소스(EC2 인스턴스 또는 IAM 사용자 로그인 보안 인증 정보 세트)가 손상되었고 무단 액세스에 적극적으로 사용되고 있음을 나타냅니다. 결과에서 높음 심각도로 명시된 보안 문제를 우선적으로 처리하고 즉시 해결 단계를 수행하여 더 이상 리소스가 무단으로 사용되지 못하도록 하는 것이 좋습니다. 예를 들어, EC2 인스턴스를 정리 또는 종료하거나 IAM 보안 인증 정보를 교체합니다. 자세한 내용은 해결 단계를 참조하십시오.
Medium	4.0 - 6.9
중간 심각도 수준은 일반적으로 관찰된 동작에서 벗어나는 의심스러운 활동을 나타내며 사용 사례에 따라 리소스가 손상되었을 수 있습니다. 가급적 빨리 관련된 리소스를 조사하는 것이 좋습니다. 해결 단계는 리소스 및 결과 그룹에 따라 다르지만, 일반적으로 활동이 승인되고 사용 사례와 일치하는지 확인해야 합니다. 원인을 식별할 수 없거나 활동이 승인되었는지 확인할 수 없는 경우, 리소스가 손상된 것으로 간주하고 해결 단계를 수행하여 리소스를 보호해야 합니다. 다음은 중간 수준 결과를 검토할 때 고려해야 할 몇 가지 사항입니다. 권한이 있는 사용자가 리소스의 동작을 변경한(예: 정상 트래픽보다 높은 트래픽 허용 또는 새로운 포트에서의 통신 활성화) 새 소프트웨어를 설치했는지 확인합니다. 권한이 있는 사용자가 제어판 설정을 변경했는지 확인합니다(예: 보안 그룹 설정 변경). 관련된 리소스에 대해 바이러스 백신 스캔을 실행해 권한이 없는 소프트웨어를 감지합니다. 관련된 IAM 역할, 사용자, 그룹 또는 자격 증명 세트에 연결된 권한을 확인합니다. 이러한 권한이 변경 또는 교체되었을 수 있습니다.
낮음	1.0 - 3.9
낮음 심각도 수준은 네트워크가 손상되지 않은 의심스러운 활동(예: 포트 검색 또는 침입 시도 실패)이 시도되었음을 나타냅니다. 즉각적인 권장 조치는 없지만 누군가가 네트워크의 취약점을 찾고 있음을 나타낼 수 있으므로 이 정보를 기록해 두는 것이 좋습니다.

GuardDuty 집계 결과 찾기

모든 검색 결과는 동적입니다. 즉, 동일한 보안 문제와 관련된 새로운 활동이 GuardDuty 감지되면 새 결과를 생성하는 대신 원래 결과를 새 정보로 업데이트합니다. 이러한 동작을 통해 여러 개의 유사한 보고서를 살펴볼 필요 없이 진행 중인 문제를 식별하고 이미 알고 있는 보안 문제로 인한 전반적인 노이즈를 줄일 수 있습니다.

예를 들어 UnauthorizedAccess:EC2/SSHBruteForce 결과의 경우 인스턴스에 대한 다중 액세스 시도가 동일한 결과 ID로 집계되므로 결과의 세부 정보에서 카운트 수가 증가합니다. 이는 결과가 인스턴스(즉, 인스턴스의 SSH 포트가 이러한 유형의 활동에 대해 제대로 보호되지 않음을 나타내는 경우)와 관련한 단일 보안 문제를 나타내기 때문입니다. 하지만 사용자 환경의 새 인스턴스를 대상으로 하는 SSH 액세스 활동이 GuardDuty 탐지되면 고유한 검색 결과 ID로 새 검색 결과를 생성하여 새 리소스와 관련된 보안 문제가 있음을 알려줍니다.

결과 집계 시, 해당 활동에서 가장 최근에 발생한 정보로 업데이트됩니다. 즉, 위의 예에서 인스턴스가 새로운 작업자의 무차별 암호 대입 시도 대상인 경우 검색 세부 정보는 가장 최근 소스에 대한 원격 IP를 반영하기 위해 업데이트되며 이전 정보가 교체됩니다. 개별 활동 시도에 대한 전체 정보는 사용자 CloudTrail 또는 VPC 흐름 로그에서 계속 확인할 수 있습니다.

기존 검색 결과를 집계하는 대신 새 검색 결과를 GuardDuty 생성하라는 알림을 보내는 기준은 검색 결과 유형에 따라 다릅니다. 각 결과 유형의 집계 기준은 계정 내의 고유한 보안 문제를 가장 잘 파악할 수 있도록 보안 엔지니어가 결정합니다.

결과 찾기 및 분석 GuardDuty

다음 절차를 사용하여 GuardDuty 결과를 보고 분석하십시오.

1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

2. Findings(결과)를 선택한 후 특정 결과를 선택하여 세부 정보를 확인합니다.

   각 결과에 대한 세부 정보는 결과 유형, 관련된 리소스 및 활동 특성에 따라 다릅니다. 사용 가능한 결과 필드에 대한 자세한 내용은 결과 세부 정보 단원을 참조하십시오.

3. (선택 사항) 결과를 보관하려면 결과 목록에서 원하는 결과를 선택한 후 작업 메뉴를 선택합니다. 그런 다음 Archive(보관)를 선택합니다.

   보관된 결과는 현재 드롭다운에서 보관됨을 선택하여 볼 수 있습니다.

   현재 GuardDuty 회원 계정의 GuardDuty 사용자는 결과를 보관할 수 없습니다.

   중요

   위의 절차를 사용하여 결과를 수동으로 보관하는 경우 이 결과(보관 완료 후 생성된)의 후속 발생이 현재 결과 목록에 추가됩니다. 이 결과를 현재 목록에서 절대 보지 않으려면 자동 보관할 수 있습니다. 자세한 정보는 억제 규칙을 참조하세요.

4. (선택 사항) 결과를 다운로드하려면 결과 목록에서 원하는 결과를 선택한 후 Actions(작업) 메뉴를 선택합니다. 그런 다음 내보내기를 선택합니다. 결과를 내보내기하는 경우 전체 JSON 문서를 볼 수 있습니다.

   참고

   어떤 경우에는 특정 결과가 생성된 후 오탐이라는 사실을 알게 GuardDuty 됩니다. GuardDuty 검색 결과의 JSON에 신뢰도 필드를 제공하고 값을 0으로 설정합니다. GuardDuty 이렇게 하면 이러한 결과를 무시해도 된다는 것을 알 수 있습니다.