사용자 지정 응답 생성 GuardDuty 소견 Amazon CloudWatch Events - Amazon GuardDuty

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

사용자 지정 응답 생성 GuardDuty 소견 Amazon CloudWatch Events

GuardDuty에서는 결과가 변경되면 Amazon CloudWatch Events를 기반으로 알림을 보낼 수 있습니다. 결과가 변경되면 새로 생성된 결과 또는 새로 집계된 결과를 포함하여 CloudWatch 이벤트를 생성합니다.

모든 GuardDuty 결과에는 결과 ID가 할당됩니다. GuardDuty는 모든 결과에 대해 고유한 결과 ID를 포함한 CloudWatch 이벤트를 생성합니다. 기존 결과의 후속 발생은 모두 원래 결과에 집계됩니다.

GuardDuty과 함께 CloudWatch 이벤트를 사용하면 GuardDuty 결과를 통해 밝혀진 보안 문제에 대응할 수 있도록 작업을 자동화할 수 있습니다.

CloudWatch 이벤트에 기반한 GuardDuty 결과에 대해 알림을 받으려면 GuardDuty에 대한 CloudWatch 이벤트 규칙 및 목표를 생성해야 합니다. 이 규칙은 규칙에 지정된 목표에 대해 GuardDuty에서 발생하는 결과에 대한 알림을 보내도록 CloudWatch를 활성화합니다. 자세한 정보는 생성 CloudWatch 이벤트 규칙 및 대상 GuardDuty (CLI) 단원을 참조하십시오.

CloudWatch 이벤트 알림 빈도 GuardDuty

고유한 결과 ID를 갖는 새로 생성된 결과의 알림은 – GuardDuty 결과가 생성된 후 5분 내에 CloudWatch 이벤트를 기반으로 알림을 보냅니다. 이 이벤트(및 알림)는 또한 고유한 ID를 포함한 이 결과가 생성된 이후 5분마다 발생하는 이 결과의 모든 후속 발생을 포함합니다.

중요

새로 생성된 조사 결과에 대해 전송된 알림의 기본 빈도(5분)를 사용자 지정할 수 없습니다.

후속 결과의 후속 발생에 대한 알림 – 기본적으로 고유한 결과 ID를 갖는함한 모든 결과에 대해 GuardDuty은(는) 6시간 간격으로 발생하는 특정 결과의 모든 후속 발생을 단일 이벤트에 집계합니다. GuardDuty은(는) 이후 이 이벤트를 기반으로 후속 발생에 관한 알림을 보냅니다. 다시 말해 기존 결과의 후속 발생에 대해 GuardDuty은(는) 6시간마다 CloudWatch 이벤트를 기반으로 알림을 보냅니다.

중요

후속 결과의 후속 발생에 대해 전송된 알림의 기본 빈도를 사용자 지정할 수 있습니다. 가능한 값은 15분, 1시간 또는 기본값 6시간입니다. CreateDetector 또는 UpdateDetector API 작업을 사용하여 이 값을 업데이트할 수 있습니다. 또한 GuardDuty 콘솔을 통해 이 값을 업데이트할 수 있습니다. Settings(설정)을 선택한 후 CloudWatch Events(이벤트) 아래에서 Updated findings(업데이트된 결과) 풀 다운 메뉴에서 사용 가능한 값 중 하나를 선택하십시오.

의 사용자만 master 계정은 CloudWatch 이벤트로의 후속 검색 발생에 대해 전송되는 기본 알림 빈도를 사용자 지정할 수 있습니다. 멤버 계정의 사용자는 이 빈도 값을 사용자 지정할 수 없습니다. 에서 설정한 주파수 값 master 자체 계좌의 계좌가 GuardDuty 모든 회원 계정의 기능. 즉, master 계정은 이 빈도 값을 1시간으로 설정하며, 모든 회원 계정은 CloudWatch 이벤트로 전송된 후속 발견 사례에 대한 1시간의 알림 빈도도 가집니다. 자세한 정보는 에서 여러 계정 관리 Amazon GuardDuty 단원을 참조하십시오.

보관된 모니터링 GuardDuty 소견 CloudWatch 이벤트

수동으로 아카이브 완료된 결과는 이 결과(아카이브 완료 후 생성된)의 초기 및 후속 발생이 위에서 설명한 빈도당 CloudWatch 이벤트에 전송됩니다.

자동 아카이브 완료된 결과는 이 결과(아카이브 완료 후 생성된)의 초기 및 후속 발생이 CloudWatch 이벤트에 전송되지 않습니다.

CloudWatch 이벤트 형식 GuardDuty

CloudWatch GuardDuty의 이벤트는 다음과 같은 형식을 갖습니다.

{ "version": "0", "id": "cd2d702e-ab31-411b-9344-793ce56b1bc7", "detail-type": "GuardDuty Finding", "source": "aws.guardduty", "account": "111122223333", "time": "1970-01-01T00:00:00Z", "region": "us-east-1", "resources": [], "detail": {GUARDDUTY_FINDING_JSON_OBJECT} }
참고

세부 값은 배열 내에서 여러 결과를 지원할 수 있는 "결과" 값을 반환하는 것과 반대로 단일 결과의 JSON 세부 정보를 개체로 반환합니다.

GUARDDUTY_FINDING_JSON_OBJECT에 포함된 모든 파라미터의 전체 목록은 GetFindings를 참조하십시오. GUARDDUTY_FINDING_JSON_OBJECT에 보이는id 파라미터가 이전에 설명한 결과 ID입니다.

생성 CloudWatch 이벤트 통지 규칙 GuardDuty 소견(콘솔)

다음 절차를 사용하여 중간 심각도에서 높은 심각도에 이르는 결과에 대한 자동 이메일 알림을 선택한 이메일 주소로 설정할 수 있습니다.

설정 Amazon SNS 항목 및 끝점

시작하려면 먼저 Amazon Simple Notification Service에서 주제를 설정하고 이메일 주소를 엔드포인트로 추가해야 합니다. 자세한 내용은 SNS 가이드.

  1. https://console.aws.amazon.com/sns/v3/home에서 Amazon SNS 콘솔에 로그인합니다.

  2. 탐색 창에서 주제를 선택한 다음 주제 생성을 선택합니다.

  3. 항목 만들기 섹션에 항목 이름을 입력합니다(예: GuardDuty. 기타 세부 정보는 선택 사항입니다.

  4. 주제 생성을 선택합니다. 새로운 주제에 대한 주제 세부 정보가 열립니다.

  5. 구독 섹션에서 구독 생성을 선택합니다.

    1. 프로토콜 메뉴에서 이메일을 선택합니다.

    2. 엔드포인트 필드에서 알림을 받을 이메일 주소를 추가합니다.

      참고

      구독을 생성한 후 이메일 클라이언트를 통해 구독을 확인해야 합니다.

    3. 구독 생성을 선택합니다.

  6. 받은 편지함에서 구독 메시지를 확인하고 구독 확인을 선택합니다.

설정 a CloudWatch 이벤트 GuardDuty 소견

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 규칙을 선택한 다음 규칙 생성을 선택합니다.

  3. 서비스 이름 메뉴에서 GuardDuty를 선택합니다.

  4. 이벤트 유형 메뉴에서 GuardDuty 결과를 선택합니다.

  5. 이벤트 패턴 미리 보기에서 편집을 선택합니다.

  6. 아래 JSON 코드를 이벤트 패턴 미리보기에 붙여넣고 저장을 선택합니다.

    { "source": [ "aws.guardduty" ], "detail-type": [ "GuardDuty Finding" ], "detail": { "severity": [ 4, 4.0, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7, 4.8, 4.9, 5, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 6, 6.0, 6.1, 6.2, 6.3, 6.4, 6.5, 6.6, 6.7, 6.8, 6.9, 7, 7.0, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7.9, 8, 8.0, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, 8.9 ] } }
    참고

    위의 코드는 중간에서 높음에 이르는 결과에 대해 알립니다.

  7. 대상 섹션에서 대상 추가를 클릭합니다.

  8. 대상 선택 메뉴에서 SNS 주제를 선택합니다.

  9. 주제 선택에서 1단계에서 생성한 SNS 주제의 이름을 선택합니다.

  10. 입력 구성을 확장한 후 입력 변환기를 선택합니다.

  11. 다음 코드를 복사하여 입력 경로 필드에 붙여넣습니다.

    { "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" }
  12. 다음 코드를 복사하고 입력 템플릿 필드에 붙여넣어 이메일의 형식을 지정합니다.

    "You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region." "Finding Description:" "<Finding_description>. " "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"
  13. 세부 정보 구성을 클릭합니다.

  14. 규칙 세부 정보 구성 페이지에서 해당 규칙의 이름설명을 입력한 후 규칙 생성을 선택합니다.

생성 CloudWatch 이벤트 규칙 및 대상 GuardDuty (CLI)

다음 절차는 AWS CLI 명령을 사용하여 GuardDuty 서비스에 대한 CloudWatch 이벤트 규칙 및 대상을 만드는 방법을 보여줍니다. 특히, GuardDuty에서 생성한 모든 조사 결과에 대한 이벤트를 보내고 조사 결과에 대한 대상으로 AWS Lambda 함수를 추가하도록 CloudWatch을(를) 활성화하는 규칙을 생성하는 방법을 보여줍니다.

참고

Lambda 함수 외에도 GuardDuty 및 CloudWatch에서는 Amazon EC2 인스턴스, Amazon Kinesis 스트림, Amazon ECS 작업, AWS Step Functions 상태 머신, run 명령 및 기본 제공 대상과 같은 대상 유형을 지원합니다

CloudWatch 이벤트 콘솔을 통해 GuardDuty에 대한 CloudWatch 이벤트 규칙 및 대상도 생성할 수 있습니다. 자세한 내용 및 단계는 를 참조하십시오. 생성 CloudWatch 이벤트 이벤트에서 트리거하는 규칙. Event Source 섹션에서 Service name에 대해 GuardDuty를 선택하고 Event Type으로 GuardDuty Finding을 선택합니다.

규칙 및 대상을 만들려면

  1. GuardDuty에서 생성한 모든 조사 결과에 대한 이벤트를 보내도록 CloudWatch를 활성화하는 규칙을 만들려면 다음 CloudWatch CLI 명령을 실행합니다.

    aws events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"]}"

    중요

    GuardDuty에서 생성된 조사 결과의 하위 집합에 대해서만 이벤트를 보내라고 CloudWatch에 지시하도록 규칙을 더 세부적으로 사용자 지정할 수 있습니다. 이 하위 집합은 규칙에서 지정되는 결과 속성 또는 속성을 기반으로 합니다. 예를 들어, 다음 CLI 명령을 사용하여 심각도가 5 또는 8인 GuardDuty 결과에 대해서만 CloudWatch에서 이벤트를 보낼 수 있는 규칙을 생성합니다.

    aws events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"

    이를 위해 JSON에서 사용할 수 있는 속성 값을 GuardDuty 결과에 사용할 수 있습니다.

  2. 1단계에서 만든 규칙에 대한 대상으로 Lambda 함수를 연결하려면 다음 CloudWatch CLI 명령을 실행합니다.

    aws events put-targets --rule Test --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>

    참고

    위의 명령에서 <your_function>을 GuardDuty 이벤트의 실제 Lambda 함수로 바꿔야 합니다.

  3. 대상을 호출하는 데 필요한 권한을 추가하려면 다음 Lambda CLI 명령을 실행합니다.

    aws lambda add-permission --function-name <your_function> --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com

    참고

    위의 명령에서 <your_function>을 GuardDuty 이벤트의 실제 Lambda 함수로 바꿔야 합니다.

    참고

    위의 절차에서는 CloudWatch 이벤트를 트리거하는 규칙의 대상으로 Lambda 함수를 사용합니다. 그런 다음 CloudWatch 이벤트을(를) 트리거하기 위한 대상으로 AWS 리소스를 구성할 수도 있습니다. 자세한 내용은 PutTargets 섹션을 참조하십시오.