에서 샘플 결과 생성 GuardDuty - 아마존 GuardDuty
GuardDuty 콘솔 또는 API를 통해 샘플 결과 생성일반적인 GuardDuty 결과 자동 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 샘플 결과 생성 GuardDuty

Amazon에서 샘플 결과를 생성하면 생성할 GuardDuty 수 있는 다양한 검색 결과를 시각화하고 이해하는 GuardDuty 데 도움이 됩니다. 샘플 검색 결과를 생성할 때 현재 검색 결과 목록을 지원되는 각 검색 결과 유형별로 하나의 샘플 검색 결과로 GuardDuty 채웁니다.

생성된 샘플은 자리표시자 값으로 채워진 근삿값입니다. 이러한 샘플은 사용자 환경의 실제 결과와 다르게 보일 수 있지만 이를 사용하여 CloudWatch 이벤트 또는 필터와 같은 다양한 구성을 테스트할 수 있습니다. GuardDuty 결과 유형에 대해 제공되는 값의 목록은 결과 유형 표에 나열되어 있습니다.

시뮬레이션된 활동을 기반으로 몇 가지 일반적인 결과를 환경 내에 생성하려면 다음 일반적인 GuardDuty 결과 자동 생성 단원을 참조하십시오.

GuardDuty 콘솔 또는 API를 통해 샘플 결과 생성

선호하는 액세스 방법을 선택하여 샘플 결과를 생성합니다.

참고

콘솔 방법은 각 결과 유형 중 하나를 생성합니다. 단일 샘플 결과는 API를 통해서만 생성할 수 있습니다.

Console

다음 절차를 수행하여 샘플 조사 결과를 생성합니다. 이 프로세스는 각 검색 유형에 대해 하나의 샘플 GuardDuty 검색 결과를 생성합니다.

  1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. [Settings] 페이지의 [Sample findings] 아래에서 [Generate sample findings]를 선택합니다.

  4. 탐색 창에서 결과를 선택합니다. 샘플 결과는 현재 결과 페이지에 접두사 [SAMPLE]과 함께 표시됩니다.

API/CLI

CreateSampleFindingsAPI를 통해 모든 검색 유형과 일치하는 단일 샘플 GuardDuty 검색 결과를 생성할 수 있습니다. 검색 유형에 사용할 수 있는 값은 결과 유형 표에 나열되어 있습니다.

이는 CloudWatch 이벤트 규칙을 테스트하거나 결과를 기반으로 자동화하는 데 유용합니다. 다음 예시에서는 AWS CLI를 사용하여 Backdoor:EC2/DenialOfService.Tcp 유형에 대한 단일 샘플 결과를 만드는 방법을 보여줍니다.

계정과 현재 지역에 detectorId 맞는 계정을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.

aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp

이러한 방법을 통해 생성된 샘플 결과의 제목은 콘솔에서 항상 [SAMPLE]로 시작합니다. 샘플 결과의 경우 결과 JSON 세부 정보의 additionalInfo 섹션에 "sample": true 값이 있습니다.

일반적인 GuardDuty 결과 자동 생성

다음 스크립트를 사용하여 몇 가지 일반적인 GuardDuty 결과를 자동으로 생성할 수 있습니다. guardduty-tester.template은 배스천 호스트, AWS CloudFormation SSH를 통해 액세스할 수 있는 테스터 Amazon EC2 인스턴스, 두 개의 대상 EC2 인스턴스가 있는 격리된 환경을 만드는 데 사용합니다. 그런 다음 guardduty_tester.sh 를 실행하여 테스터 EC2 인스턴스, 대상 Windows EC2 인스턴스 및 대상 Linux EC2 인스턴스 간의 상호 작용을 시작하여 다섯 가지 유형의 일반적인 공격을 시뮬레이션하여 탐지하고 생성된 결과를 통해 알려줄 수 있습니다. GuardDuty

  1. 사전 요구 사항으로 guardduty-tester.template 및 guardduty_tester.sh 를 실행하려는 계정 및 GuardDuty 지역에서 활성화해야 합니다. GuardDuty시작하기 GuardDuty활성화에 대한 자세한 내용은 을 참조하십시오.

    또한 이러한 스크립트를 실행할 각 리전에서 새 EC2 키 페어를 생성하거나 기존 EC2 키 페어를 사용해야 합니다. 이 EC2 키 페어는 새 스택을 생성하는 데 사용하는 guardduty-tester.template 스크립트에서 파라미터로 사용됩니다. CloudFormation 키 페어 생성에 대한 자세한 내용은 Amazon EC2 키 페어를 참조하세요.

  2. guardduty-tester.template을 사용하여 새 스택을 생성합니다. CloudFormation 스택 생성에 대한 자세한 지침은 스택 생성을 참조하세요. guardduty-tester.template을 실행하기 전에 새 스택을 식별할 스택 이름, 스택을 실행할 가용 영역, EC2 인스턴스를 시작하는 데 사용할 수 있는 키 페어와 같은 파라미터의 값으로 수정합니다. 그런 다음 해당 프라이빗 키를 사용하여 SSH를 통해 EC2 인스턴스에 액세스할 수 있습니다.

    guardduty-tester.template은 실행 및 완료하는 데 약 10분이 걸립니다. 환경을 생성하고 guardduty_tester.sh를 테스터 EC2 인스턴스에 복사합니다.

  3. AWS CloudFormation 콘솔에서 새 실행 스택 옆의 체크박스를 선택합니다. AWS CloudFormation 표시된 일련의 탭 중에서 출력 탭을 선택합니다. Bastion Host와 테스터 EC2 인스턴스에 할당된 IP 주소를 기록합니다. SSH를 통해 테스터 EC2 인스턴스에 액세스하려면 이러한 IP 주소가 모두 필요합니다.

  4. ~/.ssh/config 파일에 다음 항목을 생성하여 Bastion Host를 통해 인스턴스에 로그인합니다.

    Host bastion
        HostName {Elastic IP Address of Bastion}
        User ec2-user
        IdentityFile ~/.ssh/{your-ssh-key.pem}
Host tester
        ForwardAgent yes
        HostName {Local IP Address of RedTeam Instance}
        User ec2-user
        IdentityFile ~/.ssh/{your-ssh-key.pem}
        ProxyCommand ssh bastion nc %h %p
        ServerAliveInterval 240

    이제 $ ssh tester를 호출하여 대상 EC2 인스턴스에 로그인할 수 있습니다. 배스천 호스트를 통한 EC2 인스턴스 구성 및 연결에 대한 자세한 내용은 https://aws.amazon.com/blogs/security/ securely-connect-to-linux - - instances-running-in-a /를 참조하십시오. private-amazon-vpc

  5. 테스터 EC2 인스턴스에 연결한 후 guardduty_tester.sh 를 실행하여 테스터와 대상 EC2 인스턴스 간의 상호 작용을 시작하고, 공격을 시뮬레이션하고, 결과를 생성합니다. GuardDuty