샘플 결과 생성 중GuardDuty - 아마존 GuardDuty
를 통한 샘플 결과 생성GuardDuty콘솔 또는 API커먼 자동 생성GuardDuty발견된 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

샘플 결과 생성 중GuardDuty

Amazon에서 샘플 결과를 생성할 수 있습니다.GuardDuty다음과 같은 다양한 검색 유형을 시각화하고 이해하는 데 도움이 됩니다.GuardDuty생성할 수 있습니다. 샘플 결과를 생성하면 GuardDuty가 현재의 결과 목록에 지원되는 조사 결과 유형별로 샘플 결과를 하나씩 채워 넣습니다.

생성된 샘플은 자리 표시자 값으로 채워진 근사치입니다. 이러한 샘플은 사용자 환경의 실제 결과와 다르게 보일 수 있지만 이러한 샘플을 사용하여 다양한 구성을 테스트할 수 있습니다.GuardDuty, 예:CloudWatch이벤트 또는 필터. 유형을 찾는 데 사용할 수 있는 값 목록은 에 나와 있습니다.유형 찾기표.

시뮬레이션된 활동을 기반으로 몇 가지 일반적인 결과를 환경 내에 생성하려면 다음 커먼 자동 생성GuardDuty발견된 사항 단원을 참조하십시오.

를 통한 샘플 결과 생성GuardDuty콘솔 또는 API

선호하는 액세스 방법을 선택하여 샘플 결과를 생성하십시오.

참고

콘솔 메서드는 각 찾기 유형 중 하나를 생성합니다. 단일 샘플 결과는 API를 통해서만 생성할 수 있습니다.

Console

다음 절차를 수행하여 샘플 조사 결과를 생성합니다. 이 프로세스는 각 샘플에 대해 하나의 샘플 결과를 생성합니다.GuardDuty찾기 유형.

  1. 열기GuardDuty콘솔 아트https://console.aws.amazon.com/guardduty/.

  2. 탐색 창에서 설정(Settings)을 선택합니다.

  3. [Settings] 페이지의 [Sample findings] 아래에서 [Generate sample findings]를 선택합니다.

  4. 탐색 창에서 Findings를 선택합니다. 샘플 결과는 다음 위치에 표시됩니다.현재 조사 결과접두사가 있는 페이지[샘플].

API/CLI

다음 중 하나와 일치하는 단일 표본 결과를 생성할 수 있습니다.GuardDuty를 통해 유형 찾기CreateSampleFindingsAPI, 유형을 찾는 데 사용할 수 있는 값은 다음과 같습니다.유형 찾기표.

이는 테스트에 유용합니다.CloudWatch결과에 기반한 이벤트 규칙 또는 자동화 다음 예제에서는 단일 표본 결과를 생성하는 방법을 보여줍니다.Backdoor:EC2/DenialOfService.Tcp를 사용하여 입력AWS CLI.

나만의 것을 찾을 수 있습니다detectorId현재 지역의 경우설정페이지 내https://console.aws.amazon.com/guardduty/콘솔.

aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp

이러한 방법을 통해 생성된 샘플 결과의 제목은 항상 다음과 같이 시작됩니다.[샘플]콘솔에서. 샘플 결과의 값은 다음과 같습니다."sample": true에서추가 정보JSON 세부 정보 찾기 섹션입니다.

커먼 자동 생성GuardDuty발견된 사항

다음을 사용할 수 있습니다.스크립트몇 가지 공통점을 자동으로 생성합니다.GuardDuty결과. 더가드 듀티 테스터. 템플릿사용AWS CloudFormation배스천 호스트 1개, SSH를 통해 액세스할 수 있는 테스터 Amazon EC2 인스턴스 1개, 대상 EC2 인스턴스 2개가 있는 격리된 환경을 만들려면 그런 다음 실행할 수 있습니다.guardduty_tester.sh테스터 EC2 인스턴스, 대상 Windows EC2 인스턴스 및 대상 Linux EC2 인스턴스 간의 상호 작용을 시작하여 다음과 같은 5가지 유형의 일반적인 공격을 시뮬레이션합니다.GuardDuty생성된 결과를 감지하고 알려줄 수 있습니다.

  1. 사전 요구 사항으로 활성화해야 합니다.GuardDuty실행하려는 계정 및 지역에서가드 듀티 테스터. 템플릿guardduty_tester.sh. GuardDuty 활성화에 대한 자세한 내용은 GuardDuty 시작하기 단원을 참조하십시오.

    또한 이러한 스크립트를 실행하려는 각 지역에서 새 EC2 키 페어를 생성하거나 기존 EC2 키 페어를 사용해야 합니다. 이 EC2 키 페어는 에서 파라미터로 사용됩니다.가드 듀티 테스터. 템플릿새로 만들 때 사용하는 스크립트CloudFormation스택. 키 페어 생성에 대한 자세한 내용은 을 참조하십시오.아마존 EC2 키 페어.

  2. 신규 생성CloudFormation스택 사용가드 듀티 테스터. 템플릿. 스택 생성에 대한 자세한 지침은 을 참조하십시오.스택 생성. guardduty-tester.template을 실행하기 전에 새 스택을 식별할 스택 이름, 스택을 실행할 가용 영역, EC2 인스턴스를 시작하는 데 사용할 수 있는 키 페어와 같은 파라미터의 값으로 수정합니다. 그런 다음 해당 프라이빗 키를 사용하여 SSH를 통해 EC2 인스턴스에 액세스할 수 있습니다.

    가드 듀티 테스터. 템플릿실행 및 완료하는 데 약 10분이 소요됩니다. 환경을 생성하고 guardduty_tester.sh를 테스터 EC2 인스턴스에 복사합니다.

  3. 에서AWS CloudFormation콘솔에서 새 런닝 옆의 체크박스를 선택하세요AWS CloudFormation스택. 표시된 일련의 탭 중에서 출력 탭을 선택합니다. 배스천 호스트와 테스터 EC2 인스턴스에 할당된 IP 주소를 기록합니다. SSH를 통해 테스터 EC2 인스턴스에 액세스하려면 이 두 IP 주소가 모두 필요합니다.

  4. ~/.ssh/config 파일에 다음 항목을 생성하여 배스천 호스트를 통해 인스턴스에 로그인합니다.

    Host bastion
        HostName {Elastic IP Address of Bastion}
        User ec2-user
        IdentityFile ~/.ssh/{your-ssh-key.pem}
Host tester
        ForwardAgent yes
        HostName {Local IP Address of RedTeam Instance}
        User ec2-user
        IdentityFile ~/.ssh/{your-ssh-key.pem}
        ProxyCommand ssh bastion nc %h %p
        ServerAliveInterval 240

    이제 $ ssh tester를 호출하여 대상 EC2 인스턴스에 로그인할 수 있습니다. 배스천 호스트를 통한 EC2 인스턴스 구성 및 연결에 대한 자세한 내용은 을 참조하십시오.https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/.

  5. 테스터 EC2 인스턴스에 연결한 후 실행guardduty_tester.sh테스터와 대상 EC2 인스턴스 간의 상호 작용을 시작하고, 공격을 시뮬레이션하고, 생성하기GuardDuty결과.