Amazon GuardDuty란 무엇인가요? - Amazon GuardDuty
GuardDuty의 기능PCI DSS 준수

Amazon GuardDuty란 무엇인가요?

Amazon GuardDuty는 AWS 환경의 AWS 데이터 소스 및 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다. GuardDuty는 악성 IP 주소 및 도메인 목록, 파일 해시, 머신 러닝(ML) 모델과 같은 위협 인텔리전스 피드를 사용하여 AWS 환경에서 의심스럽고 잠재적으로 악의적인 활동을 식별합니다. 다음 목록은 GuardDuty가 탐지하는 데 도움이 될 수 있는 잠재적 위협 시나리오에 대한 개요를 제공합니다:

  • 손상되고 유출된 AWS 보안 인증 정보입니다.

  • 랜섬웨어 이벤트로 이어질 수 있는 데이터 유출 및 파괴. 지원되는 엔진 버전의 Amazon Aurora 및 Amazon RDS 데이터베이스에서 비정상적인 패턴의 로그인 이벤트가 발생하여 비정상적인 동작을 나타냅니다.

  • Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스 및 컨테이너 워크로드에서 승인되지 않은 크립토마이닝 활동.

  • Amazon EC2 인스턴스 및 컨테이너 워크로드에 멀웨어가 있는지 여부, Amazon S3(Amazon Simple Storage Service) 버킷에 새로 업로드된 파일이 있는지 여부.

  • 운영 체제 수준, 네트워킹, 파일 이벤트는 Amazon EKS(Amazon Elastic Kubernetes Service) 클러스터, Amazon ECS(Amazon Elastic Container Service) - AWS Fargate 작업, Amazon EC2 인스턴스 및 컨테이너 워크로드에서 승인되지 않은 동작을 나타냅니다.

다음 동영상에서는 GuardDuty가 AWS 환경에서 위협을 탐지하는 데 어떻게 도움이 되는지에 대한 개요를 제공합니다.

내용

GuardDuty의 기능

다음은 Amazon GuardDuty가 AWS 환경의 잠재적 위협을 모니터링, 감지 및 관리하는 데 도움이 되는 몇 가지 주요 방법입니다.

특정 데이터 소스 및 이벤트 로그를 지속적으로 모니터링

  • 기본 위협 탐지 - AWS 계정에서 GuardDuty를 활성화하면 GuardDuty는 해당 계정과 연결된 기본 데이터 소스 수집을 자동으로 시작합니다. 이러한 데이터 소스에는 AWS CloudTrail 관리 이벤트, VPC 흐름 로그(Amazon EC2 인스턴스에서) 및 DNS 로그가 포함됩니다. GuardDuty가 관련 보안 결과를 생성하기 위해 이러한 데이터 소스의 분석 및 처리를 시작하기 위해 다른 기능을 활성화할 필요는 없습니다. 자세한 내용은 GuardDuty 기본 데이터 소스 단원을 참조하십시오.

  • 사용 사례 중심 GuardDuty 보호 계획 - AWS 환경의 보안에 대한 위협 탐지 가시성을 높이기 위해 GuardDuty는 활성화하도록 선택할 수 있는 전용 보호 계획을 제공합니다. 보호 계획은 다른 AWS 서비스의 로그 및 이벤트를 모니터링하는 데 도움이 됩니다. 이러한 소스에는 EKS 감사 로그, RDS 로그인 활동, CloudTrail의 Amazon S3 데이터 이벤트, EBS 볼륨, Amazon EKS, Amazon EC2 및 Amazon ECS-Fargate 전반의 런타임 모니터링, Lambda 네트워크 활동 로그가 포함됩니다. GuardDuty는 - 기능이라는 용어로 이러한 로그 및 이벤트 소스를 통합합니다. 언제든지 지원되는 AWS 리전에서 하나 이상의 전용 보호 계획을 활성화할 수 있습니다. GuardDuty는 사용 설정한 보호 계획에 따라 활동을 모니터링, 처리 및 분석하기 시작합니다. 각 보호 계획과 그 작동 방식에 대한 자세한 내용은 해당 보호 계획 문서를 참조하세요.

    보호 계획 설명

    S3 보호

    Amazon S3 버킷에서 데이터 유출 및 파괴 시도와 같은 잠재적인 보안 위험을 식별합니다.

    EKS Protection

    EKS 감사 로그 모니터링은 잠재적으로 의심스럽고 악의적인 활동을 위해 Amazon EKS 클러스터의 Kubernetes 감사 로그를 분석합니다.

    Runtime Monitoring

    Amazon EKS, Amazon EC2 및 Amazon ECS(AWS Fargate 포함)의 운영 체제 수준 이벤트를 모니터링하고 분석하여 잠재적 런타임 위협을 탐지합니다.

    EC2에 대한 맬웨어 방지

    Amazon EC2 인스턴스와 연결된 Amazon EBS 볼륨을 스캔하여 멀웨어의 잠재적 존재를 감지합니다. 이 기능을 온디맨드 방식으로 사용할 수 있는 옵션이 있습니다.

    S3에 대한 맬웨어 방지

    Amazon S3 버킷 내에 새로 업로드된 개체에서 멀웨어의 잠재적 존재를 감지합니다.

    RDS 보호

    지원되는 Amazon Aurora 및 Amazon RDS 데이터베이스에 대한 잠재적인 액세스 위협에 대해 RDS 로그인 활동을 분석하고 프로파일링합니다.

    Lambda 보호

    VPC 흐름 로그부터 시작하여 Lambda 네트워크 활동 로그를 모니터링하여 AWS Lambda 함수에 대한 위협을 탐지합니다. 이러한 잠재적 위협의 예로는 크립토마이닝과 악성 서버와의 통신이 있습니다.
    S3에 대해 독립적으로 맬웨어 보호 활성화

    GuardDuty는 Amazon GuardDuty 서비스를 활성화하지 않고도 S3용 맬웨어 보호를 독립적으로 사용할 수 있는 유연성을 제공합니다. S3용 맬웨어 보호만 시작하는 방법에 대한 자세한 내용은 S3용 GuardDuty 맬웨어 보호을 참조하세요. 다른 모든 보호 요금제를 사용하려면 GuardDuty 서비스를 활성화해야 합니다.

다중 계정 환경 관리

AWS Organizations (권장) 또는 레거시 초대 방법을 사용하여 다중 계정 AWS 환경을 관리할 수 있습니다. 자세한 내용은 GuardDuty의 여러 계정 단원을 참조하십시오.

탐지된 위협에 대한 보안 조사 결과 생성

GuardDuty가 AWS 리소스와 관련된 잠재적 보안 위협을 탐지하면 잠재적으로 손상된 리소스에 대한 정보를 제공하는 보안 조사 결과가 생성되기 시작합니다. 계정에서 GuardDuty를 활성화한 후 샘플 결과를 생성하여 연결된 결과 세부 정보를 확인합니다. 보안 조사 결과의 전체 목록은 GuardDuty 결과 유형을 참조하세요.

GuardDuty를 사용하면 특정 GuardDuty 보안 결과를 생성하는 테스터 스크립트를 사용하여 GuardDuty 결과를 검토하고 이에 대응하는 방법을 이해할 수도 있습니다. 자세한 내용은 전용 계정에서 GuardDuty 결과 테스트 단원을 참조하십시오.

보안 조사 결과 평가 및 관리

GuardDuty는 여러 계정의 보안 결과를 통합하여 GuardDuty 콘솔의 요약 대시보드에 결과를 표시합니다. AWS Security Hub API, AWS Command Line Interface 또는 AWS SDK를 통해서도 검색 결과를 검색할 수 있습니다. 현재 보안 상태를 전체적으로 파악하여 추세와 잠재적 문제를 파악하고 필요한 개선 조치를 취할 수 있습니다. 자세한 내용은 GuardDuty 결과 관리 단원을 참조하십시오.

관련 AWS 보안 서비스와 통합

AWS 환경의 보안 추세를 분석하고 조사하는 데 도움이 되도록 GuardDuty 와 함께 다음 AWS 보안 관련 서비스를 사용하는 것이 좋습니다.

  • AWS Security Hub- 이 서비스에서는 AWS 리소스의 보안 상태를 포괄적으로 파악할 수 있으며 보안 업계 표준 및 모범 사례와 비교하여 AWS 환경을 점검할 수 있도록 도와줍니다. 이는 부분적으로 여러 AWS 서비스 (Amazon Macie 포함) 및 지원되는 AWS 파트너 네트워크(APN) 제품의 보안 조사 결과를 소비, 집계, 구성 및 우선 순위를 지정함으로써 이루어집니다. Security Hub는 보안 추세를 분석하여 AWS 환경 전반의 가장 우선순위가 높은 보안 문제를 파악할 수 있도록 도와줍니다.

    GuardDuty와 Security Hub를 함께 사용하는 방법에 대한 자세한 내용은 AWS Security Hub와의 GuardDuty 통합을 참조하세요. 에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.

  • Amazon Detective - 이 서비스는 사용자가 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 분석 및 조사하고 신속하게 식별하는 데 도움이 됩니다. Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집합니다. 그런 다음 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적으로 보안 조사를 수행할 수 있도록 시각화를 생성합니다. Detective는 미리 구축된 데이터 집계, 요약 및 컨텍스트를 통해 잠재적인 보안 문제의 성격과 범위를 분석하고 판단할 수 있도록 도와줍니다.

    GuardDuty와 Detective를 함께 사용하는 방법에 대한 자세한 내용은 Amazon Detective와의 GuardDuty 통합를 참조하세요. Detective에 대한 자세한 내용은 Amazon Detective 사용 설명서를 참조하세요.

  • Amazon EventBridge - 이 서비스는 알림을 수신하고 거의 실시간으로 GuardDuty 보안 결과에 응답하는 데 도움이 됩니다. GuardDuty는 결과에 변화가 있을 때 이벤트를 생성합니다. 이벤트브리지로부터 알림을 얼마나 자주 받을지 선택할 수 있습니다. 자세한 내용은 Amazon EventBridge 사용 설명서Amazon EventBridge란 섹션을 참조하세요.

PCI DSS 준수

GuardDuty에서는 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원하며, Payment Card Industry(PCI) Data Security Standard(DSS) 준수를 검증받았습니다. AWS PCI 규정 준수 패키지의 사본을 요청하는 방법 등 PCI DSS에 대해 자세히 알아보려면 PCI DSS 레벨 1을 참조하세요.

자세한 내용은 AWS 보안 블로그새로운 타사 테스트에서 Amazon GuardDuty와 네트워크 침입 탐지 시스템 비교를 참조하세요.