아마존이란 GuardDuty 무엇입니까? - 아마존 GuardDuty
의 특징 GuardDutyPCIDSS규정 준수

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존이란 GuardDuty 무엇입니까?

GuardDuty Amazon은 사용자 AWS 환경의 AWS 데이터 소스 및 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다. GuardDuty 악성 IP 주소 및 도메인 목록, 파일 해시, 기계 학습 (ML) 모델 등의 위협 인텔리전스 피드를 사용하여 사용자 환경에서 의심스럽고 잠재적으로 악의적인 활동을 식별합니다. AWS 다음 목록은 탐지에 도움이 될 GuardDuty 수 있는 잠재적 위협 시나리오의 개요를 제공합니다.

  • 도용되거나 유출된 자격 증명. AWS

  • 랜섬웨어 이벤트로 이어질 수 있는 데이터 유출 및 파괴 Amazon Aurora 및 RDS Amazon 데이터베이스의 지원되는 엔진 버전에서 발생하는 비정상적인 로그인 이벤트 패턴은 비정상적인 동작을 나타냅니다.

  • Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스 및 컨테이너 워크로드에서의 무단 크립토마이닝 활동.

  • Amazon EC2 인스턴스 및 컨테이너 워크로드에 멀웨어가 존재하고 Amazon Simple Storage Service (Amazon S3) 버킷에 새로 업로드된 파일이 있습니다.

  • Amazon Elastic Kubernetes Service (Amazon) 클러스터, Amazon Elastic Container Service (Amazon AWS Fargate (Fargate) ) - 작업, EKS Amazon 인스턴스 및 컨테이너 워크로드에서의 무단 동작을 나타내는 운영 체제 수준, EC2 네트워킹 및 파일 이벤트 ECS

내용

의 특징 GuardDuty

다음은 Amazon이 사용자 AWS 환경의 잠재적 위협을 모니터링, 탐지 및 관리하는 데 도움을 줄 GuardDuty 수 있는 몇 가지 주요 방법입니다.

특정 데이터 소스 및 이벤트 로그를 지속적으로 모니터링합니다.

  • 기본 위협 탐지 — 사용하도록 설정하면 해당 GuardDuty 계정과 AWS 계정관련된 기본 데이터 소스의 수집이 GuardDuty 자동으로 시작됩니다. 이러한 데이터 소스에는 AWS CloudTrail 관리 이벤트, VPC 흐름 로그 (Amazon EC2 인스턴스의) 및 DNS 로그가 포함됩니다. 관련 보안 결과를 GuardDuty 생성하기 위해 이러한 데이터 소스의 분석 및 처리를 시작하기 위해 다른 어떤 것도 활성화할 필요가 없습니다. 자세한 내용은 GuardDuty 기본 데이터 소스 단원을 참조하십시오.

  • 사용 사례 중심의 GuardDuty 보호 계획 — AWS 환경 보안에 대한 위협 탐지 가시성을 높이기 위해 사용자가 직접 선택할 수 있는 전용 보호 계획을 GuardDuty 제공합니다. 보호 플랜을 사용하면 다른 AWS 서비스의 로그와 이벤트를 모니터링할 수 있습니다. 이러한 소스에는 EKS 감사 로그, RDS 로그인 활동, Amazon S3 데이터 이벤트 입력 CloudTrail, EBS 볼륨, Amazon, Amazon EKS ECS -Fargate 전반의 런타임 모니터링EC2, Lambda 네트워크 활동 로그가 포함됩니다. GuardDuty이러한 로그 및 이벤트 소스를 Feature라는 용어로 통합합니다. AWS 리전 언제든지 지원되는 서비스에서 하나 이상의 전용 보호 계획을 활성화할 수 있습니다. GuardDuty 활성화한 보호 계획에 따라 활동을 모니터링, 처리 및 분석하기 시작합니다. 각 보호 계획 및 작동 방식에 대한 자세한 내용은 해당 보호 계획 문서를 참조하십시오.

    보호 계획 설명

    S3 프로텍션

    Amazon S3 버킷의 데이터 유출 및 파괴 시도와 같은 잠재적 보안 위험을 식별합니다.

    EKS보호

    EKS감사 로그 모니터링은 Amazon EKS 클러스터의 Kubernetes 감사 로그를 분석하여 잠재적으로 의심스럽고 악의적인 활동을 찾아냅니다.

    Runtime Monitoring

    Amazon, AmazonEC2, EKS Amazon ECS (포함 AWS Fargate) 의 운영 체제 수준 이벤트를 모니터링하고 분석하여 잠재적인 런타임 위협을 탐지합니다.

    멀웨어 보호 대상 EC2

    Amazon EC2 인스턴스와 연결된 Amazon EBS 볼륨을 검사하여 맬웨어의 잠재적 존재를 탐지합니다. 이 기능을 온디맨드로 사용할 수 있는 옵션이 있습니다.

    S3에 대한 맬웨어 방지

    Amazon S3 버킷에 새로 업로드한 객체에서 악성 코드가 존재할 가능성을 탐지합니다.

    RDS보호

    지원되는 Amazon Aurora 및 Amazon 데이터베이스에 대한 잠재적 액세스 위협에 대해 RDS 로그인 활동을 분석하고 프로파일링합니다. RDS

    Lambda 보호

    흐름 로그부터 시작하여 VPC Lambda 네트워크 활동 로그를 모니터링하여 함수에 대한 위협을 탐지합니다. AWS Lambda 이러한 잠재적 위협의 예로는 크립토마이닝, 악성 서버와의 통신 등이 있습니다.
    S3용 멀웨어 보호를 독립적으로 활성화합니다.

    GuardDuty Amazon GuardDuty 서비스를 활성화하지 않고도 S3용 멀웨어 보호를 독립적으로 사용할 수 있는 유연성을 제공합니다. S3용 멀웨어 보호만 시작하는 방법에 대한 자세한 내용은 을 참조하십시오GuardDuty S3용 멀웨어 보호. 다른 모든 보호 플랜을 사용하려면 GuardDuty 서비스를 활성화해야 합니다.

다중 계정 환경 관리

AWS Organizations (권장) 초대 방법 또는 기존 초대 방법을 사용하여 다중 계정 AWS 환경을 관리할 수 있습니다. 자세한 내용은 다중 계정 관리 단원을 참조하십시오.

탐지된 위협에 대한 보안 조사 결과를 생성합니다.

리소스와 관련된 잠재적 보안 위협을 GuardDuty 탐지하면 잠재적으로 손상된 AWS 리소스에 대한 정보를 제공하는 보안 탐지 결과를 생성하기 시작합니다. GuardDuty 계정에서 활성화한 후 계정을 샘플 결과 생성하여 관련 항목을 확인하세요. 결과 세부 정보 보안 조사 결과의 전체 목록은 을 참조하십시오결과 유형.

또한 특정 GuardDuty 보안 결과를 생성하는 테스터 스크립트를 사용하여 탐지 결과를 검토하고 이에 대응하는 방법을 GuardDuty 이해할 수 있습니다. GuardDuty 자세한 내용은 전용 계정의 테스트 GuardDuty 결과 단원을 참조하십시오.

보안 결과 평가 및 관리

GuardDuty 계정 전반의 보안 결과를 통합하고 콘솔의 요약 대시보드에 결과를 표시합니다. GuardDuty AWS Security Hub API AWS Command Line Interface, 또는 AWS SDK 를 통해 결과를 검색할 수도 있습니다. 현재 보안 상태를 전체적으로 파악하여 추세와 잠재적 문제를 파악하고 필요한 수정 조치를 취할 수 있습니다. 자세한 내용은 GuardDuty 조사 결과 관리 단원을 참조하십시오.

관련 AWS 보안 서비스와 통합하십시오.

사용자 AWS 환경의 보안 동향을 분석하고 조사하는 데 도움이 되도록 다음 AWS 보안 관련 서비스를 함께 사용하는 것이 좋습니다. GuardDuty

  • AWS Security Hub— 이 서비스를 통해 AWS 리소스의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례와 비교하여 AWS 환경을 점검할 수 있습니다. 이는 부분적으로 여러 서비스 (Amazon Macie AWS 포함) 및 지원되는 Partner Network () 제품의 보안 결과를 소비, 집계, 구성 및 우선 순위를 지정함으로써 이루어집니다. AWS APN Security Hub를 사용하면 AWS 환경 전반에서 보안 동향을 분석하고 우선 순위가 가장 높은 보안 문제를 식별할 수 있습니다.

    Security GuardDuty Hub를 함께 사용하는 방법에 대한 자세한 내용은 을 참조하십시오통합 GuardDuty : AWS Security Hub. 에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.

  • Amazon Detective — 이 서비스를 사용하면 보안 탐지 결과 또는 의심스러운 활동의 근본 원인을 분석, 조사하고 신속하게 식별할 수 있습니다. Detective는 리소스에서 로그 데이터를 자동으로 수집합니다. AWS 그런 다음 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적으로 보안 조사를 수행할 수 있도록 시각화를 생성합니다. Detective의 사전 구축된 데이터 집계, 요약 및 컨텍스트를 통해 잠재적 보안 문제의 특성과 범위를 분석하고 판단할 수 있습니다.

    GuardDuty Detective와 함께 사용하는 방법에 대한 자세한 내용은 을 참조하십시오. 아마존 GuardDuty 디텍티브와의 통합 Detective에 대해 자세히 알아보려면 Amazon Detective 사용 설명서를 참조하십시오.

  • Amazon EventBridge — 이 서비스를 통해 알림을 받고 거의 실시간으로 GuardDuty 보안 탐지 결과에 응답할 수 있습니다. GuardDuty조사 결과에 변경 사항이 있을 때 이벤트를 생성합니다. 알림을 얼마나 자주 받을지 선택할 수 EventBridge 있습니다. 자세한 내용은 Amazon EventBridge 사용 설명서의 EventBridge Amazon이란 무엇입니까? 를 참조하십시오.

PCIDSS규정 준수

GuardDuty 가맹점 또는 서비스 공급자의 신용 카드 데이터 처리, 저장 및 전송을 지원하며 결제 카드 산업 (PCI) 데이터 보안 표준 () 을 준수하는 것으로 검증되었습니다. DSS AWS PCICompliance Package 사본 요청 방법을 PCI DSS 비롯한 자세한 내용은 PCIDSS레벨 1을 참조하십시오.

자세한 내용은 AWS 보안 블로그의 Amazon과 네트워크 침입 탐지 시스템을 GuardDuty 비교하는 새로운 타사 테스트를 참조하십시오.