[AWS] Amazon GuardDuty

안녕하세요. 비티시보이즈입니다.

 

오늘 주제는 Amazon GuardDuty입니다.

 

---

 

Amazon GuardDuty란??

- Amazon GuardDuty는 AWS CloudTrail 관리 이벤트, AWS CloudTrail 이벤트 로그, (Amazon EC2 인스턴스에서의) VPC 흐름 로그, DNS 로그 등 기본 데이터 소스를 분석 및 처리하는 보안 모니터링 서비스입니다.

 

- Kubernetes 감사 로그, RDS 로그인 활동, S3 로그, EBS 볼륨, 런타임 모니터링 및 Lambda 네트워크 활동 로그 등을 처리.

 

- 악성 IP 주소 및 도메인 목록 등 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경에서 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냄.

 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용, 악의적인 IP 주소, 도메인과의 통신, Amazon EC2 인스턴스 및 컨테이너 워크로드에 존재하는 맬웨어 또는 데이터베이스에서 비정상적인 로그인 이벤트 패턴 발견 같은 문제가 포함될 수 있습니다.

 

- 맬웨어에 서비스를 제공하거나 비트코인을 채굴하는 손상된 EC2 인스턴스 또는 컨테이너 워크로드 탐지 가능.

 

- 사용한 적이 없는 리전에 배포된 인스턴스 등 무단 인프라 배포나 암호 강도를 오히려 낮추는 암호 정책 등 비정상적인 API 호출과 같이 AWS 계정의 액세스 활동에 침해의 징후가 보이는지도 모니터링.

 

 

요약하면, 실시간으로 보안 위협을 탐지하고 실행 가능한 통찰력을 제공하여 AWS 환경의 전반적인 보안을 강화하는 역할의 서비스입니다.

 

 

Amazon GuardDuty 주요 기능

1. 위협 탐지

: GuardDuty는 AWS 환경 내에서 API 호출, 잠재적으로 침해된 인스턴스, 알려진 악성 IP 주소와의 통신 등 다양한 보안 문제를 탐지합니다.

2. 이상 징후 탐지

: 서비스는 AWS 환경의 정상적인 동작을 기준으로 설정하고, 이에 대한 기계 학습 알고리즘을 사용하여 기준에서 벗어난 행위를 감지합니다.

3. 통합된 위협 인텔리전스

: GuardDuty는 AWS의 내부 소스, 제3자 소스, 그리고 공개된 소스로부터의 위협 인텔리전스 피드를 통합하여 알려진 악성 엔터티와 패턴을 인식하는 데 사용합니다.

4. 집중화된 보고서

: 보안 이슈와 경보는 집중화되어 AWS 관리 콘솔에서 확인할 수 있으며, 여러 AWS 계정에서의 잠재적인 보안 문제를 한눈에 볼 수 있습니다.

5. 자동 대응

: 특정 이슈에 대한 자동 대응을 수행하기 위해 AWS Lambda 함수를 사용할 수 있습니다.

 

 

 

이상으로 Amazon GuardDuty에 대한 포스팅을 마치겠습니다.

감사합니다.