[AWS]GuardDuty

GuardDuty - Amazon S3 로그, CloudTrail 관리 이벤트 로그, DNS 로그, Amazon EBS 볼륨, AWS CloudTrail 데이터, 쿠버네티스 감사 로그 및 Amazon VPC 흐름 로그에 대한 데이터 이벤트와 같은 데이터 소스를 분석하고 처리하는 지속적인 보안 모니터링 서비스

• 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예기치 않은, 잠재적으로 무단 및 악의적인 활동을 식별
  • 위협 인텔리전스 피드 - SIEM으로 전송되는 연속적인 스트림의 위협 데이터
    • SIEM(Security Information and Event Management) - 종합적인 보안 보고 및 규제 준수 관리와 함께 신속한 공격 탐지, 차단 및 응답을 위해 보안 위협을 실시간으로 모니터링하는 솔루션

• 결과
  • 검색 결과를 정렬, 저장 및 관리하는 데 도움이 되는 몇 가지 중요한 기능을 제공
    • 결과를 특정 환경에 맞게 조정하고 가치가 낮은 결과의 노이즈를 줄이며 고유한 AWS 환경에 대한 위협에 집중하는 데 도움이 됩니다.
    • 필터를 사용하면 기준에 따라 결과를 그룹화할 수 있으며 억제 규칙을 사용하면 필터 기준과 일치하는 결과를 자동으로 아카이브할 수 있습니다.
      • 필터
        • 필터는 필터 기준에 의해 정의됩니다. 필터 기준은 연결된 값이 있는 필터 속성으로 구성
    • 억제 규칙을 사용하여 조치를 수행하지 않을 반복되는 결과를 숨길 수 있습니다.
      • 억제 규칙
        • 저장된 규칙 메뉴에서 저장된 필터를 로드하거나 필터 기준을 직접 추가한 다음 결과 표시 안 함을 선택하여 기존 필터에서 억제 규칙을 생성
• 사용량
  • GuardDuty 서비스 사용에 대한 예상 비용을 파악할 수 있도록 예상 비용 정보를 제공
  • GuardDuty 콘솔 및 API 작업을 사용하여 월별 비용을 GuardDuty 추정
    • GuardDuty의 비용 모니터링 기능을 사용할 때 추정치가 계산되는 방식을 이해하는 것이 중요
      • GuardDuty 사용량 추정치는 현재 리전에만 적용
      • GuardDuty 사용량 추정치는 지난 7~30일의 사용량을 기준으로 한 평균 일일 비용
• GuardDuty 관리자인 경우 이 페이지에서 모든 멤버 계정에 대한 예상 비용을 볼 수 있습니다.
  • 계정 ID - 계정 또는 GuardDuty 관리자 계정으로 작업하는 경우 멤버 계정의 예상 비용을 나열
  • 데이터 원본 - 다음 GuardDuty 데이터 원본 유형에 대해 지정된 데이터 원본의 예상 비용을 나열
  • S3 버킷 - 지정된 버킷의 S3 데이터 이벤트 예상 비용 또는 사용자 환경의 계정에 가장 비용이 많이 드는 버킷의 예상 비용을 나열

• 맬웨어 스캔
  • 맬웨어(Malware) - 악성 소프트웨어로서, 사용자의 이익을 침해하는 모든 소프트웨어를 포함
  • GuardDuty Malware Protection 스캔의 스캔 상태를 모니터링할 수 있습니다
    • 맬웨어 프로텍션
      • GuardDuty는 맬웨어에 의해 이미 손상된 리소스 또는 위험에 처한 리소스를 식별
        • 맬웨어 보호는 GuardDuty를 지원하여 이 손상의 원인일 수 있는 맬웨어를 탐지
  • GuardDuty Malware Protection 스캔의 스캔 상태를 모니터링할 수 있습니다.
  • 스캔이 완료되면 상태가 완료됨인 스캔의 결과가 채워집니다.
• 맬웨어 보호
  • Amazon EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작을 탐지
  • GuardDuty 멀웨어에 의해 이미 손상된 리소스 또는 위험에 처한 리소스를 식별