[AWS] Amazon GuardDuty

01. Amazon GuardDuty란?

Amazon GuardDuty 서비스는 CloudTrail 관리 이벤트, CloudTrail 이벤트 로그, VPC 흐름 로그 (Amazon EC2 인스턴스의), DNS 로그 등을 분석하고 탐지하는 보안 모니터링 서비스입니다.

 

AWS워크로드를 보호하기 위한 대표적인 지능형 IDS서비스라고 볼 수 있겠으며, 지능형이라고 불리는 이유는 각 로그에 대해서 머신러닝 기반으로 위협을 구분하기 때문이다.

 

물론 모든 IDS가 그렇듯 본 서비스 역시 정탐/오탐이 모두 발생 할 수 있으며, 탐지 결과에 대한 상세 분석이 필요하다. 이를 위한 Detective 서비스가 있다. 또한 탐지 서비스이기 때문에 이후 대응을 위한 추가 작업이 필요하며, Lambda, EventBridge 등의 서비스와 연동하여 자동화 할 수있다.

 

Amazon GuardDuty는 각 리전별로 동작하기 때문에 만약 도쿄리전과 서울리전으로 분리되어 있다면, 각 리전별로 서비스를 활성화 시켜주어야 한다.

 

AWS Security Servies

 

억제 규칙

광범위한 위협에 집중할 수 있도록 하기 위해서 사용자 환경에서 오탐지로 판단된 결과를 숨기고 가치가 낮은 결과의 노이즈를 줄이는 데 사용된다.

 

억제 규칙을 사용하여 결과 범위를 제한할 수 있다.

 

 

02. Amazon GuardDuty 실습

Amazon GuardDuty 링크 : https://ap-northeast-2.console.aws.amazon.com/guardduty/home?region=ap-northeast-2# 

https://ap-northeast-2.console.aws.amazon.com/guardduty/home?region=ap-northeast-2#/

---

- 최초 활성화 시에는 데이터가 없기 때문에 "설정" - "샘플 결과"에서 샘플 결과 작성을 눌러 샘플 데이터를 추가한다.

 

---

- 샘플 데이터 추가 후 "요약" 탭에서 탐지된 결과들을 요약하여 확인할 수 있다.

- 탐지 결과들을 그래프를 비롯하여 필터링된 데이터들을 보여준다.

 

---

- "결과" 탭에서 탐지된 모든 결과를 확인할 수 있으며, 심각도, 유형별로 구분된다. 

(모든 유형 정보는 AWS문서에서 확인 가능 : https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_finding-types-active.html)

 

- 각 결과 리스트는 심각도를 높음-중간-낮음으로 분리하여 우선적으로 분석/대응 할 항목을 따로 분리할 수 있다.

- 결과항목을 클릭하여 각 결과에 대한 상세한 정보(심각도, 리전, 계정정보, 날짜...)를 확인할 수 있다.

 

---

- "맬웨어 스캔"에서 온디맨드 스캔 시작으로 EC2서비스에 대해서 맬웨어를 스캔 및 탐지할 수 있다.

- "새로운 온디맨드 스캔 시작" 에서 EC2의 ARN을 넣어서 사용할 수 있다.

 

---

- "방지 플랜" 탭에서 각 대상 서비스별로 활성/비활성할 수 있으며, 원하지 않는 서비스유형을 비활성하여 비용을 줄일 수도있다. 

 

---

- "설정" - "목록" 탭에서 신뢰할 수 있는 IP목록과 위협 IP 목록을 추가하여 대상 IP를 기준으로 블랙/화이트 리스트를 만들 수 있다. (TXT나 CSV 형식의 파일로 추가할 수 있다.)

 

 

- END -