[AWS Security] Amazon GuardDuty 입문하기

[AWS Security] Amazon GuardDuty 입문하기

이 글은 학습 정리 목적으로 AWS Skill Builder의 Getting Started with Amazon GuardDuty 코스를 참고하였습니다.

 

학습 목표

• • Amazon GuardDuty의 목적 이해
  • GuardDuty 사용법 확인하세요.
  • GuardDuty 장점 이해
  • GuardDuty 가격 이해

 

Amazon GuardDuty란?

 

Amazon GuardDuty는 특정 AWS 데이터 소스와 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다. GuardDuty는 악성 IP 주소와 도메인 목록과 같은 위협 정보 피드와 기계 학습(ML) 모델을 사용하여 AWS 환경에서 예상치 못한 잠재적 비인가 활동을 식별합니다. 여기에는 다음과 같은 문제가 포함됩니다:

• 권한 상승, 노출된 자격 증명 사용, 악성 IP 주소 및 도메인과의 통신.
• Amazon EC2 인스턴스와 컨테이너 작업에 대한 악성 코드 존재, Amazon S3 버킷에 새로 업로드된 파일.
• 데이터베이스 로그인 이벤트의 비정상적인 패턴 발견.

예를 들어, GuardDuty는 악성 코드를 제공하거나 비트코인을 채굴하는 잠재적으로 손상된 EC2 인스턴스 및 컨테이너 작업을 탐지할 수 있습니다. 또한 비인가된 인프라 배포의 징후, 예를 들어 사용되지 않았던 지역에 인스턴스 배포, 암호 정책을 약화시키려는 비정상적인 API 호출 등과 같은 AWS 계정 접근 행동을 모니터링합니다.

 

 

Amazon GuardDuty 작동 방식

 

 

Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 조사 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다.

 

 

Amazon GuardDuty 가격 정책

 

GuardDuty 가격은 로그, 이벤트 로그, 감사 로그와 같은 분석된 입력 데이터의 양에 따라 결정됩니다. GuardDuty는 스마트 필터를 적용하고 위협 탐지와 관련된 로그의 하위 집합만 분석하여 비용을 최적화합니다. Amazon GuardDuty의 무료 평가판과 서비스 가격에 대해 알아보려면 해당 탭을 선택하세요. 

 

 

Amazon GuardDuty 활용 방안

 

Amazon GuardDuty는 단일 계정에 대한 원클릭 설정이 가능한 관리형 서비스 입니다 . 몇 번의 추가 클릭만으로 AWS Organization 통합을 통해 GuardDuty를 여러 계정에 활성화할 수 있습니다. 

 

GuardDuty가 활성화되면 계정 및 네트워크 활동을 즉시 분석하기 시작합니다. 배포하거나 관리할 추가 센서, 네트워크 어플라이언스 또는 소프트웨어가 없습니다 . 위협 인텔리전스는 서비스에 사전 통합되어 있으며 지속적으로 업데이트되고 유지 관리됩니다.

 

• 고가용성 및 동적 용량

GuardDuty는 AWS 계정, 워크로드 및 Amazon S3에 저장된 데이터 내의 활동 수준에 따라 리소스 활용도를 자동으로 관리 하도록 설계되었습니다 . GuardDuty는 필요한 보안 처리 능력을 유지하면서 비용을 최소화 하기 위해 감지 용량을 자동으로 추가하거나 줄입니다 .

• 종합적인 위협 식별

데이터 소스는 AWS 위협 인텔리전스 또는 파트너 통합과 함께 사용되어 환경에서 알려진 위협을 감지합니다. 또한, 휴리스틱 과 머신 러닝을 사용하여 계정 내에서 API 호출을 지속적으로 모델링하고, 확률적 예측을 통합하여 매우 의심스러운 사용자 동작을 격리하고 경고합니다. 이 접근 방식은 악성 활동을 빠르고 정확하게 식별하는 데 도움이 됩니다.

 

 

 

 

Amazon GuardDuty 사용 사례

GuardDuty는 Amazon CloudWatch와 AWS Lambda와 모두 통합되어 있습니다. 이러한 Amazon 서비스를 사용하면 보안 위협에 대한 대응을 자동화할 수 있습니다. 여기에는 손상된 EC2 인스턴스를 격리하거나 AWS 자격 증명을 무효화하는 것과 같은 간단한 작업을 수행하는 것이 포함됩니다. 이러한 유형의 작업은 위협을 억제하는 데 중요합니다. 거기에서 필요에 따라 추가 조사나 포렌식을 수행할 수 있습니다.

 

GuardDuty는 보안 정보 및 이벤트 관리(SIEM) 시스템이나 사용자 환경에서 이미 사용 중인 다른 보안 기술과도 통합됩니다.

 

 

Amazon CloudWatch Events를 구성하면 Amazon GuardDuty 결과를 감시하고 AWS Lambda 함수를 트리거하여 보안 대응을 자동화할 수 있습니다.

 

 

Amazon GuardDuty 사용 방법

 

이제 GuardDuty로 맬웨어 보호를 활성화할 수 있습니다. 이 기능을 활성화하면 발견 사항이 EC2 인스턴스와 관련된 경우 해당 인스턴스에서 맬웨어 검사를 시작합니다.

 

주황색으로 강조 표시된 맬웨어 보호 기능의 Amazon GuardDuty 설정 페이지입니다 .

 

 

포함 또는 제외 태그를 기준으로 EC2 인스턴스 전반의 맬웨어 검사 옵션을 사용자 정의할 수 있습니다.