Search
D1-01. Amazon GuardDuty
2 min read

D1-01. Amazon GuardDuty

LRTK's Picture
LRTK in Cloud AWS AWS Security

1. Amazon GuardDuty 개요

Amazon GuardDuty는 AWS 계정 및 리소스에 대한 지능형 위협 탐지(Intelligent Threat Discovery)를 제공하여 잠재적인 악성 활동 및 비인가 접근을 식별하는 관리형 보안 서비스입니다. 머신러닝(Machine Learning) 알고리즘, 비정상 행위 탐지(Anomaly Detection), 그리고 통합된 위협 인텔리전스(Threat Intelligence)를 활용하여 광범위한 위협을 식별합니다.

1-2. 특징

  • 원클릭 활성화
    • 단 한 번의 클릭으로 활성화
    • 별도의 소프트웨어 설치나 에이전트 배포 X
  • 30일 평가판: 초기 30일간 무료 평가 기간 제공
  • 지속적인 모니터링: AWS 환경의 다양한 로그 소스를 지속적으로 분석하여 위협 탐지

1-3. 주요 기능

구성 요소 설명
데이터 소스 CloudTrail, VPC Flow Logs, DNS Logs 등 다양한 로그를 수집하여 위협 분석
탐지 메커니즘 머신러닝, 이상 징후 탐지, 서드파티 위협 인텔리전스를 기반으로 동작
알림 시스템 EventBridge, SNS, Lambda 등을 통해 실시간 자동 대응 가능
멀티 계정 지원 AWS Organizations 기반의 위임 관리자 기능으로 전체 계정에 적용 가능
Suppression Rules 불필요하거나 허위 양성인 탐지를 자동 필터링하여 무시 가능
신뢰/위협 IP 목록 신뢰 가능한 IP 또는 알려진 악성 IP에 대해 개별 설정 가능

2. GuardDuty 입력 데이터 소스

2-1. 기본 제공 데이터 소스

1). VPC Flow Logs

네트워크 트래픽 패턴 분석하여 비정상적인 IP 주소와의 통신, 데이터 유출 시도, 무단 액세스 등 이상 트래픽 탐지

2). CloudTrail Event Logs

AWS API 호출 로그 분석하여 계정 내의 비정상적인 활동(예: 비인가된 API 호출, 권한 상승 시도, 계정 설정 변경 등) 식별

  • 관리 이벤트(Management Events)
    • EC2 인스턴스 생성, VPC Subnet 생성 등 계정 리소스 관리와 관련된 활동을 모니터링
  • 데이터 이벤트(Data Events)
    • S3 Protection 활성화 시에만 모니터링
    • S3 객체 접근(Get/List/Delete Object) 등 데이터 평면에서의 활동을 모니터링

3). DNS Logs

EC2 인스턴스의 비정상적인 DNS 쿼리(예: 인코딩된 데이터를 이용한 명령 및 제어(C2) 통신 시도)를 탐지하여 침해된 인스턴스를 식별

2-2. 선택적/확장 데이터 소스

GuardDuty의 기능을 확장하여 더욱 심층적인 모니터링 제공

확장 기능 설명
Amazon EKS 감사 로그 컨테이너 워크로드 내의 위협 및 비정상 활동 탐지
Amazon RDS 및 Aurora 로그인 이벤트 데이터베이스에 대한 비정상적인 로그인 시도 식별
Amazon EBS 볼륨 악성 소프트웨어 또는 비정상적인 접근으로부터 EBS 볼륨 보호
AWS Lambda 네트워크 활동 Lambda 함수에서 발생하는 비정상적인 네트워크 트래픽 모니터링
Amazon S3 데이터 이벤트 S3 버킷에 대한 데이터 접근 패턴의 이상 징후 탐지
EC2 Runtime 모니터링 EC2 인스턴스의 런타임 환경에서 잠재적인 악성 행위 탐지

3. 탐지 및 대응

GuardDuty는 분석된 데이터를 기반으로 위협을 식별하면 Finding 생성
Finding은 AWS 보안 허브(Security Hub) 등 다른 AWS 보안 서비스와 통합되어 중앙 집중식 관리

  • EventBridge 통합: GuardDuty가 Finding을 생성하면, 자동으로 Amazon EventBridge 이벤트 발생
  • 자동화된 대응: EventBridge 규칙을 통해 다양한 자동화된 대응 조치 트리거
    • 알림: Amazon SNS (Simple Notification Service)를 통해 보안 관리자에게 이메일, SMS 등으로 즉시 알림 전송
    • 자동 복구(Automation): AWS Lambda 함수를 트리거하여 탐지된 위협에 대한 자동화된 복구 스크립트(예: 악성 IP 차단, 침해된 인스턴스 격리 등) 실행

You might also like

D1-08. IAM Security Tools
1 min read

D1-08. IAM Security Tools

IAM(Identity and Access Management) 은 AWS 리소스 접근을 인증·인가하는 핵심 서비스로,사용자·그룹·역할·정책을 통해 권한을 제어하고 MFA, Access Key, Role 기반 인증을 지원합니다.

LRTK's Picture
LRTK in Cloud AWS AWS Security
D1-07. AWS Abuse Report
1 min read

D1-07. AWS Abuse Report

AWS Abuse Report는 AWS 리소스의 악용을 신고하거나, 악용 의심 통보를 받을 때 대응하는 절차입니다. AWS Trust & Safety 팀이 이를 관리하며, 신고자는 악용 사례를 보고하고, 수신자는 24시간 이내에 대응해야 합니다.

LRTK's Picture
LRTK in Cloud AWS AWS Security
D1-06. EC2 인스턴스 접근 키, 비밀번호 복구 방법
3 min read

D1-06. EC2 인스턴스 접근 키, 비밀번호 복구 방법

AWS EC2 인스턴스를 운영하다 보면, SSH 키나 Windows 관리자 비밀번호를 분실해 더 이상 접속할 수 없는 상황이 발생할 수 있습니다. 특히 프로덕션 환경에서 이러한 문제가 생기면 서비스 중단으로 이어질 수 있기 때문에, 빠르고 안전한 복구 방법을 아는 것이 매우 중요합니다. 이 글에서는 Linux와 Windows EC2 인스턴스에서 접근 권한을 복구하는 다양한 방법을 정리했습니다.

LRTK's Picture
LRTK in Cloud AWS AWS Security

Recent Posts

D1-08. IAM Security Tools
1 min read

D1-08. IAM Security Tools

LRTK's Picture
LRTK
D1-07. AWS Abuse Report
1 min read

D1-07. AWS Abuse Report

LRTK's Picture
LRTK

Explore Tags

AWS AWS Security Active Directory Active Directory Fundamentals Cloud