1. Amazon GuardDuty 개요

Amazon GuardDuty는 AWS 계정 및 리소스에 대한 지능형 위협 탐지(Intelligent Threat Discovery)를 제공하여 잠재적인 악성 활동 및 비인가 접근을 식별하는 관리형 보안 서비스입니다. 머신러닝(Machine Learning) 알고리즘, 비정상 행위 탐지(Anomaly Detection), 그리고 통합된 위협 인텔리전스(Threat Intelligence)를 활용하여 광범위한 위협을 식별합니다.

1-2. 특징

• 원클릭 활성화
  • 단 한 번의 클릭으로 활성화
  • 별도의 소프트웨어 설치나 에이전트 배포 X
• 30일 평가판: 초기 30일간 무료 평가 기간 제공
• 지속적인 모니터링: AWS 환경의 다양한 로그 소스를 지속적으로 분석하여 위협 탐지

1-3. 주요 기능

2. GuardDuty 입력 데이터 소스

2-1. 기본 제공 데이터 소스

1). VPC Flow Logs

네트워크 트래픽 패턴 분석하여 비정상적인 IP 주소와의 통신, 데이터 유출 시도, 무단 액세스 등 이상 트래픽 탐지

2). CloudTrail Event Logs

AWS API 호출 로그 분석하여 계정 내의 비정상적인 활동(예: 비인가된 API 호출, 권한 상승 시도, 계정 설정 변경 등) 식별

• 관리 이벤트(Management Events)
  • EC2 인스턴스 생성, VPC Subnet 생성 등 계정 리소스 관리와 관련된 활동을 모니터링
• 데이터 이벤트(Data Events)
  • S3 Protection 활성화 시에만 모니터링
  • S3 객체 접근(Get/List/Delete Object) 등 데이터 평면에서의 활동을 모니터링

3). DNS Logs

EC2 인스턴스의 비정상적인 DNS 쿼리(예: 인코딩된 데이터를 이용한 명령 및 제어(C2) 통신 시도)를 탐지하여 침해된 인스턴스를 식별

2-2. 선택적/확장 데이터 소스

GuardDuty의 기능을 확장하여 더욱 심층적인 모니터링 제공

3. 탐지 및 대응

GuardDuty는 분석된 데이터를 기반으로 위협을 식별하면 Finding 생성
Finding은 AWS 보안 허브(Security Hub) 등 다른 AWS 보안 서비스와 통합되어 중앙 집중식 관리

• EventBridge 통합: GuardDuty가 Finding을 생성하면, 자동으로 Amazon EventBridge 이벤트 발생
• 자동화된 대응: EventBridge 규칙을 통해 다양한 자동화된 대응 조치 트리거
  • 알림: Amazon SNS (Simple Notification Service)를 통해 보안 관리자에게 이메일, SMS 등으로 즉시 알림 전송
  • 자동 복구(Automation): AWS Lambda 함수를 트리거하여 탐지된 위협에 대한 자동화된 복구 스크립트(예: 악성 IP 차단, 침해된 인스턴스 격리 등) 실행