Amazon이란 무엇입니까 GuardDuty? - Amazon GuardDuty
의 기능 GuardDutyPCI DSS 규정 준수

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon이란 무엇입니까 GuardDuty?

Amazon GuardDuty 은 AWS 환경의 AWS 데이터 소스 및 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다.는 악성 IP 주소 및 도메인 목록, 파일 해시 및 기계 학습(ML) 모델과 같은 위협 인텔리전스 피드를 GuardDuty 사용하여 AWS 환경에서 의심스럽고 잠재적으로 악의적인 활동을 식별합니다. 다음 목록은 탐지에 도움이 될 GuardDuty 수 있는 잠재적 위협 시나리오에 대한 개요를 제공합니다.

  • 손상되고 유출된 AWS 보안 인증 정보입니다.

  • 랜섬웨어 이벤트로 이어질 수 있는 데이터 유출 및 파괴. 비정상적인 동작을 나타내는 Amazon Aurora 및 Amazon RDS 데이터베이스의 지원되는 엔진 버전에서 비정상적인 로그인 이벤트 패턴입니다.

  • Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스 및 컨테이너 워크로드에서 무단 암호화 활동.

  • Amazon EC2 인스턴스 및 컨테이너 워크로드에 맬웨어가 있고 Amazon Simple Storage Service(Amazon S3) 버킷에 새로 업로드된 파일이 있습니다.

  • Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터, Amazon Elastic Container Service(Amazon ECS) - AWS Fargate 작업, Amazon EC2 인스턴스 및 컨테이너 워크로드에서 무단 동작을 나타내는 운영 체제 수준, 네트워킹 및 파일 이벤트입니다.

다음 비디오에서는가 AWS 환경에서 위협을 탐지하는 데 어떻게 GuardDuty 도움이 되는지에 대한 개요를 제공합니다.

내용

의 기능 GuardDuty

다음은 Amazon이 AWS 환경에서 잠재적 위협을 모니터링, 탐지 및 관리하는 데 GuardDuty 도움이 되는 몇 가지 주요 방법입니다.

특정 데이터 소스 및 이벤트 로그를 지속적으로 모니터링

  • 기본 위협 탐지 - GuardDuty 에서를 GuardDuty 활성화하면는 해당 계정과 연결된 기본 데이터 소스 수집을 AWS 계정자동으로 시작합니다. 이러한 데이터 소스에는 AWS CloudTrail 관리 이벤트, VPC 흐름 로그(Amazon EC2 인스턴스의) 및 DNS 로그가 포함됩니다. 가 관련 보안 조사 결과를 생성하기 GuardDuty 위해 이러한 데이터 소스의 분석 및 처리를 시작하기 위해 다른를 활성화할 필요는 없습니다. 자세한 내용은 GuardDuty 기본 데이터 소스 단원을 참조하십시오.

  • 확장된 위협 탐지 -이 기능은 내에서 기본 데이터 소스, 여러 유형의 AWS 리소스 및 시간에 걸친 다단계 공격을 탐지합니다 AWS 계정. 계정에는 개별적으로 명확한 위협으로 보이지 않는 여러 이벤트가 있을 수 있습니다. 그러나 의심스러운 활동을 GuardDuty 나타내는 시퀀스에서 이러한 이벤트가 관찰되면는 이를 공격 시퀀스로 식별합니다.는 연결된 공격 시퀀스 조사 결과 유형을 생성 GuardDuty 하여 관찰된 공격 시퀀스에 대한 세부 정보를 제공합니다.

    추가 비용 없이 활성화된 각에 대해 확장 위협 탐지가 자동으로 AWS 계정 활성화됩니다 GuardDuty. 이 기능을 사용하면 사용 사례 중심 보호 계획을 활성화할 필요가 없습니다. 그러나 Amazon S3 리소스의 보안 범위를 늘리려면 계정에서 S3 보호를 활성화하는 것이 GuardDuty 좋습니다. 이렇게 하면 확장된 위협 탐지가 Amazon S3 리소스에 잠재적으로 영향을 미칠 수 있는 다단계 공격을 식별하는 데 도움이 됩니다.

    이 기능의 작동 방식과 해당 기능이 다루는 위협 시나리오에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 확장된 위협 탐지.

  • 사용 사례 중심 GuardDuty 보호 계획 - AWS 환경의 보안에 대한 위협 탐지 가시성을 높이기 위해는 활성화하도록 선택할 수 있는 전용 보호 계획을 GuardDuty 제공합니다. 보호 계획은 다른 AWS 서비스의 로그 및 이벤트를 모니터링하는 데 도움이 됩니다. 이러한 소스에는 EKS 감사 로그, RDS 로그인 활동,의 Amazon S3 데이터 이벤트 CloudTrail, EBS 볼륨EKS, Amazon , Amazon EC2, Amazon ECS-Fargate 간의 런타임 모니터링 및 Lambda 네트워크 활동 로그가 포함됩니다. GuardDuty는 이러한 로그 및 이벤트 소스를 - 기능이라는 용어로 통합합니다. AWS 리전 언제든지 지원되는에서 하나 이상의 전용 보호 플랜을 활성화할 수 있습니다. GuardDuty 는 활성화한 보호 플랜에 따라 활동 모니터링, 처리 및 분석을 시작합니다. 각 보호 계획과 그 작동 방식에 대한 자세한 내용은 해당 보호 계획 문서를 참조하세요.

    보호 계획 설명

    S3 보호

    Amazon S3 버킷에서 데이터 유출 및 파괴 시도와 같은 잠재적인 보안 위험을 식별합니다.

    EKS 보호

    EKS Audit Log Monitoring은 Amazon EKS 클러스터의 Kubernetes 감사 로그를 분석하여 잠재적으로 의심스럽거나 악의적인 활동을 확인합니다.

    런타임 모니터링

    Amazon EKS, Amazon 및 EC2AmazonECS( 포함 AWS Fargate)에서 운영 체제 수준 이벤트를 모니터링하고 분석하여 잠재적 런타임 위협을 탐지합니다.

    용 맬웨어 보호 EC2

    Amazon EC2 인스턴스와 연결된 Amazon EBS 볼륨을 스캔하여 맬웨어의 잠재적 존재를 감지합니다. 이 기능을 온디맨드 방식으로 사용할 수 있는 옵션이 있습니다.

    S3에 대한 맬웨어 방지

    Amazon S3 버킷 내에 새로 업로드된 객체에서 멀웨어의 잠재적 존재를 감지합니다.

    RDS 보호

    지원되는 Amazon Aurora 및 Amazon RDS 데이터베이스에 대한 잠재적 액세스 위협에 대해 RDS 로그인 활동을 분석하고 프로파일링합니다.

    Lambda 보호

    VPC 흐름 로그부터 시작하여 Lambda 네트워크 활동 로그를 모니터링하여 함수에 대한 위협을 탐지합니다 AWS Lambda . 이러한 잠재적 위협의 예로는 크립토마이닝과 악성 서버와의 통신이 있습니다.
    S3에 대해 독립적으로 맬웨어 보호 활성화

    GuardDuty 는 Amazon GuardDuty 서비스를 활성화하지 않고도 S3용 맬웨어 보호를 독립적으로 사용할 수 있는 유연성을 제공합니다. S3용 맬웨어 보호만 시작하는 방법에 대한 자세한 내용은 S3용 GuardDuty 맬웨어 보호을 참조하세요. 다른 모든 보호 플랜을 GuardDuty 사용하려면 서비스를 활성화해야 합니다.

다중 계정 환경 관리

AWS Organizations (권장) 또는 레거시 초대 방법을 사용하여 다중 계정 AWS 환경을 관리할 수 있습니다. 자세한 내용은 의 여러 계정 GuardDuty 단원을 참조하십시오.

탐지된 위협에 대한 보안 조사 결과 생성

가 리소스와 AWS 관련된 잠재적 보안 위협을 GuardDuty 탐지하면 잠재적으로 손상된 리소스에 대한 정보를 제공하는 보안 조사 결과를 생성하기 시작합니다. 계정 GuardDuty 에서를 활성화한 후를 생성샘플 결과하여 연결된를 확인합니다결과 세부 정보. 보안 조사 결과의 전체 목록은 GuardDuty 결과 유형을 참조하세요.

를 사용하면 특정 GuardDuty 보안 조사 결과를 생성하는 테스터 스크립트를 사용하여 GuardDuty 조사 결과를 검토하고 대응하는 방법을 이해할 GuardDuty수도 있습니다. 자세한 내용은 전용 계정의 테스트 GuardDuty 결과 단원을 참조하십시오.

보안 조사 결과 평가 및 관리

GuardDuty 는 계정 간에 보안 결과를 통합하고 GuardDuty 콘솔의 요약 대시보드에 결과를 표시합니다. AWS Security Hub API AWS Command Line Interface또는를 통해 결과를 검색할 수도 있습니다 AWS SDK. 현재 보안 상태를 전체적으로 파악하여 추세와 잠재적 문제를 파악하고 필요한 개선 조치를 취할 수 있습니다. 자세한 내용은 GuardDuty 결과 관리 단원을 참조하십시오.

관련 AWS 보안 서비스와 통합

AWS 환경의 보안 추세를 분석하고 조사하는 데 도움이 되도록 다음 AWS 보안 관련 서비스를와 함께 사용하는 것이 좋습니다 GuardDuty.

  • AWS Security Hub -이 서비스는 리소스의 AWS 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례를 기준으로 AWS 환경을 확인하는 데 도움이 됩니다. 이는 여러 AWS 서비스(Amazon Macie 포함) 및 지원되는 AWS 파트너 네트워크(APN) 제품의 보안 조사 결과를 부분적으로 사용, 집계, 구성 및 우선 순위를 지정함으로써 수행됩니다. Security Hub를 사용하면 보안 추세를 분석하고 AWS 환경 전체에서 우선순위가 가장 높은 보안 문제를 식별할 수 있습니다.

    GuardDuty 및 Security Hub를 함께 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요AWS Security Hub와의 GuardDuty 통합. 에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.

  • Amazon Detective - 이 서비스는 사용자가 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 분석 및 조사하고 신속하게 식별하는 데 도움이 됩니다. Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집합니다. 그런 다음 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적으로 보안 조사를 수행할 수 있도록 시각화를 생성합니다. Detective는 미리 구축된 데이터 집계, 요약 및 컨텍스트를 통해 잠재적인 보안 문제의 성격과 범위를 분석하고 판단할 수 있도록 도와줍니다.

    GuardDuty 및 Detective를 함께 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요Amazon Detective와의 GuardDuty 통합. Detective에 대한 자세한 내용은 Amazon Detective 사용 설명서를 참조하세요.

  • Amazon EventBridge -이 서비스는 알림을 수신하고 GuardDuty 보안 결과에 거의 실시간으로 응답하는 데 도움이 됩니다.는 결과에 변경 사항이 있을 때 이벤트를 GuardDuty 생성합니다. 알림을 수신할 빈도를 선택할 수 있습니다 EventBridge. 자세한 내용은 Amazon 사용 설명서의 Amazon이란 무엇입니까 EventBridge?를 참조하세요. EventBridge

PCI DSS 규정 준수

GuardDuty 는 판매자 또는 서비스 공급자가 신용 카드 데이터를 처리, 저장 및 전송하는 것을 지원하며, Payment Card Industry(PCI) 데이터 보안 표준()을 준수하는 것으로 검증되었습니다DSS. 규정 준수 패키지의 사본을 요청하는 방법을 DSS포함하여 PCI에 AWS PCI 대한 자세한 내용은 PCI DSS 레벨 1을 참조하세요.

자세한 내용은 AWS 보안 블로그새로운 타사 테스트에서 Amazon GuardDuty 과 네트워크 침입 탐지 시스템 비교를 참조하세요.