기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty 공격 시퀀스 조사 결과 유형
GuardDuty는 여러 작업의 특정 시퀀스가 잠재적으로 의심스러운 활동과 일치할 때 공격 시퀀스를 감지합니다. 공격 시퀀스에는 API 활동 및 GuardDuty 조사 결과와 같은 신호가 포함됩니다. GuardDuty가 진행 중, 진행 중 또는 최근 보안 위협을 나타내는 특정 시퀀스의 신호 그룹을 관찰하면 GuardDuty는 공격 시퀀스 조사 결과를 생성합니다. GuardDuty는 개별 API 활동을 잠재적 위협으로 보이지 않기 때문에 weak signals로 간주합니다.
공격 시퀀스 탐지는 Amazon S3 데이터의 잠재적 손상(더 광범위한 랜섬웨어 공격의 일부일 수 있음), 보안 AWS 인증 정보 손상, Amazon EKS 클러스터 손상, Amazon ECS 클러스터 손상, Amazon EC2 인스턴스 그룹 손상에 중점을 둡니다. 다음 섹션에서는 각 공격 시퀀스에 대한 세부 정보를 제공합니다.
주제
AttackSequence:EKS/CompromisedCluster
잠재적으로 손상된 Amazon EKS 클러스터에서 수행하는 일련의 의심스러운 작업입니다.
-
기본 심각도: 심각
-
데이터 소스:
이 조사 결과는 GuardDuty가 환경에서 잠재적으로 손상된 Amazon EKS 클러스터를 나타내는 일련의 의심스러운 작업을 탐지했음을 알려줍니다. 악성 프로세스 또는 악성 엔드포인트와의 연결과 같은 여러 의심스럽고 변칙적인 공격 동작이 동일한 Amazon EKS 클러스터에서 관찰되었습니다.
GuardDuty는 독점 상관 알고리즘을 사용하여 IAM 자격 증명을 사용하여 수행되는 작업 순서를 관찰하고 식별합니다. GuardDuty는 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적인 공격 패턴과 새로운 공격 패턴을 식별합니다. GuardDuty는 IP 평판, API 시퀀스, 사용자 구성 및 잠재적으로 영향을 받는 리소스와 같은 여러 요소를 사용하여 위협을 표시합니다.
해결 작업: 환경에서이 동작이 예기치 않은 경우 Amazon EKS 클러스터가 손상될 수 있습니다. 포괄적인 문제 해결 지침은 EKS 보호 조사 결과 해결 및 런타임 모니터링 조사 결과 해결 섹션을 참조하세요.
또한 EKS 클러스터를 통해 AWS 자격 증명이 손상되었을 수 있으므로 섹션을 참조하세요손상되었을 수 있는 AWS 보안 인증 정보 문제 해결. 잠재적으로 영향을 받을 수 있는 다른 리소스를 해결하는 단계는 탐지된 GuardDuty 보안 조사 결과 해결 섹션을 참조하세요.
AttackSequence:ECS/CompromisedCluster
잠재적으로 손상된 Amazon ECS 클러스터에서 수행하는 일련의 의심스러운 작업입니다.
-
기본 심각도: 심각
-
데이터 소스:
이 결과는 GuardDuty가 환경에서 잠재적으로 손상된 Amazon ECS 클러스터를 나타내는 일련의 의심스러운 신호를 감지했음을 알려줍니다. 이러한 신호에는 악성 프로세스, 악성 엔드포인트와의 통신 또는 암호화폐 마이닝 동작이 포함될 수 있습니다.
GuardDuty는 독점 상관 알고리즘과 여러 탐지 요소를 사용하여 Amazon ECS 클러스터 내에서 의심스러운 작업의 시퀀스를 식별합니다. 보호 계획 및 다양한 신호 소스에 대한 분석을 통해 GuardDuty는 일반적인 공격 패턴과 새로운 공격 패턴을 식별하여 잠재적 침해에 대한 높은 신뢰도의 탐지를 제공합니다.
해결 작업: 환경에서이 동작이 예기치 않은 경우 Amazon ECS 클러스터가 손상될 수 있습니다. 위협 억제 권장 사항은 섹션을 참조하세요잠재적으로 손상된 ECS 클러스터 해결. 손상은 AWS 리소스를 생성하거나 수정하는 데 사용되었을 수 있는 하나 이상의 ECS 작업 또는 컨테이너 워크로드로 확장될 수 있습니다. 잠재적으로 영향을 받을 수 있는 리소스에 대한 포괄적인 문제 해결 지침은 섹션을 참조하세요탐지된 GuardDuty 보안 조사 결과 해결.
AttackSequence:EC2/CompromisedInstanceGroup
잠재적으로 손상된 Amazon EC2 인스턴스를 나타내는 일련의 의심스러운 작업입니다.
-
기본 심각도: 심각
-
데이터 소스:
이 결과는 GuardDuty가 환경의 Amazon EC2 인스턴스 그룹에서 잠재적 손상을 암시하는 일련의 의심스러운 행동을 탐지했음을 나타냅니다. 인스턴스 그룹은 일반적으로 infrastructure-as-code 통해 관리되는 애플리케이션을 나타내며 Auto-scaling 그룹, IAM 인스턴스 프로파일 역할, AWS CloudFormation 스택, Amazon EC2 시작 템플릿, AMI 또는 VPC ID와 같은 유사한 구성을 공유합니다. GuardDuty는 다음을 포함하여 하나 이상의 인스턴스에서 여러 의심스러운 동작을 관찰했습니다.
-
악성 프로세스
-
악성 파일
-
의심스러운 네트워크 연결
-
암호화폐 채굴 활동
-
Amazon EC2 인스턴스 자격 증명의 의심스러운 사용
탐지 방법: GuardDuty는 독점 상관 알고리즘을 사용하여 Amazon EC2 인스턴스 내에서 의심스러운 작업 시퀀스를 식별합니다. GuardDuty는 보호 계획 및 다양한 신호 소스에서 조사 결과를 평가하여 IP 및 도메인 평판, 의심스러운 실행 프로세스와 같은 여러 요소를 사용하여 공격 패턴을 식별합니다.
해결 작업: 환경에서이 동작이 예기치 않은 경우 Amazon EC2 인스턴스가 손상될 수 있습니다. 손상에는 다음이 포함될 수 있습니다.
-
여러 프로세스
-
Amazon EC2 인스턴스 또는 기타 AWS 리소스를 수정하는 데 사용되었을 수 있는 인스턴스 자격 증명
위협 억제 권장 사항은 섹션을 참조하세요잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결. 손상은 하나 이상의 Amazon EC2 인스턴스로 확장될 수 있으며 Amazon EC2 인스턴스 또는 기타 AWS 리소스를 생성하거나 수정하는 데 사용되었을 수 있는 손상된 프로세스 또는 인스턴스 자격 증명을 포함할 수 있습니다. 잠재적으로 영향을 받을 수 있는 리소스에 대한 포괄적인 수정 지침은 섹션을 참조하세요탐지된 GuardDuty 보안 조사 결과 해결.
AttackSequence:IAM/CompromisedCredentials
잠재적으로 손상된 AWS 자격 증명을 사용하여 호출된 API 요청의 시퀀스입니다.
-
기본 심각도: 심각
-
데이터 소스: AWS CloudTrail 관리 이벤트
이 조사 결과는 GuardDuty가 환경의 하나 이상의 리소스에 영향을 미치는 AWS 자격 증명을 사용하여 수행된 일련의 의심스러운 작업을 감지했음을 알려줍니다. 동일한 자격 증명에서 의심스럽고 변칙적인 공격 동작이 여러 개 관찰되어 자격 증명이 오용되고 있다는 신뢰도가 높아집니다.
GuardDuty는 독점 상관 알고리즘을 사용하여 IAM 자격 증명을 사용하여 수행되는 작업 순서를 관찰하고 식별합니다. GuardDuty는 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적인 공격 패턴과 새로운 공격 패턴을 식별합니다. GuardDuty는 IP 평판, API 시퀀스, 사용자 구성 및 잠재적으로 영향을 받는 리소스와 같은 여러 요소를 사용하여 위협을 표시합니다.
해결 작업: 환경에서이 동작이 예기치 않은 경우 자격 AWS 증명이 손상되었을 수 있습니다. 문제 해결 단계는 손상되었을 수 있는 AWS 보안 인증 정보 문제 해결 섹션을 참조하세요. 손상된 자격 증명은 사용자 환경에서 Amazon S3 버킷, AWS Lambda 함수 또는 Amazon EC2 인스턴스와 같은 추가 리소스를 생성하거나 수정하는 데 사용되었을 수 있습니다. 잠재적으로 영향을 받을 수 있는 다른 리소스를 해결하는 단계는 탐지된 GuardDuty 보안 조사 결과 해결 섹션을 참조하세요.
AttackSequence:S3/CompromisedData
Amazon S3에서 데이터를 유출하거나 파괴하려는 잠재적 시도로 일련의 API 요청이 호출되었습니다.
-
기본 심각도: 심각
-
데이터 소스: S3에 대한 AWS CloudTrail 데이터 이벤트 및 AWS CloudTrail 관리 이벤트
이 조사 결과는 GuardDuty가 잠재적으로 손상된 AWS 자격 증명을 사용하여 하나 이상의 Amazon Simple Storage Service(Amazon S3) 버킷에서 데이터 손상을 나타내는 일련의 의심스러운 작업을 탐지했음을 알려줍니다. 의심스러운 공격 동작(API 요청)이 여러 번 관찰되어 자격 증명이 오용되고 있다는 신뢰도가 높아집니다.
GuardDuty는 상관 알고리즘을 사용하여 IAM 자격 증명을 사용하여 수행되는 작업 시퀀스를 관찰하고 식별합니다. 그런 다음 GuardDuty는 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적인 공격 패턴과 새로운 공격 패턴을 식별합니다. GuardDuty는 IP 평판, API 시퀀스, 사용자 구성 및 잠재적으로 영향을 받는 리소스와 같은 여러 요소를 사용하여 위협을 표시합니다.
문제 해결 작업: 환경에서이 활동이 예기치 않은 경우 자격 AWS 증명 또는 Amazon S3 데이터가 유출되거나 파괴되었을 수 있습니다. 문제 해결 단계는 손상되었을 수 있는 AWS 보안 인증 정보 문제 해결 및 잠재적으로 손상된 S3 버킷 해결 섹션을 참조하세요.
