GuardDuty 확장 위협 탐지 - Amazon GuardDuty
공격 시퀀스 위협 시나리오 예제확장 위협 탐지 작동 방식위협 탐지를 극대화하기 위한 보호 계획 활성화GuardDuty 콘솔의 확장 위협 탐지공격 시퀀스 조사 결과 이해 및 관리추가 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

GuardDuty 확장 위협 탐지

GuardDuty 확장 위협 탐지는 내에서 데이터 소스, 여러 유형의 AWS 리소스 및 시간에 걸친 다단계 공격을 자동으로 탐지합니다 AWS 계정. 이 기능을 통해 GuardDuty는 다양한 유형의 데이터 소스를 모니터링하여 관찰하는 여러 이벤트 시퀀스에 중점을 둡니다. 확장 위협 탐지는 이러한 이벤트를 상호 연관시켜 AWS 환경에 대한 잠재적 위협으로 보이는 시나리오를 식별한 다음 공격 시퀀스 결과를 생성합니다.

공격 시퀀스 위협 시나리오 예제

확장 위협 탐지는 AWS 자격 증명 오용과 관련된 손상, Amazon S3 버킷의 데이터 손상 시도, Amazon EKS 클러스터의 컨테이너 및 Kubernetes 리소스 손상과 관련된 위협 시나리오를 다룹니다. 단일 조사 결과는 전체 공격 시퀀스를 포함할 수 있습니다. 예를 들어, 다음 목록은 GuardDuty가 감지할 수 있는 시나리오를 설명합니다.

예제 1 - AWS 자격 증명 및 Amazon S3 버킷 데이터 손상

  • 컴퓨팅 워크로드에 무단으로 액세스하는 위협 행위자입니다.

  • 그런 다음 액터는 권한 에스컬레이션 및 지속성 설정과 같은 일련의 작업을 수행합니다.

  • 마지막으로 액터가 Amazon S3 리소스에서 데이터를 유출합니다.

예제 2 - Amazon EKS 클러스터 손상

  • 위협 행위자가 Amazon EKS 클러스터 내에서 컨테이너 애플리케이션을 악용하려고 시도합니다.

  • 액터는 손상된 컨테이너를 사용하여 권한이 있는 서비스 계정 토큰을 가져옵니다.

  • 그런 다음 액터는 이러한 승격된 권한을 활용하여 포드 ID를 통해 민감한 Kubernetes 보안 암호 또는 AWS 리소스에 액세스합니다.

관련 위협 시나리오의 특성으로 인해 GuardDuty는 모두 심각공격 시퀀스 조사 결과 유형하다고 간주합니다.

다음 동영상에서는 확장 위협 탐지를 사용하는 방법을 보여줍니다.

작동 방법

특정의 계정에서 Amazon GuardDuty를 활성화하면 AWS 리전확장 위협 탐지도 기본적으로 활성화됩니다. 확장 위협 탐지 사용과 관련된 추가 비용은 없습니다. 기본적으로 모든에서 이벤트를 상호 연관시킵니다기본 데이터 소스. 그러나 S3 보호, EKS 보호 및 런타임 모니터링과 같은 더 많은 GuardDuty 보호 계획을 활성화하면 이벤트 소스 범위를 넓혀 추가 유형의 공격 시퀀스 탐지가 열립니다. 이는 잠재적으로 보다 포괄적인 위협 분석과 공격 시퀀스의 더 나은 탐지에 도움이 될 수 있습니다. 자세한 내용은 위협 탐지를 극대화하기 위한 보호 계획 활성화 단원을 참조하십시오.

GuardDuty는 API 활동 및 GuardDuty 조사 결과를 포함하여 여러 이벤트의 상관관계를 파악합니다. 이러한 이벤트를 신호라고 합니다. 환경에 자체적으로 명확한 잠재적 위협으로 보이지 않는 이벤트가 있을 수 있습니다. GuardDuty는 이를 한 신호라고 합니다. 확장 위협 탐지를 통해 GuardDuty는 여러 작업의 시퀀스가 잠재적으로 의심스러운 활동에 부합하는 시기를 식별하고 계정에서 공격 시퀀스 결과를 생성합니다. 이러한 여러 작업에는 약한 신호와 계정에서 이미 식별된 GuardDuty 조사 결과가 포함될 수 있습니다.

참고

공격 시퀀스에 대한 이벤트를 상호 연관시킬 때 확장 위협 탐지는 로 인해 자동으로 아카이브되는 결과를 포함하여 아카이브된 결과를 고려하지 않습니다억제 규칙. 이 동작은 활성의 관련 신호만 공격 시퀀스 감지에 기여하도록 합니다. 이로 인해 영향을 받지 않도록 하려면 계정의 기존 금지 규칙을 검토하세요. 자세한 내용은 확장 위협 탐지와 함께 억제 규칙 사용 단원을 참조하십시오.

또한 GuardDuty는 계정에서 진행 중이거나 최근 공격 동작(24시간 롤링 기간 내)을 식별하도록 설계되었습니다. 예를 들어 공격자가 컴퓨팅 워크로드에 의도하지 않은 액세스 권한을 얻으면 공격이 시작될 수 있습니다. 그런 다음 액터는 열거, 권한 에스컬레이션, AWS 자격 증명 유출 등 일련의 단계를 수행합니다. 이러한 자격 증명은 데이터에 대한 추가 침해 또는 악의적인 액세스에 잠재적으로 사용될 수 있습니다.

리전에 있는 모든 GuardDuty 계정의 경우 확장 위협 탐지 기능이 자동으로 활성화됩니다. 기본적으로이 기능은 모든에서 여러 이벤트를 고려합니다기본 데이터 소스. 이 기능을 활용하기 위해 모든 사용 사례 중심 GuardDuty 보호 플랜을 활성화할 필요는 없습니다. 예를 들어 기본 위협 탐지를 통해 GuardDuty는 Amazon S3 APIs에 대한 IAM 권한 검색 활동부터 시작하여 잠재적 공격 시퀀스를 식별하고 버킷 리소스 정책을 더 허용적으로 만드는 변경과 같은 후속 S3 컨트롤 플레인 변경을 탐지할 수 있습니다.

확장 위협 탐지는 더 많은 보호 계획을 활성화하면 GuardDuty가 여러 데이터 소스에서 더 다양한 신호를 상호 연관시키는 데 도움이 되도록 설계되었습니다. 이렇게 하면 포괄적인 위협 분석과 공격 시퀀스의 적용 범위를 위한 보안 신호의 폭이 잠재적으로 향상될 수 있습니다. 공격 시퀀스의 여러 단계 중 하나일 수 있는 결과를 식별하기 위해 GuardDuty는 S3 보호, EKS 보호 및 런타임 모니터링(EKS 추가 기능 사용)과 같은 특정 보호 계획을 활성화할 것을 권장합니다.

Amazon EKS 클러스터에서 공격 시퀀스 감지

GuardDuty는 EKS 감사 로그, 프로세스의 런타임 동작 및 AWS API 활동 전반에 걸쳐 여러 보안 신호를 상호 연관시켜 정교한 공격 패턴을 탐지했습니다. EKS에 대한 확장 위협 탐지의 이점을 활용하려면 EKS 보호 또는 런타임 모니터링(EKS 추가 기능 사용) 기능 중 하나 이상을 활성화해야 합니다. EKS 보호는 감사 로그를 통해 컨트롤 플레인 활동을 모니터링하는 반면 런타임 모니터링은 컨테이너 내의 동작을 관찰합니다.

최대 적용 범위와 포괄적인 위협 탐지를 위해 GuardDuty는 두 보호 계획을 모두 활성화할 것을 권장합니다. 이를 통해 EKS 클러스터의 전체 보기를 생성하여 GuardDuty가 복잡한 공격 패턴을 탐지할 수 있습니다. 예를 들어 권한이 있는 컨테이너의 비정상적인 배포(EKS 보호로 감지됨)를 식별한 다음 해당 컨테이너 내에서 지속성 시도, 암호화 마이닝 및 리버스 쉘 생성(런타임 모니터링으로 감지됨)을 식별할 수 있습니다. GuardDuty는 이러한 관련 이벤트를 라는 단일 중요 심각도 조사 결과로 나타냅니다AttackSequence:EKS/CompromisedCluster. 두 보호 계획을 모두 활성화하면 공격 시퀀스 조사 결과에 다음 위협 시나리오가 포함됩니다.

  • 취약한 웹 애플리케이션을 실행하는 컨테이너의 손상

  • 잘못 구성된 자격 증명을 통한 무단 액세스

  • 권한 에스컬레이션 시도

  • 의심스러운 API 요청

  • 악의적으로 데이터에 액세스하려는 시도

다음 목록은 이러한 전용 보호 계획이 개별적으로 활성화되는 경우의 세부 정보를 제공합니다.

EKS 보호

EKS 보호를 활성화하면 GuardDuty가 Amazon EKS 클러스터 컨트롤 플레인 활동과 관련된 공격 시퀀스를 탐지할 수 있습니다. 이를 통해 GuardDuty는 EKS 감사 로그와 AWS API 활동을 상호 연관시킬 수 있습니다. 예를 들어 GuardDuty는 액터가 클러스터 보안 암호에 대한 무단 액세스를 시도하고, Kubernetes 역할 기반 액세스 제어(RBAC) 권한을 수정하고, 권한이 있는 포드를 생성하는 공격 시퀀스를 탐지할 수 있습니다. 이 보호 계획 활성화에 대한 자세한 내용은 섹션을 참조하세요EKS 보호.

Amazon EKS에 대한 런타임 모니터링

Amazon EKS 클러스터에 대한 런타임 모니터링을 활성화하면 GuardDuty가 컨테이너 수준 가시성으로 EKS 공격 시퀀스 감지를 개선할 수 있습니다. 이를 통해 GuardDuty는 잠재적 악성 프로세스, 의심스러운 런타임 동작 및 잠재적 멀웨어 실행을 탐지할 수 있습니다. 예를 들어 GuardDuty는 컨테이너가 프로세스 암호화 또는 알려진 악성 엔드포인트에 대한 연결 설정과 같은 의심스러운 동작을 보이기 시작하는 공격 시퀀스를 탐지할 수 있습니다. 이 보호 계획 활성화에 대한 자세한 내용은 섹션을 참조하세요런타임 모니터링.

EKS 보호 또는 런타임 모니터링을 활성화하지 않으면 GuardDuty는 개별 EKS 보호 결과 유형 또는를 생성할 수 없습니다런타임 모니터링 결과 유형. 따라서 GuardDuty는 관련 조사 결과와 관련된 다단계 공격 시퀀스를 탐지할 수 없습니다.

Amazon S3 버킷에서 공격 시퀀스 감지

S3 보호를 활성화하면 GuardDuty가 Amazon S3 버킷의 데이터 손상 시도와 관련된 공격 시퀀스를 탐지할 수 있습니다. S3 보호가 없으면 GuardDuty는 S3 버킷 리소스 정책이 과도하게 허용될 때 이를 감지할 수 있습니다. S3 보호를 활성화하면 GuardDuty는 S3 버킷이 지나치게 허용적이 된 후 발생할 수 있는 잠재적 데이터 유출 활동을 감지할 수 있는 기능을 얻게 됩니다.

S3 보호가 활성화되지 않은 경우 GuardDuty는 개별를 생성할 수 없습니다S3 보호 결과 유형. 따라서 GuardDuty는 관련 조사 결과와 관련된 다단계 공격 시퀀스를 탐지할 수 없습니다. 이 보호 계획 활성화에 대한 자세한 내용은 섹션을 참조하세요S3 보호.

GuardDuty 콘솔의 확장 위협 탐지

기본적으로 GuardDuty 콘솔의 확장 위협 탐지 페이지에는 상태가 활성화됨으로 표시됩니다. 기본 위협 탐지를 통해 상태는 GuardDuty가 Amazon S3 APIs에서 IAM 권한 검색 활동과 관련된 잠재적 공격 시퀀스를 탐지하고 후속 S3 컨트롤 플레인 변경을 탐지할 수 있음을 나타냅니다.

다음 단계에 따라 GuardDuty 콘솔의 확장 위협 탐지 페이지에 액세스합니다.

  1. https://console.aws.amazon.com/guardduty/ GuardDuty 콘솔을 열 수 있습니다.

  2. 왼쪽 탐색 창에서 확장 위협 탐지를 선택합니다.

    이 페이지에서는 확장 위협 탐지가 다루는 위협 시나리오에 대한 세부 정보를 제공합니다.

  3. 확장 위협 탐지 페이지에서 관련 보호 계획 섹션을 확인합니다. 계정의 위협 탐지 범위를 개선하기 위해 전용 보호 계획을 활성화하려면 해당 보호 계획에 대한 옵션 구성을 선택합니다.

공격 시퀀스 조사 결과 이해 및 관리

공격 시퀀스 조사 결과는 계정의 다른 GuardDuty 조사 결과와 동일합니다. GuardDuty 콘솔의 결과 페이지에서 볼 수 있습니다. 조사 결과 보기에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 콘솔의 결과 페이지.

다른 GuardDuty 결과와 마찬가지로 공격 시퀀스 결과도 Amazon EventBridge로 자동으로 전송됩니다. 설정에 따라 공격 시퀀스 조사 결과도 게시 대상(Amazon S3 버킷)으로 내보내집니다. 새 게시 대상을 설정하거나 기존 게시 대상을 업데이트하려면 섹션을 참조하세요생성된 조사 결과를 Amazon S3로 내보내기.

추가 리소스

다음 섹션을 보고 공격 시퀀스에 대해 자세히 알아보세요.