GuardDuty 기본 데이터 소스

GuardDuty는 기본 데이터 소스를 사용하여 알려진 악성 도메인 및 IP 주소와의 통신을 탐지하고 잠재적으로 비정상적인 동작 및 무단 활동을 식별합니다. 이러한 소스에서 GuardDuty로 전송되는 동안 모든 로그 데이터는 암호화됩니다. GuardDuty는 프로파일링 및 이상 탐지를 위해 이러한 로그 소스에서 다양한 필드를 추출한 로그를 폐기합니다.

리전에서 GuardDuty를 처음 활성화하면 모든 기본 데이터 소스에 대한 위협 탐지가 포함된 30일 무료 평가판이 제공됩니다. 이 무료 평가판을 사용하는 동안 각 기본 데이터 소스별로 세분화된 예상 월별 사용량을 모니터링할 수 있습니다. 위임된 GuardDuty 관리자 계정에서는 조직에 속해 있고 GuardDuty를 사용 설정한 각 멤버 계정별로 예상 월 사용료를 세분화하여 볼 수 있습니다. 30일 평가판이 종료된 후에는 AWS Billing를 사용하여 사용 비용에 대한 정보를 얻을 수 있습니다.

GuardDuty가 이러한 기본 데이터 소스의 이벤트 및 로그에 액세스할 때 추가 비용은 없습니다.

AWS 계정에서 GuardDuty를 활성화하면 다음 섹션에 설명된 로그 소스를 자동으로 모니터링하기 시작합니다. GuardDuty가 관련 보안 조사 결과를 생성하기 위해 이러한 데이터 소스의 분석 및 처리를 시작하기 위해 다른 기능을 활성화할 필요는 없습니다.

AWS CloudTrail 관리 이벤트

AWS CloudTrail은 AWS Management 콘솔, AWS SDK, 명령줄 도구 및 특정 AWS 서비스를 사용하여 이루어진 API 호출을 포함하여 계정의 AWS API 호출 기록을 제공합니다. 또한 CloudTrail을 사용하면 CloudTrail을 지원하는 서비스에 대해 AWS API를 호출한 사용자 및 계정, 간접 호출이 이루어진 소스 IP 주소, 간접 호출이 이루어진 시간을 식별할 수 있습니다. 자세한 내용은 AWS CloudTrail 사용 설명서에서 AWS CloudTrail란 무엇입니까? 섹션을 참조하세요.

GuardDuty는 컨트롤 플레인 이벤트라고도 하는 CloudTrail 관리 이벤트를 모니터링합니다. 이러한 이벤트를 통해 AWS 계정의 리소스에 대해 수행한 관리 작업을 파악할 수 있습니다.

다음은 GuardDuty가 모니터링하는 CloudTrail 관리 이벤트의 예시입니다.

GuardDuty를 활성화하면 GuardDuty는 독립적 및 중복된 이벤트 스트림을 통해 CloudTrail에서 직접 CloudTrail 관리 이벤트를 사용하기 시작하고 CloudTrail 이벤트 로그를 분석합니다.

GuardDuty는 CloudTrail 이벤트를 관리하거나 기존 CloudTrail 구성에 영향을 미치지 않습니다. 마찬가지로 CloudTrail 구성은 GuardDuty에서 이벤트 로그를 사용 및 처리하는 방식에 영향을 미치지 않습니다. CloudTrail 이벤트의 액세스 및 보존을 관리하려면 CloudTrail 서비스 콘솔 또는 API를 사용하세요. 자세한 내용은 AWS CloudTrail 사용 설명서에서 Viewing events with CloudTrail event history를 참조하세요.

GuardDuty가 AWS CloudTrail 글로벌 이벤트를 처리하는 방법

대부분의 AWS 서비스에서 CloudTrail 이벤트는 이벤트가 생성된 AWS 리전에 기록됩니다. AWS Identity and Access Management(IAM), AWS Security Token Service(AWS STS), Amazon Simple Storage Service(Amazon S3), Amazon CloudFront 및 Amazon Route 53(Route 53)과 같은 글로벌 서비스의 경우 이벤트는 이벤트가 발생한 리전에서만 생성되지만 그 중요도는 글로벌 수준입니다.

GuardDuty가 네트워크 구성 또는 사용자 권한과 같은 보안 가치가 있는 CloudTrail 글로벌 서비스 이벤트(GSE)를 사용하는 경우 GuardDuty를 활성화한 각 리전에서 해당 이벤트를 복제하여 처리합니다. 이 동작은 GuardDuty가 각 리전의 사용자 및 역할 프로파일을 유지하는 데 도움이 되며 이상 이벤트를 탐지하는 데 있어 필수적입니다.

AWS 리전에서 사용 가능한 모든 AWS 계정에서 GuardDuty를 활성화하는 것이 좋습니다. 특정 리전에 리소스가 배포되지 않은 경우에도 GuardDuty를 활성화하면 잠재적 위협으로부터 계정을 보호하는 데 도움이 됩니다. 위협 행위자는 글로벌 서비스(예: IAM, AWS STS 또는 Amazon CloudFront)를 통해 공격을 시작할 수 있습니다. 권한이 없는 리소스를 생성하여 사용자가 제한된 리전을 악용하려고 시도할 수 있습니다. GuardDuty는 기본 리전과 옵트인 리전을 모두 포함하여 서비스를 활성화한 모든 리전에서 글로벌 서비스 이벤트를 처리합니다. 이를 통해 GuardDuty는 리소스를 적극적으로 사용하지 않는 리전을 포함하여 AWS 계정에서 잠재적으로 의심스러운 활동을 탐지할 수 있습니다.

VPC 흐름 로그

Amazon VPC의 VPC 흐름 로그 기능은 AWS 환경 내 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처합니다.

GuardDuty를 활성화하면 계정 내 Amazon EC2 인스턴스의 VPC 흐름 로그 분석이 즉시 시작됩니다. 이때 이 서비스는 독립적이고 중복된 흐름 로그 스트림을 통해 VPC 흐름 로그 기능에서 직접 VPC 흐름 로그 이벤트를 사용합니다. 이 프로세스는 기존 흐름 로그 구성에는 영향을 미치지 않습니다.

GuardDuty는 계정에서 흐름 로그를 관리하거나 액세스할 수 있도록 설정하지 않습니다. 흐름 로그의 액세스 및 보존을 관리하려면 VPC 흐름 로그 기능을 구성해야 합니다.

Route53 확인자 DNS 쿼리 로그

AWS DNS 해석기를 Amazon EC2 인스턴스에 사용하는 경우(기본 설정) GuardDuty는 내부 AWS DNS 해석기를 통해 요청 및 응답 Route53 확인자 DNS 쿼리 로그에 액세스하고 처리할 수 있습니다. 다른 DNS 해석기(예: OpenDNS 또는 GoogleDNS)를 사용하거나 고유의 DNS 해석기를 설정할 경우 GuardDuty는 이 데이터 소스의 데이터에 액세스하여 처리할 수 없습니다.

GuardDuty를 활성화하면 독립적인 데이터 스트림에서 Route53 확인자 DNS 쿼리 로그를 즉시 분석하기 시작합니다. 이 데이터 스트림은 Route 53 해석기 쿼리 로깅 기능을 통해 제공되는 데이터와는 별개입니다. 이 기능의 구성은 GuardDuty 분석에 영향을 미치지 않습니다.