게시된 날짜: May 17, 2019
Amazon GuardDuty에서 2가지 새로운 위협 탐지 항목을 추가했습니다. 이러한 새로운 탐지 항목은 AWS 계정에서 Amazon GuardDuty를 활성화한 고객에게 제공되는 완전관리형 위협 탐지 라이브러리에 추가된 최신 항목으로 이 라이브러리는 지속적으로 증가하고 있습니다. 출시 이후 25개가 추가되어 이제 Amazon GuardDuty에서는 54개의 유효한 탐지 결과 유형을 지원합니다.
새로운 탐지 결과 유형은 다음과 같습니다.
Recon:EC2/PortProbeEMRUnprotectedPort
새로운 Recon:EC2/PortProbeEMRUnprotectedPort 탐지 결과 유형은 Amazon EC2 인스턴스의 EMR과 관련된 민감한 포트가 보안 그룹, 액세스 제어 목록 또는 호스트상 방화벽에 의해 차단되어 있지 않으며 인터넷상의 알려진 스캐너가 이를 활발히 탐색하고 있음을 나타냅니다. 포트 8088(YARM 웹 UI 포트)과 같이 이 탐지 결과를 트리거할 수 있는 포트는 잠재적으로 원격 코드 실행에 사용될 수 있습니다. 이는 높은 심각도 탐지 결과 유형입니다.
PrivilegeEscalation:IAMUser/AdministrativePermissions
이 새로운 PrivilegeEscalation:IAMUser/AdministrativePermissions 탐지 결과 유형은 사용자 또는 역할이 매우 관대한 정책을 자신에게 할당하려고 시도할 때 트리거됩니다. 해당 사용자 또는 역할이 관리 권한을 보유해야 하는 경우가 아니라면 이는 사용자의 자격 증명이 손상되었거나 역할의 권한이 적절히 구성되지 않았음을 나타냅니다. 이는 낮은 심각도 탐지 결과 유형입니다.
이러한 새로운 탐지 결과는 현재 Amazon GuardDuty가 제공되는 모든 리전에서 사용할 수 있습니다. 이 새로운 탐지 결과 유형을 사용하기 위해 어떤 조치도 취할 필요가 없습니다.
일단 활성화되면 Amazon GuardDuty는 AWS 계정 및 액세스 키를 비롯한 AWS 리소스를 보호하기 위해 악의적 또는 무단 행동을 지속적으로 모니터링합니다. GuardDuty는 사용된 적 없는 리전에서 암호 화폐 마이닝 또는 인프라 배포와 같은 비정상적 또는 무단 활동을 식별합니다. 위협이 탐지되면 GuardDuty 보안 탐지 결과가 전달되고, 관찰된 사항과 관련 리소스에 대한 세부 정보가 제공됩니다. 위협 인텔리전스 및 기계 학습을 기반으로 하는 GuardDuty는 AWS 환경을 보호할 수 있도록 지속적으로 발전하고 있습니다.
GuardDuty 콘솔에서 클릭 한 번으로 Amazon GuardDuty의 30일 무료 평가판을 활성화할 수 있습니다. GuardDuty를 사용할 수 있는 전체 리전 목록은 AWS 리전 페이지를 참조하십시오. 자세히 알아보려면 Amazon GuardDuty 결과 섹션을 참조하고 30일 무료 평가판을 시작하려면 Amazon GuardDuty 무료 평가판을 확인하십시오.