게시된 날짜: Oct 16, 2019
Amazon GuardDuty는 3가지 새로운 위협 탐지 기능을 도입했습니다. 2가지 탐지 기능은 Amazon S3와 관련이 있으며 나머지 하나는 DNS 리바인딩을 통한 잠재적 EC2 인스턴스 메타데이터 반출과 관련이 있습니다.
첫 번째 S3 관련 탐지인 Policy:IAMUser/S3BlockPublicAccessDisabled는 AWS 계정(또는 다중 계정 구성으로 구성된 경우 계정)의 S3 버킷에 대해 S3 퍼블릭 액세스 차단이 비활성화되었음을 알려줍니다. S3 퍼블릭 액세스 차단은 버킷에 적용된 정책 또는 ACL을 필터링하여 실수로 데이터가 노출되는 것을 방지합니다. 이 탐지는 잘못 구성되었거나 악의적인 활동을 나타내는 것일 수 있습니다. 이 위협 탐지에서 생성된 결과가 버킷 또는 객체를 공개적으로 공유한다는 의미는 아니지만 버킷에 적용된 정책 및 ACL을 감사하여 적절한 권한이 있는지 확인해야 합니다. 두 번째 S3 관련 탐지인 Stealth:IAMUser/S3ServerAccessLoggingDisabled는 이전에 Amazon S3 서버 액세스 로깅이 활성화된 버킷에 대해 이를 비활성화하도록 변경했음을 알려줍니다. Amazon S3 서버 액세스 로깅이 비활성화되면 잘못된 구성 또는 악의적인 활동을 나타내는 것일 수 있으므로 조사해야 합니다. 이 두 결과에 대한 심각도는 낮습니다.
세 번째 새로운 위협 탐지인 UnauthorizedAccess:EC2/MetaDataDNSRebind는 AWS 환경의 EC2 인스턴스가 EC2 메타데이터 IP 주소로 확인되는 도메인을 쿼리하고 있음을 알려줍니다. 이러한 종류의 DNS 쿼리는 EC2 인스턴스에서 인스턴스와 관련된 IAM 자격 증명을 비롯한 메타데이터를 가져오기 위해 DNS 리바인딩을 수행하려는 시도를 나타낼 수 있습니다. DNS 리바인딩은 EC2 인스턴스에서 실행되는 웹 브라우저의 URL에 액세스하는 사용자 또는 EC2 인스턴스에서 실행되는 애플리케이션의 취약성을 이용합니다. 이 결과의 심각도는 높습니다.
이러한 새로운 탐지 결과는 현재 Amazon GuardDuty가 제공되는 모든 리전에서 사용할 수 있습니다. 이 새로운 탐지 결과 유형을 사용하기 위해 어떤 조치도 취할 필요가 없습니다.
전 세계에서 사용 가능한 Amazon GuardDuty는 악의적 또는 무단 행동을 지속적으로 모니터링하여 AWS 계정 및 액세스 키를 비롯한 AWS 리소스를 보호하도록 지원합니다. GuardDuty는 사용된 적 없는 리전에서 암호 화폐 마이닝 또는 인프라 배포와 같은 비정상적 또는 무단 활동을 식별합니다. 위협 인텔리전스 및 기계 학습을 지원하는 GuardDuty는 AWS 환경을 보호할 수 있도록 지속적으로 발전하고 있습니다.
AWS Management Console에서 클릭 한 번으로 Amazon GuardDuty의 30일 무료 평가판을 활성화할 수 있습니다. GuardDuty를 사용할 수 있는 전체 리전 목록은 AWS 리전 페이지를 참조하십시오. 자세히 알아보려면 Amazon GuardDuty 결과 섹션을 참조하고 30일 무료 평가판을 시작하려면 Amazon GuardDuty 무료 평가판을 확인하십시오.