게시된 날짜: Jan 20, 2022
Amazon GuardDuty는 연결된 EC2 인스턴스가 실행 중인 계정이 아닌 다른 AWS 계정이 소유한 IP 주소에서 EC2 인스턴스 자격 증명이 API를 호출하는 데 사용될 때 알려주는 새로운 위협 탐지 기능을 도입합니다. 신규 검색 유형은 다음과 같습니다. UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS EC2 인스턴스 자격 증명이 AWS 외부에서 사용될 때 Amazon GuardDuty가 항상 알림을 주는 반면, 이 새로운 위협 탐지 기능은 다른 AWS 계정의 EC2 인스턴스 자격 증명을 사용하여 탐지를 회피하는 악의적인 행위자의 능력을 제한합니다.
기존 Amazon GuardDuty 고객의 경우 AWS CloudTrail에서 캡처된 제어 영역 작업을 모니터링하는 새로운 위협 탐지 기능 사용을 시작하기 위해 별도의 작업을 할 필요가 없습니다. 또한 GuardDuty S3 보호 고객일 경우 새로운 위협 탐지 기능은 EC2 인스턴스 자격 증명이 다른 AWS 계정에서 S3 데이터 영역 작업(예: LISTs/PUTs/GETs)을 호출하기 위해 사용될 때 추가로 알려줍니다. S3 보호는 GuardDuty를 처음 활성화할 때 기본적으로 사용되도록 설정됩니다. 계정과 워크로드를 보호하기 위해 이미 GuardDuty를 사용 중인 경우 그리고 이 기능을 활성화해야 하는 경우에는 GuardDuty 콘솔 또는 API를 통해 S3 보호를 활성화할 수 있습니다.
EC2 인스턴스 자격 증명은 AWS Identity and Access Management(IAM) 역할이 인스턴스에 연결되어 있을 때 EC2 메타데이터 서비스를 통해 인스턴스에서 실행되는 모든 애플리케이션에 사용할 수 있는 임시 자격 증명입니다. 이러한 자격 증명이 손상되면 인스턴스에 연결된 IAM 역할에 정의된 권한을 기반으로 악의적으로 API를 호출하는 데 사용될 수 있습니다. 알림이 생성되면, Amazon GuardDuty 콘솔이나 Finding JSON에서 사용된 자격 증명의 AWS 계정 ID 또한 이제 볼 수 있습니다. 자격 증명이 사용되는 원격 AWS 계정이 사용자의 AWS 계정과 연결되어 있지 않은 경우, 즉 그 계정이 GuardDuty 다계정 설정의 일부가 아닌 경우 결과 심각도가 높을 것입니다. 또는 원격 AWS 계정이 AWS 계정과 연결되어 있다면 결과 심각도는 중간입니다. 또한 GuardDuty는 일반적으로 사용되는 교차 계정 네트워킹 토폴로지를 학습하여 AWS Transit Gateway가 두 개의 AWS 계정 사이의 트래픽을 경로 지정하는 데 사용되는 경우와 같이 예상 사용 사례에 대해 생성되는 결과의 볼륨을 절감합니다.
전 세계에서 사용 가능한 Amazon GuardDuty는 악의적 또는 무단 행동을 지속적으로 모니터링하여 AWS 계정, 액세스 키, EC2 인스턴스, S3에 저장된 데이터를 비롯한 AWS 리소스를 보호하도록 지원합니다. 위협 탐지를 위해 위협 인텔리전스, 기계 학습 및 이상 탐지 기술이 강화된 GuardDuty는 AWS 환경을 보호할 수 있도록 지속적으로 발전하고 있습니다. AWS 관리 콘솔에서 클릭 한 번으로 Amazon GuardDuty의 30일 무료 평가판을 사용할 수 있습니다. 자세히 알아보려면 Amazon GuardDuty 탐지 결과를 살펴보고, 새로운 Amazon GuardDuty 기능 및 위협 탐지에 대한 프로그래밍 방식 업데이트를 수신하려면 Amazon GuardDuty SNS 주제를 구독하세요.