게시된 날짜: Jul 6, 2022
Amazon GuardDuty에 Amazon Simple Storage Service(Amazon S3) 버킷에 저장된 데이터에 대한 비정상적인 액세스를 탐지하는 데 매우 효과적인 새로운 기계 학습 기술이 도입되었습니다. 이 새로운 기능은 S3 버킷에 저장된 데이터를 대상으로 하는 매우 의심스러운 사용자 액세스를 좀 더 정확하게 경고하는 확률론적 예측 기술을 통합하여 계정 내에서 S3 데이터 영역 API 호출(예: GET, PUT 및 DELETE)을 연속적으로 모델링합니다. 이에 대한 예로는 비정상적인 지리적 위치에서 발생한 요청이나 데이터 유출 시도와 일맥상통하는 비정상적으로 많은 볼륨의 API 호출을 들 수 있습니다. 새로운 기계 학습 방식은 데이터 검색, 변조 및 유출을 포함하여 알려진 공격 전술과 연관된 악의적인 활동을 보다 정확하게 식별할 수 있습니다. GuardDuty S3 Protection을 활성화한 기존의 모든 Amazon GuardDuty 고객은 추가 비용과 필요한 조치 없이도 새로운 위협 탐지를 사용할 수 있습니다. GuardDuty를 아직 사용하지 않는 경우 서비스를 활성화할 때 S3 Protection이 기본적으로 가동됩니다. GuardDuty를 사용하지만 S3 Protection을 아직 활성화하지 않은 경우 GuardDuty 콘솔에서 클릭 한 번으로 또는 API를 통해 조직 전반에 걸쳐 이 기능을 활성화할 수 있습니다.
이번의 최신 개선 사항에서는 정확도를 높이고, 컨텍스트 데이터를 제공하여 인시던트 조사 및 대응 지원할 수 있도록 GuardDuty의 기존 CloudTrail S3 데이터 영역 기반 비정상 위협 탐지를 업그레이드하였습니다. 이 새로운 위협 탐지에서 생성된 컨텍스트 데이터는 GuardDuty 콘솔과 Amazon EventBridge를 통해 내보낸 결과 JSON 파일에서 볼 수 있습니다. 이러한 컨텍스트 데이터를 활용하면 ‘활동에서 비정상적인 부분은 무엇이었습니까?’, ‘보통 어떤 위치에서 S3 버킷에 액세스합니까?’, ‘사용자가 액세스한 S3 버킷에서 개체를 검색하기 위해 수행하는 일반적인 API 호출 횟수는 어떻게 됩니까?’와 같은 질문에 보다 신속하게 답변할 수 있습니다. 이 기능은 현재 모든 Amazon GuardDuty 지원 리전에서 사용할 수 있습니다. AWS 아시아 태평양(오사카), AWS 아시아 태평양(자카르타), AWS GovCloud(미국 동부), AWS GovCloud(미국 서부), AWS 중국(베이징) 및 AWS 중국(닝샤) 리전은 현재 지원 범위에서 제외되어 있지만 나중에 추가될 예정입니다. 다음과 같은 5개의 새로운 위협 탐지가 추가되었습니다.
- Discovery:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/AnomalousBehavior.Delete
- Exfiltration:S3/AnomalousBehavior
- Impact:S3/AnomalousBehavior.Permission
전 세계에서 사용 가능한 Amazon GuardDuty는 악의적 또는 무단 행동을 지속적으로 모니터링하여 AWS 계정, 액세스 키, EC2 인스턴스, EKS 클러스터, S3에 저장된 데이터를 비롯한 AWS 리소스를 보호하도록 지원합니다. 위협 탐지를 위해 위협 인텔리전스, 기계 학습 및 이상 탐지 기술이 강화된 GuardDuty는 AWS 환경을 보호할 수 있도록 지속적으로 발전하고 있습니다.
AWS 관리 콘솔에서 클릭 한 번으로 Amazon GuardDuty의 30일 무료 평가판을 시작할 수 있습니다. GuardDuty를 사용할 수 있는 전체 리전 목록은 AWS 리전 페이지를 참조하세요. 프로그래밍 방식으로 새로운 GuardDuty 기능 및 위협 탐지에 대한 업데이트를 수신하려면 Amazon GuardDuty SNS 주제를 구독하세요.