Amazon GuardDuty의 새로운 사용자 지정 엔터티 목록을 통해 위협 탐지 강화
오늘 AWS는 엔터티 목록을 사용한 Amazon GuardDuty 사용자 정의 위협 탐지의 정식 출시를 발표했습니다. 이 새로운 기능은 원래 지원되던 사용자 지정 IP 목록을 넘어 사용자의 도메인 기반 위협 인텔리전스를 서비스에 통합하도록 지원을 확장하여 GuardDuty의 위협 탐지 기능을 향상시킵니다. 이제 사용자 지정 위협 목록에 정의된 악성 도메인이나 IP 주소를 사용하여 GuardDuty에서 위협을 감지할 수 있습니다. 이 업데이트의 일환으로 GuardDuty는 사용자 지정 위협 목록에 있는 도메인과 관련된 활동이 감지되면 트리거되는 새로운 탐지 유형인 Impact:EC2/MaliciousDomainRequest.Custom을 도입합니다. 또한, 엔터티 목록을 사용하여 신뢰할 수 있는 출처의 알림을 차단하여 위협 탐지 전략을 더욱 효과적으로 제어할 수 있습니다.
엔터티 목록은 이전의 IP 주소 목록에 비해 향상된 유연성을 제공합니다. 이러한 새로운 목록에는 IP 주소, 도메인 또는 둘 다를 포함할 수 있으므로 더욱 포괄적인 위협 인텔리전스 통합이 가능합니다. 기존 IP 목록 형식과 달리 엔터티 목록은 간소화된 권한 관리를 제공하고 여러 AWS 리전의 IAM 정책 크기 제한에 영향을 미치지 않으므로 AWS 환경 전체에서 사용자 정의 위협 탐지를 구현하고 관리하기가 더 쉽습니다.
GuardDuty 사용자 정의 엔터티 목록은 중국 리전과 GovCloud(미국) 리전을 제외한 GuardDuty가 제공되는 모든 AWS 리전에서 사용할 수 있습니다.