서비스 개요

Q: Amazon GuardDuty란 무엇입니까?

Amazon GuardDuty는 AWS 계정과 워크로드를 지속적으로 모니터링하고 보호할 할 수 있는 위협 탐지 서비스를 제공합니다. GuardDuty는 AWS CloudTrail 이벤트, Amazon VPC 흐름 로그 및 DNS 로그에 있는 계정 및 네트워크 활동에서 생성된 지속적인 메타데이터 스트림을 분석합니다. 또한, 알려진 악의적 IP 주소, 이상 항목 탐지, 기계 학습과 같은 통합 위협 인텔리전스를 사용해 위협을 좀 더 정확하게 식별합니다.

Q: Amazon GuardDuty의 주요 이점은 무엇입니까?

Amazon GuardDuty를 사용하면 AWS 계정과 워크로드를 지속적으로 모니터링할 수 있습니다. 리소스와는 완전히 독립적으로 운영되므로 워크로드의 성능이나 가용성에 영향을 줄 위험이 전혀 없습니다. 통합 위협 인텔리전스, 이상 항목 탐지 및 기계 학습을 통한 완전관리형 서비스입니다. Amazon GuardDuty는 기존 이벤트 관리 및 워크플로 시스템과 손쉽게 통합되는 상세하고 실행 가능한 알림을 제공합니다. 선결제 비용이 없고 추가로 소프트웨어를 배포하거나 위협 인텔리전스 피드를 구독할 필요가 없으며 분석한 이벤트에 대해서만 비용을 지불하면 됩니다.

Q: Amazon GuardDuty의 비용은 얼마입니까?

Amazon GuardDuty는 두 가지 차원에서 요금이 책정됩니다. 차원은 분석된 AWS CloudTrail 이벤트의 수(이벤트 1백만 개당)와 분석된 Amazon VPC 흐름 로그 및 DNS 로그의 볼륨(GB당)을 기준으로 합니다.

  • AWS CloudTrail 이벤트 분석 – GuardDuty는 AWS CloudTrail 관리 이벤트를 지속적으로 분석하여 AWS 계정과 인프라에 대한 모든 액세스 및 동작을 모니터링합니다. CloudTrail 이벤트 분석 요금은 월별로 이벤트 1백만 개당 부과되며 비례 할당으로 계산됩니다.
  • VPC 흐름 로그 및 DNS 로그 분석 – GuardDuty는 VPC 흐름 로그 및 DNS 요청과 응답을 지속적으로 분석하여 Amazon EC2 인스턴스에서 악의적, 무단 또는 예기치 않은 동작을 파악합니다. 흐름 로그 및 DNS 로그 분석 요금은 월별 기가바이트(GB)당 부과됩니다. 흐름 로그 및 DNS 로그 분석에는 계층화된 볼륨 할인이 제공됩니다.

선결제 금액이 없고 분석된 데이터에 대해서만 비용을 지불하면 됩니다.

세부 정보와 요금 예제는 Amazon GuardDuty 요금 페이지를 참조하십시오.

Q: 무료 평가판이 있습니까?

예. Amazon GuardDuty를 처음 사용하는 계정은 30일 동안 무료로 서비스를 사용해 볼 수 있습니다. 무료 평가판에서는 모든 기능 세트와 탐지 서비스에 액세스할 수 있습니다. GuardDuty는 계정에서 처리된 데이터 볼륨과 일일 평균 서비스 예상 요금을 보여줍니다. 따라서 무료로 Amazon GuardDuty를 사용하면서 무료 평가판 이후에 서비스 요금을 예측해 볼 수 있습니다.

Q: Amazon GuardDuty와 Amazon Macie의 차이점은 무엇입니까?

Amazon GuardDuty는 공격자 정찰, 인스턴스 침해 및 계정 침해와 같은 위협을 파악하도록 지원하여 AWS 계정, 워크로드 및 데이터에 대한 광범위한 보호를 제공합니다. Amazon Macie는 보유한 데이터, 해당 데이터가 비즈니스에 제공하는 가치, 그리고 해당 데이터에 대한 액세스와 관련된 동작을 분류하도록 지원하여 Amazon S3에 있는 데이터를 보호합니다. 두 서비스 모두 사용자 활동 분석, 기계 학습 및 이상 항목 탐지를 통합하여 해당 카테고리의 위협을 탐지합니다.

Q: Amazon GuardDuty는 리전별 서비스입니까 아니면 글로벌 서비스입니까?

Amazon GuardDuty는 리전별 서비스입니다. 여러 계정이 활성화되고 여러 리전이 사용되더라도 Amazon GuardDuty 보안 탐지 결과는 해당 데이터가 생성된 리전과 동일한 리전에 유지됩니다. 따라서 분석된 모든 데이터가 리전을 기반으로 하고 AWS 리전 경계를 벗어나지 않습니다. 고객은 AWS CloudWatch 이벤트를 사용하여 탐지 결과를 Amazon S3와 같이 고객이 제어하는 데이터 스토어로 푸시한 후 적합하다고 생각되는 탐지 결과를 집계함으로써 리전 전체에서 Amazon GuardDuty가 생성한 보안 탐지 결과를 집계하도록 선택할 수 있습니다.

Q: 어떤 리전에서 Amazon GuardDuty를 지원합니까?

Amazon GuardDuty의 리전별 가용성은 AWS 리전 표에 나열되어 있습니다.

Q: 어떤 파트너가 Amazon GuardDuty를 사용합니까?

많은 기술 파트너가 Amazon GuardDuty를 통합하고 이를 기반으로 구축했습니다. 또한, GuardDuty를 전문적으로 다루는 컨설팅, 시스템 통합 사업자 및 관리형 보안 서비스 공급자도 있습니다. Amazon GuardDuty 파트너 페이지를 참조하십시오.

GuardDuty 활성화

Q: Amazon GuardDuty를 활성화하려면 어떻게 해야 합니까?

Amazon GuardDuty는 AWS Management console에서 클릭 몇 번으로 활성화할 수 있습니다. 활성화되면, 즉시 GuardDuty가 거의 실시간 및 대규모로 계정과 네트워크 활동의 지속적 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.  

Q: Amazon GuardDuty로 여러 계정을 관리할 수 있습니까?

예. Amazon GuardDuty에는 다중 계정 기능이 있어 단일 마스터 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. 이 기능을 사용하면 모든 보안 탐지 결과가 검토 및 개선을 위해 관리자 또는 Amazon GuardDuty 마스터 계정으로 집계됩니다. 이 구성을 사용하면 AWS CloudWatch 이벤트도 Amazon GuardDuty 마스터 계정으로 집계됩니다.

Q: Amazon GuardDuty는 어떤 데이터 소스를 분석합니까?

Amazon GuardDuty는 AWS CloudTrail, VPC 흐름 로그 및 AWS DNS 로그를 분석합니다. 이 서비스는 거의 실시간 보안 탐지 처리를 위해 대량의 데이터를 소비하도록 최적화되었습니다. GuardDuty에서는 클라우드용으로 개발 및 최적화되었고 AWS 보안 팀에서 유지 관리하고 지속적으로 개선하는 내장된 탐지 기법에 액세스할 수 있습니다.  

Q: GuardDuty는 작업을 시작하는 데 얼마나 걸립니까?

일단 활성화되면, Amazon GuardDuty는 즉시 악의적 또는 무단 활동에 대한 분석을 시작합니다. 결과를 수신하기 시작할 때까지 걸리는 시간은 계정의 활동 수준에 따라 달라집니다. GuardDuty는 기록 데이터는 확인하지 않으며 서비스가 활성화된 이후에 시작된 활동만 확인합니다. GuardDuty가 잠재적 위협을 파악하면 GuardDuty 콘솔에서 결과를 볼 수 있습니다.

Q: Amazon GuardDuty에서 작업을 하려면 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그를 활성화해야 합니까?

아니요. Amazon GuardDuty에서는 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그에서 직접 독립적인 데이터 스트림을 끌어옵니다. Amazon S3 버킷 정책을 관리하거나 로그를 수집 및 저장하는 방법을 수정할 필요가 없습니다. GuardDuty 권한은 서비스에 링크된 역할을 통해 관리되며 언제든 GuardDuty를 비활성화하여 취소할 수 있습니다. 따라서 복잡한 구성 없이 손쉽게 서비스를 활성화할 수 있고, 서비스 운영이 AWS IAM 권한 변경 또는 S3 버킷 정책 변경의 영향을 받을 위험이 없습니다. 또한, GuardDuty가 계정 또는 워크로드의 성능이나 가용성에 영향을 주지 않고 거의 실시간으로 대량의 데이터를 매우 효율적으로 소비할 수 있습니다.

Q: 내 계정에서 Amazon GuardDuty를 활성화하면 성능이나 가용성에 영향을 미치게 됩니까?

아니요. Amazon GuardDuty는 AWS 리소스와 완전히 독립적으로 운영됩니다. 계정이나 워크로드에 영향을 줄 위험이 전혀 없습니다. 따라서 기존 운영에 영향을 주지 않고 조직 내 여러 계정에 걸쳐 GuardDuty를 손쉽게 활성화할 수 있습니다.

Q: Amazon GuardDuty에서 내 로그를 관리하거나 유지합니까?

아니요. Amazon GuardDuty는 로그를 관리하거나 유지하지 않습니다. GuardDuty에서 소비하는 모든 데이터는 거의 실시간으로 분석된 후 폐기됩니다. 따라서 GuardDuty가 매우 효율적이고 비용 효과적이 될 수 있고 데이터 잔류의 위험도 줄일 수 있습니다. 로그 전달 및 보존의 경우 모든 기능을 갖춘 전달 및 보존 옵션을 제공하는 AWS 로깅 및 모니터링 서비스를 직접 사용해야 합니다.

Q: Amazon GuardDuty가 내 로그 및 데이터 소스를 확인하는 것을 중단하게 하려면 어떻게 해야 합니까?

언제든 일반 설정에서 서비스 일시 중단을 선택하여 Amazon GuardDuty가 데이터 소스를 분석하는 것을 중단하게 할 수 있습니다. 그러면 서비스가 데이터 분석을 즉시 중단하지만, 기존 탐지 결과 또는 구성은 삭제하지 않습니다. 또한, 일반 설정에서 서비스 비활성화를 선택할 수 있습니다. 그러면 서비스 권한을 반납하고 서비스를 재설정하기 전에 탐지 결과와 구성을 비롯하여 모든 남아 있는 데이터가 삭제됩니다.

GuardDuty 탐지 결과

Q: Amazon GuardDuty는 무엇을 탐지할 수 있습니까?

Amazon GuardDuty에서는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스할 수 있습니다. 탐지 알고리즘은 AWS 서비스 팀에서 유지 관리하고 지속적으로 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.

  • 정찰 – 비정상적인 API 활동, 인트라 VPC 포트 스캐닝, 특이한 패턴의 실패한 로그인 요청, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동.
  • 인스턴스 침해 – 암호 화폐 마이닝, DGA(Domain Generation Algorithm)를 사용하는 맬웨어, 아웃바운드 DoS 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 Amazon EC2 자격 증명 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동.
  • 계정 침해 – 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, AWS CloudTrail 로깅을 비활성화하려는 시도, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 알려진 악의적 IP 주소로부터 API 호출이 포함됩니다.

Q: Amazon GuardDuty 위협 인텔리전스란 무엇입니까?

Amazon GuardDuty 위협 인텔리전스는 공격자가 사용하는 것으로 알려진 IP 주소와 도메인으로 구성되어 있습니다. GuardDuty 위협 인텔리전스는 AWS 보안 팀 및 타사 공급자(Proofpoint, CrowdStrike 등)가 제공합니다. 이러한 위협 인텔리전스 피드는 사전에 통합되어 있으며 지속적으로 GuardDuty에 업데이트되고 추가 비용은 부과되지 않습니다.

Q: 자체 위협 인텔리전스를 제공할 수 있습니까?

예. Amazon GuardDuty를 사용하면 자체 위협 인텔리전스 또는 IP 안전 목록을 손쉽게 업로드할 수 있습니다. 이 기능을 사용하면, 해당 목록은 사용자 계정에만 적용되고 다른 고객과 공유되지 않습니다.

Q: 기계 학습과 이상 행동 탐지는 어떻게 작동합니까?

어드밴스 행동 및 기계 학습 탐지는 계정에서 행동 기준선을 설정하는 데 7~14일이 걸립니다. 그 후에는 이상 항목 탐지가 학습 모드에서 활성 모드로 전환됩니다. 활성 모드가 되면 서비스에서 위협으로 보이는 행동을 관찰하는 경우 해당 탐지에서 생성한 결과만 표시됩니다.

Q: 보안 탐지 결과는 어떻게 전달됩니까?

위협이 탐지되면, Amazon GuardDuty에서 상세한 보안 탐지 결과를 GuardDuty 콘솔과 AWS CloudWatch 이벤트로 전달합니다. 그러면 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 손쉽게 통합할 수 있습니다. 이러한 탐지 결과에는 카테고리, 영향을 받은 리소스, 리소스와 연결된 메타데이터, 심각도 수준이 포함됩니다.

Q: Amazon GuardDuty 탐지 결과는 형식이 어떻게 됩니까?

Amazon GuardDuty 탐지 결과는 Amazon Macie와 Amazon Inspector에서 사용하는 것과 같은 일반적인 JSON 형식으로 제공됩니다. 따라서 고객과 파트너는 손쉽게 세 서비스 모두의 보안 탐지 결과를 소비하고 이를 좀 더 광범위한 이벤트 관리, 워크플로 또는 보안 솔루션에 통합할 수 있습니다.

Q: 보안 탐지 결과는 Amazon GuardDuty에서 얼마 동안 사용할 수 있습니까?

보안 탐지 결과는 Amazon GuardDuty 콘솔 및 API에서 90일 동안 사용할 수 있도록 보존됩니다. 90일 이후에는 탐지 결과가 폐기됩니다. 90일 넘게 탐지 결과를 보존하려면 탐지 결과를 계정 내 Amazon S3 버킷 또는 장기 보존용 다른 데이터 스토어로 자동으로 푸시하도록 AWS CloudWatch 이벤트를 활성화하면 됩니다.

Q: Amazon GuardDuty를 사용해 자동 예방 조치를 수행할 수 있습니까?

Amazon GuardDuty, AWS CloudWatch 이벤트 및 AWS Lambda를 사용하면 보안 탐지 결과에 따라 자동 예방 조치를 설정할 수 있습니다. 예를 들어 보안 탐지 결과에 따라 AWS 보안 그룹 규칙을 수정하도록 Lambda 함수를 생성할 수 있습니다. 알려진 악의적 IP가 Amazon EC2 인스턴스 중 하나를 탐색하고 있다는 GuardDuty 탐지 결과가 나오면, CloudWatch 이벤트 규칙을 통해 Lambda 함수를 트리거하여 자동으로 보안 그룹 규칙을 수정하고 해당 포트에 대한 액세스를 제한할 수 있습니다.

Q: Amazon GuardDuty 탐지 기능은 어떻게 개발 및 관리됩니까?

Amazon GuardDuty에는 탐지 기능의 개발, 관리 및 반복을 담당하는 팀이 있습니다. 따라서 서비스의 새로운 탐지 기능에 대한 꾸준한 케이던스와 기존 탐지 기능에 대한 지속적 반복을 생성할 수 있습니다. GuardDuty UI에 있는 보안 탐지 결과별 좋아요 및 싫어요와 같은 몇 가지 피드백 메커니즘이 서비스에 탑재되어 있습니다. 이를 통해 고객이 피드백을 제공할 수 있고 그 결과는 향후 GuardDuty 탐지 기능 반복에 반영됩니다.

Q: Amazon GuardDuty에 사용자 지정 탐지 기능을 작성할 수 있습니까?

아니요. Amazon GuardDuty는 자체 사용자 지정 규칙 세트를 개발하고 유지 관리하는 복잡성과 부담을 없애줍니다. 고객 피드백과 AWS 보안 팀 및 GuardDuty 팀에서 수행하는 연구 결과에 따라 새로운 탐지 기능이 지속적으로 추가됩니다. 고객이 구성할 수 있는 사용자 지정 기능에는 자체 위협 목록 및 IP 안전 목록이 있습니다.

Amazon GuardDuty 요금에 대해 자세히 알아보기

요금 페이지로 이동하기
시작할 준비가 되셨습니까?
로그인
질문이 있으십니까?
AWS에 문의