Amazon GuardDuty FAQ

서비스 개요

GuardDuty는 AWS 계정, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, AWS Lambda 함수, Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터, Amazon Aurora 로그인 활동 및 Amazon Simple Storage Service(S3)에 저장된 데이터에서 악의적 활동을 지속적으로 모니터링하는 지능형 위협 탐지 서비스입니다. 비정상 동작, 보안 인증 정보 유출 또는 명령 및 제어(C2) 인프라 통신과 같은 잠재적인 악의적 활동이 탐지되면 보안 가시성 및 수정 지원에 사용할 수 있는 상세한 보안 조사 결과가 GuardDuty에서 생성됩니다. 또한 Amazon GuardDuty 맬웨어 방지 기능을 사용하면 Amazon EC2 인스턴스 및 컨테이너 워크로드에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 악성 파일을 탐지하는 데 도움이 됩니다.

GuardDuty를 사용하면 AWS 계정, 워크로드, Amazon S3에 저장된 데이터를 지속적으로 모니터링할 수 있습니다. 기본 수준의 GuardDuty는 리소스와 완전히 독립적으로 작동하도록 설계되었으며 워크로드에 성능 또는 가용성에 영향을 미치지 않습니다. 이 서비스는 통합 위협 인텔리전스, 기계 학습(ML) 이상 탐지 및 맬웨어 스캔이 포함된 완전관리형 서비스입니다. GuardDuty는 기존 이벤트 관리 및 워크플로 시스템과 손쉽게 통합되도록 설계된 상세하고 실행 가능한 알림을 제공합니다. 선결제 비용이 없고 추가로 소프트웨어를 배포하거나 위협 인텔리전스 피드를 구독할 필요가 없으며 분석한 이벤트에 대해서만 비용을 지불하면 됩니다.

GuardDuty 요금은 분석된 서비스 로그의 볼륨, 가상 CPU(vCPU) 또는 Amazon RDS 이벤트 분석을 위한 Aurora Serverless v2 인스턴스 Aurora 용량 단위(ACU), 런타임 시 모니터링되는 Amazon EKS 워크로드의 수와 크기, 맬웨어를 검사한 데이터의 양을 기준으로 합니다. 분석된 서비스 로그는 비용 최적화를 위해 필터링되고 GuardDuty와 직접 통합되므로 따로 활성화하거나 요금을 지불하지 않아도 됩니다. 

추가 세부 정보와 요금 예제는 Amazon GuardDuty 요금 페이지를 참조하세요.

예상 비용은 개별 지급인 계정에 대한 비용을 나타내며 GuardDuty 관리자 계정에서 각 멤버 계정에 대해 청구된 사용량과 평균 일 비용을 확인할 수 있습니다. 자세한 사용량 정보를 보려면 개별 계정으로 이동해야 합니다.

예. GuardDuty를 처음 사용하는 계정은 30일 동안 무료로 서비스를 사용해 볼 수 있습니다. 무료 평가판에서는 모든 기능 세트와 탐지 서비스에 액세스할 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

GuardDuty는 AWS 계정, 워크로드 및 데이터의 광범위한 보안 모니터링을 제공하여 공격자 정찰, 인스턴스, 계정 및 버킷 또는 Amazon EKS 클러스터 침해 및 맬웨어와 같은 위협을 식별하는 데 도움을 줍니다. Macie는 ML 및 패턴 일치를 사용하여 Amazon S3의 민감한 데이터를 검색하는 완전관리형 민감한 데이터 검색 서비스입니다.

GuardDuty는 리전별 서비스입니다. 여러 계정이 사용되고 여러 리전이 사용되더라도 GuardDuty 보안 탐지 결과는 해당 데이터가 생성된 리전과 동일한 리전에 유지됩니다. 따라서 분석된 모든 데이터가 리전을 기반으로 하고 AWS 리전 경계를 벗어나지 않습니다. 그러나 리전 전체에서 GuardDuty를 통해 생성된 보안 조사 결과를 집계하도록 선택할 수 있습니다. Amazon EventBridge를 사용하거나 Amazon S3와 같은 데이터 스토어로 결과를 푸시한 다음 적절한 조사 결과를 집계할 수 있습니다. GuardDuty 조사 결과를 AWS Security Hub로 보내고 크로스 리전 집계 활성화 기능을 사용할 수도 있습니다.

GuardDuty 리전 가용성은 AWS 리전 서비스 목록에 나열되어 있습니다.

많은 기술 파트너가 GuardDuty에 통합되어 있고 GuardDuty를 기반으로 구축되어 있습니다. 또한 GuardDuty를 전문적으로 다루는 컨설팅, 시스템 통합 사업자 및 관리형 보안 서비스 제공업체도 있습니다. 자세한 내용은 Amazon GuardDuty 파트너 페이지를 참조하십시오.

Foregenix에서 발표한 백서에서는 규정 준수 요구 사항의 준수를 지원하는 데 GuardDuty가 얼마나 효과적인지 자세한 평가를 제공합니다. 예를 들어 네트워크의 중요한 지점에서 침입 탐지 기술을 적용하도록 요구하는 PCI DSS 요구 사항 11.4가 포함됩니다.

GuardDuty 활성화

AWS Management Console에서 클릭 몇 번으로 GuardDuty를 설정하고 배포할 수 있습니다. 사용하도록 설정하면 GuardDuty가 즉시 거의 실시간 및 대규모로 계정과 네트워크 활동의 연속 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.

예. GuardDuty에는 다중 계정 관리 기능이 있어 단일 관리자 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. 이 기능을 사용하면 모든 보안 탐지 결과가 검토 및 개선을 위해 관리자 계정으로 집계됩니다. 이 구성을 사용하면 Amazon EventBridge 이벤트도 GuardDuty 관리자 계정으로 집계됩니다. 또한 GuardDuty를 AWS Organizations와 통합하면 조직의 GuardDuty에 대한 관리자 계정을 위임할 수 있습니다. 이 위임된 관리자(DA) 계정은 모든 결과를 통합하고 모든 구성원 계정을 구성할 수 있는 중앙 집중식 계정입니다.

GuardDuty가 분석하는 기본 데이터 소스에는 AWS CloudTrail 관리 이벤트 로그, CloudTrail 관리 이벤트, Amazon EC2 VPC 흐름 로그 및 DNS 쿼리 로그가 포함됩니다. GuardDuty 보호 플랜은 CloudTrail S3 데이터 이벤트(S3 보호), Amazon EKS 감사 로그 및 Amazon EKS의 런타임 활동(EKS 보호), Amazon ECS의 런타임 활동(ECS 런타임 모니터링), Amazon EC2의 런타임 활동(EC2 런타임 모니터링), Amazon EBS 볼륨 데이터(맬웨어 방지), Amazon Aurora 로그인 이벤트(RDS 보호), 네트워크 활동 로그(Lambda 보호)와 같은 다른 리소스 유형을 모니터링합니다. 이 서비스는 거의 실시간 보안 탐지 처리를 위해 대규모 데이터 볼륨을 소비하도록 최적화되었습니다. GuardDuty에서는 클라우드용으로 개발 및 최적화되었고 GuardDuty 엔지니어링 팀에서 유지 관리하고 지속적으로 개선하는 내장된 탐지 기법에 액세스할 수 있습니다.

사용하도록 설정하면 Amazon GuardDuty가 악의적 또는 무단 활동에 대한 분석을 시작합니다. 결과를 수신하기 시작할 때까지 걸리는 시간은 계정의 활동 수준에 따라 달라집니다. GuardDuty는 기록 데이터는 확인하지 않으며 서비스가 사용된 이후에 시작된 활동만 확인합니다. GuardDuty가 잠재적 위협을 파악하면 GuardDuty 콘솔에서 결과를 볼 수 있습니다.

아니요. GuardDuty는 CloudTrail, VPC 흐름 로그, DNS 쿼리 로그 및 Amazon EKS에서 직접 독립된 데이터 스트림을 가져옵니다. Amazon S3 버킷 정책을 관리하거나 로그를 수집 및 저장하는 방법을 수정할 필요가 없습니다. GuardDuty 권한은 서비스 연결 역할로 관리됩니다. 언제든지 GuardDuty를 사용 중지할 수 있으며 사용 중지하면 모든 GuardDuty 권한이 제거됩니다. 복잡한 구성이 필요하지 않으므로 서비스를 더 쉽게 사용할 수 있습니다. 또한 서비스 연결 역할을 사용하면 AWS Identity and Access Management(IAM) 권한 구성 오류나 Amazon S3 버킷 정책 변경으로 서비스 운영이 영향을 받는 일이 발생하지 않습니다. 마지막으로 서비스 연결 역할은 GuardDuty에서 계정 또는 워크로드의 성능 및 가용성에 영향을 미치지 않거나 그 영향을 최소화하면서 거의 실시간으로 다량의 데이터를 효율적으로 사용할 수 있도록 합니다.

GuardDuty를 처음으로 사용하도록 설정하면 AWS 리소스와 완전히 독립적으로 작동합니다. GuardDuty 보안 에이전트를 자동으로 배포하도록 GuardDuty EKS Runtime Monitoring을 구성하면 리소스 사용률이 높아질 수 있으며 Amazon EKS 클러스터를 실행하는 데 사용되는 VPC에 VPC 엔드포인트가 생성될 수도 있습니다.

아니요. GuardDuty는 로그를 관리하거나 유지하지 않습니다. GuardDuty에서 소비하는 모든 데이터는 거의 실시간으로 분석되고 분석 후 폐기됩니다. 따라서 GuardDuty가 매우 효율적이고 비용 효과적이 될 수 있고 데이터 잔류의 위험도 줄일 수 있습니다. 로그 전달 및 보존의 경우 모든 기능을 갖춘 전달 및 보존 옵션을 제공하는 AWS 로깅 및 모니터링 서비스를 직접 사용해야 합니다.

언제든지 일반 설정에서 서비스 일시 중단을 선택하여 GuardDuty가 데이터 소스를 분석하지 못하도록 할 수 있습니다. 그러면 서비스가 데이터 분석을 즉시 중단하지만, 기존 탐지 결과 또는 구성은 삭제하지 않습니다. 또한, 일반 설정에서 서비스 사용 중지를 선택할 수 있습니다. 그러면 서비스 권한을 반납하고 서비스를 재설정하기 전에 기존 탐지 결과와 구성을 비롯하여 모든 남아 있는 데이터가 삭제됩니다. Management Console 또는 AWS CLI를 통해 GuardDuty S3 Protection이나 GuardDuty EKS Protection 같은 기능을 따로 사용 중지할 수도 있습니다.

GuardDuty 활성화

GuardDuty에서는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스할 수 있습니다. 탐지 알고리즘은 AWS GuardDuty 엔지니어가 유지 관리하고 지속적으로 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.

  • 정찰: 비정상적인 API 활동, VPC 내 포트 스캐닝, 실패한 로그인 요청의 특이한 패턴, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동입니다.
  • 인스턴스 침해: 암호 화폐 마이닝, Domain Generation Algorithm(DGA)을 사용하는 맬웨어, 아웃바운드 DoS 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 Amazon EC2 보안 인증 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동입니다.
  • 계정 침해: 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, CloudTrail 로깅을 비활성화하려는 시도, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 보안 인증 정보 유출, 의심스러운 데이터베이스 로그인 활동 및 알려진 악의적 IP 주소로부터 API 호출이 포함됩니다.
  • 버킷 침해: 버킷 침해를 나타내는 활동입니다. 예를 들어 보안 인증 정보 악용을 나타내는 의심스러운 데이터 액세스 패턴, 원격 호스트의 비정상적인 Amazon S3 API 활동, 알려진 IP 주소로부터의 무단 Amazon S3 액세스, 버킷에 액세스한 기록이 없거나 비정상적인 위치에서 호출된 사용자가 Amazon S3 버킷에서 데이터를 검색하기 위한 API 호출 등이 있습니다. GuardDuty는 CloudTrail S3 데이터 이벤트(예: GetObject, ListObjects, DeleteObject)를 지속적으로 모니터링 및 분석하여 모든 Amazon S3 버킷에서 의심스러운 활동을 탐지합니다.
  • 맬웨어 탐지: GuardDuty는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작이 식별될 때 맬웨어 탐지 스캔을 시작합니다. GuardDuty는 이러한 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 임시 복제본을 생성하고 이 볼륨 복제본에서 워크로드를 침해하고 리소스를 악의적인 용도로 재사용하며 데이터에 무단으로 액세스하는 데 사용될 수 있는 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷, 봇 등을 스캔합니다. GuardDuty 맬웨어 방지는 의심스러운 동작의 소스를 검증할 수 있는 상황별 조사 결과를 생성합니다. 이러한 조사 결과를 적절한 관리자에게 라우팅하여 자동화된 수정 작업을 시작할 수 있습니다.
  • 컨테이너 침해: 컨테이너 워크로드에서 악의적의거나 의심스러운 동작을 식별하는 활동은 Amazon EKS 클러스터의 지속적인 모니터링 및 프로파일링과 Amazon EKS 감사 로그컨테이너 런타임 활동 분석을 통해 탐지됩니다.

GuardDuty 위협 인텔리전스는 공격자가 사용하는 것으로 알려진 IP 주소와 도메인으로 구성되어 있습니다. GuardDuty 위협 인텔리전스는 AWS 및 서드 파티 제공업체(Proofpoint, CrowdStrike 등)가 제공합니다. 이러한 위협 인텔리전스 피드는 사전에 통합되어 있으며 지속적으로 GuardDuty에 업데이트되고 추가 비용은 부과되지 않습니다.

예. GuardDuty에서 자체 위협 인텔리전스 또는 신뢰할 수 있는 IP 주소 목록을 업로드할 수 있습니다. 이 기능을 사용하면, 해당 목록은 사용자 계정에만 적용되고 다른 고객과 공유되지 않습니다.

잠재적 위협이 탐지되면, GuardDuty에서 상세한 보안 탐지 결과를 GuardDuty 콘솔과 EventBridge로 전달합니다. 그러면 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 손쉽게 통합할 수 있습니다. 이러한 탐지 결과에는 카테고리, 영향을 받은 리소스, 리소스와 연결된 메타데이터, 심각도 수준이 포함됩니다.

GuardDuty 탐지 결과는 Macie와 Amazon Inspector에서 사용하는 것과 같은 일반적인 JavaScript Object Notation(JSON) 형식으로 제공됩니다. 따라서 고객과 파트너는 손쉽게 세 가지 서비스 모두의 보안 탐지 결과를 소비하고 이를 좀 더 광범위한 이벤트 관리, 워크플로 또는 보안 솔루션에 통합할 수 있습니다.

보안 탐지 결과는 GuardDuty 콘솔 및 API에서 90일 동안 사용할 수 있도록 보존됩니다. 90일 이후에는 조사 결과가 폐기됩니다. 90일 넘게 조사 결과를 보존하려면 조사 결과를 계정 내 Amazon S3 버킷 또는 장기 보존용 다른 데이터 스토어로 자동으로 푸시하도록 EventBridge를 설정하면 됩니다.

예. 리전 전체에서 GuardDuty를 통해 생성된 보안 조사 결과를 집계하도록 선택할 수 있습니다. EventBridge를 사용하거나 Amazon S3와 같은 데이터 스토어로 결과를 푸시한 다음 적절한 조사 결과를 집계할 수 있습니다. GuardDuty 조사 결과를 Security Hub로 보내고 크로스 리전 집계 활성화 기능을 사용할 수도 있습니다.

GuardDuty, EventBridge 및 AWS Lambda를 사용하면 보안 탐지 결과에 따라 자동 수정 조치를 설정할 수 있습니다. 예를 들어 보안 조사 결과에 따라 AWS 보안 그룹 규칙을 수정하도록 Lambda 함수를 생성할 수 있습니다. 알려진 악의적 IP가 Amazon EC2 인스턴스 중 하나를 탐색하고 있다는 GuardDuty 조사 결과가 나오면, EventBridge 규칙을 통해 Lambda 함수를 시작하여 자동으로 보안 그룹 규칙을 수정하고 해당 포트에 대한 액세스를 제한할 수 있습니다.

GuardDuty에는 탐지 기능의 엔지니어링, 관리 및 반복을 담당하는 팀이 있습니다. 따라서 서비스의 새로운 탐지 기능을 꾸준히 공급하고 기존 탐지 기능에 대한 지속적 반복을 생성할 수 있습니다. GuardDuty 사용자 인터페이스(UI)에 있는 보안 탐지 결과별 좋아요 및 싫어요와 같은 몇 가지 피드백 메커니즘이 서비스에 탑재되어 있습니다. 이를 통해 피드백을 제공할 수 있고 그 결과는 향후 GuardDuty 탐지 기능 반복에 반영될 수 있습니다.

아니요. GuardDuty는 자체 사용자 지정 규칙 세트를 개발하고 유지 관리하는 복잡성과 부담을 없애줍니다. 고객 피드백과 AWS 보안 엔지니어 및 GuardDuty 엔지니어링 팀의 연구 결과에 따라 새로운 탐지 기능이 지속적으로 추가됩니다. 그러나 고객이 구성할 수 있는 사용자 지정 기능에는 자체 위협 목록 및 신뢰할 수 있는 IP 주소 목록이 있습니다.

GuardDuty S3 Protection

현재 GuardDuty 계정의 경우 콘솔의 S3 Protection 페이지에서 또는 API를 통해 S3 Protection을 활성화할 수 있습니다. 그러면 GuardDuty S3 Protection 기능의 30일 무료 평가판이 시작됩니다.

예. 30일 무료 평가판이 있습니다. 각 리전에서 계정별로 S3 Protection 기능이 포함된 GuardDuty의 30일 무료 평가판을 사용할 수 있습니다. GuardDuty를 이미 사용하는 계정도 S3 Protection 기능의 30일 무료 평가판을 처음 활성화하는 경우 평가판을 사용할 수 있습니다.

예. 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정에는 S3 Protection이 기본적으로 사용됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 S3 자동 사용(Auto-enable for S3) 옵션을 활성화해야 S3 Protection이 활성화됩니다.

아니요. S3 Protection을 사용하려면 GuardDuty 서비스를 사용해야 합니다. 현재 GuardDuty 계정에는 S3 Protection을 사용하도록 설정할 수 있는 옵션이 있고 신규 GuardDuty 계정의 경우 GuardDuty 서비스를 사용하도록 설정하면 기본적으로 이 기능이 포함됩니다.

예. S3 Protection은 환경의 모든 Amazon S3 버킷을 기본적으로 모니터링합니다.

아니요. GuardDuty는 CloudTrail S3 데이터 이벤트 로그에 직접 액세스할 수 있습니다. CloudTrail에서 S3 데이터 이벤트 로깅을 사용하도록 설정할 필요가 없으며 따라서 관련 비용도 발생하지 않습니다. GuardDuty는 로그를 저장하지 않고 분석 용도로만 사용합니다.

GuardDuty EKS Protection

GuardDuty EKS Protection은 Amazon EKS 감사 로그를 분석하여 Amazon EKS 클러스터 컨트롤 플레인 활동을 모니터링하는 GuardDuty 기능입니다. GuardDuty는 Amazon EKS와 통합하여, Amazon EKS 감사 로그에 직접 액세스하므로 이러한 로그를 활성화하거나 저장할 필요가 없습니다. 이러한 감사 로그는 Amazon EKS 컨트롤 플레인에서 수행한 일련의 작업을 시간순으로 기록한 보안 관련 기록입니다. 이러한 Amazon EKS 감사 로그를 통해 GuardDuty는 Amazon EKS API 활동을 지속적으로 모니터링하고 검증된 위협 인텔리전스 및 이상 탐지 기능을 적용하여 Amazon EKS 클러스터를 무단 액세스에 노출시킬 수 있는 악성 활동 또는 구성 변경을 식별합니다. 위협이 식별되면 GuardDuty는 위협 유형, 심각도 수준 및 포드 ID, 컨테이너 이미지 ID 및 관련 태그와 같은 컨테이너 수준 세부 정보가 포함된 보안 결과를 생성합니다.

GuardDuty EKS Protection은 Amazon EKS 감사 로그에 캡처된 사용자와 애플리케이션 활동과 관련된 위협을 탐지할 수 있습니다. Amazon EKS 위협 탐지는 알려진 악성 행위자나 Tor 노드에 의해 액세스된 Amazon EKS 클러스터, 잘못된 구성을 나타낼 수 있는 익명 사용자가 수행한 API 작업, Amazon EKS 클러스터로의 승인되지 않은 액세스를 초래할 수 있는 잘못된 구성을 포함합니다. 또한 GuardDuty는 ML 모델을 사용하여 기본 Amazon EC2 호스트로의 루트 수준 액세스 권한이 있는 컨테이너의 의심스러운 시작과 같은 권한 에스컬레이션 테크닉과 일치하는 패턴을 식별할 수 있습니다. 모든 신규 탐지의 전체 목록을 보려면 Amazon GuardDuty 조사 결과 유형을 참조하십시오.

아니요. GuardDuty는 Amazon EKS 감사 로그에 직접 액세스할 수 있습니다. GuardDuty는 이러한 로그를 분석에만 사용하고, 로그는 저장되지 않으며, GuardDuty와 공유하기 위해 이러한 Amazon EKS 감사 로그를 활성화하거나 요금을 지불할 필요도 없습니다. 비용을 최적화하기 위해 GuardDuty는 지능형 필터를 적용하여 보안 위협 탐지와 관련한 감사 로그의 일부만 사용합니다.

예. 30일 무료 평가판이 있습니다. 각 리전에서 신규 GuardDuty 계정별로 GuardDuty EKS Protection 기능을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정은 추가 비용 없이 30일 동안 GuardDuty EKS Protection 평가판을 이용할 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

GuardDuty EKS Protection은 개별 계정마다 활성화해야 합니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 단일 작업으로 계정에 이 기능을 활성화할 수 있습니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Protection 페이지에서 전체 조직의 GuardDuty EKS Protection을 활성화할 수 있습니다. 그러면 모든 개별 멤버 계정에서 Amazon EKS에 대한 지속적인 모니터링이 활성화됩니다. AWS Organizations의 자동 사용 기능을 통해 생성된 GuardDuty 계정의 경우, Auto-activate for Amazon EKS(Amazon EKS에 대해 자동 활성화)을 명시적으로 설정해야 합니다. 계정에 대해 활성화되면, Amazon EKS 클러스터에서 구성하지 않아도 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 위협이 모니터링됩니다.

예. 콘솔 또는 API를 통해 GuardDuty를 활성화한 신규 계정에는 기본적으로 GuardDuty EKS Protection이 활성화됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정의 경우, auto-enable for the EKS Protection(EKS Protection 자동 사용) 옵션을 명시적으로 사용하도록 설정해야 합니다. 

콘솔 또는 API를 사용하여 기능을 사용 중지할 수 있습니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 계정의 GuardDuty EKS Protection을 사용 중지할 수 있습니다. GuardDuty 관리자 계정이 있는 경우 멤버 계정에 대해 이 기능을 사용 중지할 수도 있습니다.

이전에 GuardDuty EKS Protection을 사용 중지한 경우 콘솔 또는 API를 사용하여 기능을 다시 사용하도록 설정할 수 있습니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 계정에 GuardDuty EKS Protection을 사용하도록 설정할 수 있습니다.

GuardDuty EKS Protection은 개별 계정마다 사용하도록 설정해야 합니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Protection 콘솔 페이지에서 클릭 한 번으로 전체 조직의 Amazon EKS에 위협 탐지를 사용할 수 있습니다. 그러면 모든 개별 멤버 계정에서 Amazon EKS에 대한 위협 탐지가 활성화됩니다. 계정에 대해 활성화되면, 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 위협이 모니터링되며 Amazon EKS 클러스터에서 수동으로 구성할 필요가 없습니다.

Amazon EKS를 사용하지 않고 GuardDuty EKS Protection을 활성화했다면 GuardDuty EKS Protection 비용이 발생하지 않습니다. 그러나 Amazon EKS 사용을 시작하면 GuardDuty가 클러스터를 자동으로 모니터링하고 식별된 문제에 대한 결과를 생성하기 때문에 이 모니터링에 대한 요금이 부과됩니다.

아니요. GuardDuty EKS Protection을 사용하려면 GuardDuty 서비스가 사용되어야 합니다.

예, GuardDuty EKS Protection은 Amazon EC2 인스턴스에 배포된 Amazon EKS 클러스터와 Fargate에 배포된 Amazon EKS 클러스터의 Amazon EKS 감사 로그를 모니터링합니다.

현재 이 기능은 계정의 Amazon EC2 인스턴스 또는 Fargate에서 실행되는 Amazon EKS 배포만 지원합니다.

아니요. GuardDuty EKS Protection은 Amazon EKS 워크로드 배포의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.

예. GuardDuty는 리전별 서비스이기 때문에 각 AWS 리전에서 GuardDuty EKS Protection을 개별적으로 사용하도록 설정해야 합니다.

GuardDuty EKS Runtime Monitoring

GuardDuty EKS Runtime Monitoring은 Amazon EKS에서 실행되는 개별 Kubernetes 컨테이너의 런타임 활동(예: 파일 액세스, 프로세스 실행, 네트워크 연결)에 대한 가시성을 높여주는 완전관리형 Amazon EKS 애드온을 사용합니다. GuardDuty에서 직접 계정의 모든 기존 및 신규 Amazon EKS 클러스터에 대해 자동으로 애드온을 활성화하거나 Amazon EKS에서 개별 클러스터에 대해 수동으로 활성화할 수 있습니다. 이 애드온은 GuardDuty 보안 에이전트를 대몬(daemon) 세트로 자동 배포합니다. 그러면 노드에서 실행 중인 모든 포드에서 런타임 이벤트가 수집되고 보안 분석 처리를 위해 GuardDuty에 전달됩니다. GuardDuty는 이러한 방식으로 Amazon EKS 클러스터 내에서 잠재적으로 손상된 특정 컨테이너를 식별하고, 개별 컨테이너에서 기본 Amazon EC2 호스트 및 더 넓은 AWS 환경으로 권한을 에스컬레이션하려는 시도를 탐지합니다. GuardDuty를 통해 잠재적 위협이 탐지되면 컨테이너, Kubernetes 포드 및 프로세스 세부 정보를 담은 메타데이터 컨텍스트가 포함된 보안 조사 결과가 생성됩니다.

현재 GuardDuty 계정의 경우 GuardDuty 콘솔의 EKS Runtime Monitoring 페이지에서 또는 API를 통해 기능을 활성화할 수 있습니다. GuardDuty EKS Runtime Monitoring에 대해 자세히 알아보세요.

아니요. GuardDuty EKS Runtime Monitoring은 GuardDuty를 처음으로 활성화할 때 기본적으로 사용되지 않는 유일한 보호 계획입니다. 이 기능은 GuardDuty 콘솔의 EKS Runtime Monitoring 페이지에서 또는 API를 통해 활성화할 수 있습니다. AWS Organizations의 자동 사용 기능으로 생성된 새로운 GuardDuty 계정은 Auto-enable for Amazon EKS(Amazon EKS 자동 사용) 옵션을 활성화해야 EKS Runtime Monitoring이 활성화됩니다.

아니요. GuardDuty EKS Runtime Monitoring을 사용하려면 GuardDuty 서비스를 사용하도록 설정해야 합니다.

EKS Runtime Monitoring을 사용할 수 있는 리전의 전체 목록은 리전별 기능 가용성 페이지를 참조하세요.

GuardDuty EKS Runtime Monitoring은 각 개별 계정에 대해 활성화되어야 합니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Runtime Monitoring 콘솔 페이지에서 클릭 한 번으로 전체 조직의 Amazon EKS에 위협 탐지를 활성화할 수 있습니다. 그러면 모든 개별 멤버 계정의 Amazon EKS에 대해 런타임 모니터링이 활성화됩니다. 계정에 대해 활성화되면, 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 런타임 위협이 모니터링되며 Amazon EKS 클러스터에서 수동으로 구성할 필요가 없습니다.

GuardDuty EKS 런타임 모니터링을 사용하면 위협 탐지를 위해 모니터링할 Amazon EKS 클러스터를 선택적으로 구성할 수 있습니다. 클러스터 수준에서 구성할 수 있으므로 위협 탐지를 위해 EKS 클러스터를 선택적으로 모니터링하거나, 계정 수준 구성 기능을 계속 사용하여 특정 계정 및 리전의 모든 EKS 클러스터를 모니터링할 수 있습니다.

Amazon EKS를 사용하지 않고 GuardDuty EKS Runtime Monitoring을 활성화한 경우 GuardDuty EKS Runtime Monitoring 요금이 발생하지 않습니다. 그러나 Amazon EKS 사용을 시작하면 GuardDuty가 클러스터를 자동으로 모니터링하고 식별된 문제에 대한 조사 결과를 생성하기 때문에 이 모니터링에 대한 요금이 부과됩니다.

GuardDuty 보안 에이전트를 자동으로 배포하도록 GuardDuty EKS Runtime Monitoring을 구성하면 리소스 사용률이 높아질 수 있으며 Amazon EKS 클러스터를 실행하는 데 사용되는 VPC에 VPC 엔드포인트가 생성될 수도 있습니다. EKS 추가 기능에 대해 자세히 알아보세요.

GuardDuty 멀웨어 방지

GuardDuty는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작이 식별될 때 맬웨어 탐지 스캔을 시작합니다. Amazon EBS 볼륨의 스냅샷을 기반으로 GuardDuty가 생성하는 Amazon EBS 볼륨 복제본에서 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷, 봇 등을 스캔합니다. GuardDuty 맬웨어 방지는 의심스러운 동작의 소스를 검증하는 데 도움이 될 수 있는 상황별 조사 결과를 생성합니다. 이러한 조사 결과를 적절한 관리자에게 라우팅하여 자동화된 수정 작업을 시작할 수도 있습니다.

Amazon EC2에 대해 맬웨어 스캔을 시작하는 GuardDuty 조사 결과는 여기에 나열되어 있습니다.

맬웨어 방지는 Amazon EC2 인스턴스에 연결된 Amazon EBS를 스캔하여 악성 파일의 탐지를 지원합니다. 볼륨에 있는 모든 파일을 스캔할 수 있으며 지원되는 파일 시스템 유형은 여기에서 찾을 수 있습니다.

Malware Protection은 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷 및 봇과 같이 워크로드를 손상시키고 리소스를 악의적인 용도로 재사용하며 데이터에 무단으로 액세스하는 데 사용될 수 있는 위협을 스캔합니다.

GuardDuty 또는 Malware Protection 기능의 작동을 위해 서비스 로깅을 사용하도록 설정할 필요는 없습니다. Malware Protection 기능은 통합된 내부 및 외부 소스의 인텔리전스를 사용하는 AWS 서비스인 GuardDuty의 일부입니다.

GuardDuty 맬웨어 방지는 보안 에이전트를 사용하는 대신 계정의 감염 가능성이 있는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 스냅샷을 기반으로 복제본을 만들고 이 복제본을 스캔합니다. GuardDuty는 서비스 연결 역할을 통해 GuardDuty에 부여된 권한을 사용하여 사용자 계정에 유지된 스냅샷으로부터 암호화된 볼륨 복제본을 GuardDuty의 서비스 계정에 만들 수 있습니다. GuardDuty Malware Protection은 이 볼륨 복제본에서 맬웨어를 스캔합니다.

예. 각 리전에서 신규 Amazon GuardDuty 계정별로 Malware Protection 기능을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정의 경우 계정에서 Malware Protection을 처음으로 사용하도록 설정할 때 추가 비용 없이 30일 무료 평가판을 받을 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

GuardDuty 콘솔에서 Malware Protection 페이지로 이동하거나 API를 사용하여 Malware Protection을 사용하도록 설정할 수 있습니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정의 Malware Protection 콘솔 페이지에서 전체 조직에 대해 이 기능을 사용하도록 설정할 수 있습니다. 그러면 모든 개별 멤버 계정에서 맬웨어가 모니터링됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 GuardDuty 계정의 경우, Malware Protection 자동 사용(auto-enable for the Malware Protection) 옵션을 명시적으로 사용하도록 설정해야 합니다.

예. 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정의 경우 GuardDuty Malware Protection이 기본적으로 사용됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정의 경우, Malware Protection 자동 사용(auto-enable for the Malware Protection) 옵션을 명시적으로 사용하도록 설정해야 합니다. 

콘솔 또는 API를 사용하여 기능을 사용 중지할 수 있습니다. GuardDuty 콘솔의 Malware Protection 콘솔 페이지에서 계정의 Malware Protection을 사용 중지하는 옵션을 볼 수 있습니다. GuardDuty 관리자 계정이 있는 경우 멤버 계정에 대해 Malware Protection을 사용 중지할 수도 있습니다.

Malware Protection이 사용 중지된 경우 콘솔 또는 API를 사용하여 기능을 사용하도록 설정할 수 있습니다. GuardDuty 콘솔의 Malware Protection 콘솔 페이지에서 계정에 Malware Protection을 사용하도록 설정할 수 있습니다.

아니요. 청구 기간 중에 맬웨어가 스캔되지 않은 경우 Malware Protection 요금이 발생하지 않습니다. AWS 빌링 콘솔에서 이 기능의 비용을 확인할 수 있습니다.

예. GuardDuty에는 다중 계정 관리 기능이 있어 단일 관리자 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. GuardDuty는 AWS Organizations 통합을 통한 다중 계정 관리 기능을 제공합니다. 이 통합 기능을 통해 보안 및 규정 준수 팀은 조직의 모든 계정에 걸쳐 Malware Protection을 포함한 GuardDuty의 완벽한 지원을 보장할 수 있습니다.

아니요. 기능을 사용하도록 설정하면 GuardDuty 맬웨어 방지가 관련 Amazon EC2 조사 결과에 따라 맬웨어 스캔을 시작합니다. 에이전트를 배포할 필요가 없고 로그 소스를 사용하도록 설정하지 않아도 되며 다른 구성을 변경하지 않아도 됩니다.

GuardDuty 맬웨어 방지는 워크로드의 성능에 영향을 미치지 않도록 설계되었습니다. 예를 들어 맬웨어 분석을 위해 생성되는 Amazon EBS 볼륨 스냅샷은 24시간 기간에 한 번만 생성할 수 있고 GuardDuty 맬웨어 방지는 암호화된 복제본 및 스냅샷 스캔을 완료한 후 몇 분간만 유지합니다. 또한 GuardDuty 맬웨어 방지는 맬웨어 스캔에 고객의 컴퓨팅 리소스 대신 GuardDuty 컴퓨팅 리소스를 사용합니다.

예. GuardDuty는 리전별 서비스이며, 각 AWS 리전에서 Malware Protection을 개별적으로 사용하도록 설정해야 합니다.

GuardDuty 맬웨어 방지는 계정에서 감염 가능성이 있는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 스냅샷을 기반으로 하는 복제본을 스캔합니다. Amazon EBS 볼륨이 고객 관리형 키로 암호화되는 경우 AWS Key Management Service(KMS) 키를 GuardDuty와 공유할 수 있습니다. 그러면 서비스에서 Amazon EBS 볼륨 복제본을 암호화할 때 동일한 키가 사용됩니다. 암호화되지 않은 Amazon EBS 볼륨의 경우 GuardDuty는 자체 키를 사용하여 Amazon EBS 볼륨 복제본을 암호화합니다.

예. 모든 Amazon EBS 볼륨 복제본 데이터(및 복제본 볼륨의 기반이 되는 스냅샷)는 원래 Amazon EBS 볼륨과 동일한 리전에 유지됩니다.

각 리전에서 신규 Amazon GuardDuty 계정별로 GuardDuty Malware Protection을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정의 경우 계정에서 Malware Protection을 처음으로 사용하도록 설정할 때 추가 비용 없이 30일 무료 평가판을 받을 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 추정할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

이 기능의 요금은 볼륨에서 스캔된 데이터의 GB를 기준으로 부과됩니다. 콘솔에서 스캔 옵션을 사용하여 사용자 지정을 적용할 수 있습니다. 태그를 사용하여 스캔에 포함하거나 제외할 Amazon EC2 인스턴스를 표시하여 비용을 제어할 수 있습니다. 또한 GuardDuty는 24시간에 한 번만 Amazon EC2 인스턴스를 스캔합니다. GuardDuty에서 24시간 내에 Amazon EC2 인스턴스에 대한 여러 Amazon EC2 조사 결과가 생성되는 경우 스캔은 첫 번째 관련 Amazon EC2 조사 결과에 대해서만 수행됩니다. 인스턴스의 Amazon EC2 조사 결과가 마지막 맬웨어 스캔으로부터 24시간 후에 계속되는 경우 이 인스턴스에 대해 새 맬웨어 스캔이 시작됩니다.

예. Malware Protection 스캔에서 맬웨어가 탐지될 때 스냅샷 보존을 사용하도록 하는 설정이 있습니다. GuardDuty 콘솔의 설정(Settings) 페이지에서 이 설정을 사용하도록 설정할 수 있습니다. 기본적으로 스냅샷은 스캔이 완료되고 몇 분 후에 삭제되며 스캔이 완료되지 않은 경우 24시간 후에 삭제됩니다.

GuardDuty 맬웨어 방지는 생성되고 스캔되는 각 Amazon EBS 볼륨 복제본을 최대 24시간 동안 보존합니다. 기본적으로 Amazon EBS 볼륨 복제본은 GuardDuty 맬웨어 방지의 스캔이 완료되고 몇 분 후에 삭제됩니다. 그러나 서비스 중단 또는 연결 문제로 인해 맬웨어 스캔이 중단되는 경우 GuardDuty 맬웨어 방지에서 24시간을 초과하여 Amazon EBS 볼륨 복제본을 보존해야 할 수도 있습니다. 이 경우 GuardDuty 맬웨어 방지는 Amazon EBS 볼륨 복제본을 최대 7일간 보존하여 중단 또는 연결 문제를 선별하고 해결할 충분한 시간을 확보합니다. GuardDuty 맬웨어 방지는 중단 또는 장애가 해결되거나 연장된 보존 기간이 경과한 후 Amazon EBS 볼륨 복제본을 삭제합니다.

아니요. GuardDuty는 감염 가능성이 있는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 스냅샷을 기반으로 하는 복제본을 24시간에 한 번만 스캔합니다. GuardDuty에서 맬웨어 스캔을 시작하기에 적합한 여러 조사 결과가 생성되더라도 이전 스캔 이후 24시간이 지나지 않았다면 추가 스캔이 시작되지 않습니다. GuardDuty에서 이전 맬웨어 스캔으로부터 24시간 후에 적격 결과가 생성되는 경우 GuardDuty Malware Protection은 해당 워크로드에 대해 새 맬웨어 스캔을 시작합니다.

아니요. GuardDuty 서비스를 사용 중지하면 Malware Protection 기능도 사용 중지됩니다.

GuardDuty RDS Protection

GuardDuty RDS Protection은 수동으로 배포할 에이전트나 활성화할 데이터 소스, 구성할 권한 없이도 GuardDuty 콘솔에서 단일 작업으로 활성화할 수 있습니다. GuardDuty RDS Protection은 맞춤형 ML 모델을 사용하여 기존 및 신규 Amazon Aurora 데이터베이스에 대한 로그인 시도를 분석하고 프로파일링합니다. 알려진 악의적 행위자에 의한 의심스러운 동작 또는 시도가 식별되면 GuardDuty 및 Amazon Relational Database Service(RDS) 콘솔, Security Hub 및 Amazon EventBridge로 실행 가능한 보안 조사 결과가 전송되므로 기존 보안 이벤트 관리 또는 워크플로 시스템에 이 조사 결과를 통합할 수 있습니다. GuardDuty RDS Protection에서 RDS 로그인 활동 모니터링을 사용하는 방법에 대해 자세히 알아보세요.

현재 GuardDuty 계정의 경우 RDS Protection 페이지에서 GuardDuty 콘솔이나 API를 통해 기능을 활성화할 수 있습니다. GuardDuty RDS Protection에 대해 자세히 알아보세요.

예. 콘솔 또는 API를 통해 GuardDuty를 활성화하는 신규 계정에는 RDS Protection이 기본적으로 활성화됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 Auto-enable for RDS(RDS 자동 사용) 옵션을 활성화해야 RDS Protection이 활성화됩니다.

아니요. GuardDuty RDS Protection을 사용하려면 GuardDuty 서비스를 사용하도록 설정해야 합니다.

RDS Protection이 제공되는 리전의 전체 목록을 보려면 리전별 기능 가용성 페이지를 참조하세요.

아니요. Aurora 데이터베이스에 대한 GuardDuty 위협 탐지 기능은 Amazon Aurora 데이터베이스의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.

GuardDuty Lambda Protection

GuardDuty Lambda Protection은 서버리스 워크로드에서 VPC 흐름 로그를 시작으로 네트워크 활동을 지속적으로 모니터링하여 무단 암호화폐 채굴용으로 악의적으로 용도가 변경된 함수나 알려진 위협 요소 서버와 통신하는 손상된 Lambda 함수와 같은 위협을 탐지합니다. GuardDuty Lambda Protection은 GuardDuty 콘솔에서 몇 단계만 거치면 활성화할 수 있으며, AWS Organizations를 사용하면 중앙에서 조직의 모든 기존 계정 및 신규 계정에 대해 사용하도록 설정할 수 있습니다. 사용하도록 설정한 후에는 계정에 있는 모든 기존 및 새로운 Lambda 함수의 네트워크 활동 데이터 모니터링을 자동으로 시작됩니다.

현재 GuardDuty 계정의 경우 Lambda Protection 페이지에서 GuardDuty 콘솔이나 API를 통해 기능을 활성화할 수 있습니다. GuardDuty Lambda Protection에 대해 자세히 알아보세요.

예. 콘솔 또는 API를 통해 GuardDuty를 활성화하는 신규 계정에는 Lambda Protection이 기본적으로 활성화됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 Auto-enable for Lambda(Lambda 자동 사용) 옵션을 활성화해야 Lambda Protection이 활성화됩니다.

Lambda Protection이 제공되는 리전의 전체 목록을 보려면 리전별 기능 가용성 페이지를 참조하세요.

아니요. GuardDuty Lambda Protection은 Lambda 워크로드의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.