Amazon GuardDuty 기능

GuardDuty는 거의 실시간으로 지속적으로 요인을 모니터링하지 않는 한 신속하게 탐지하기 매우 어려운 계정 침해에 대해 정확한 위협 탐지를 제공합니다. GuardDuty는 이례적인 시간에 특이한 지리적 위치에서 AWS 리소스에 액세스하는 등의 계정 침해 징후를 탐지할 수 있습니다. 프로그래밍 방식의 AWS 계정의 경우 GuardDuty는 CloudTrail 로깅을 비활성화하거나 악의적 IP 주소에서 데이터베이스 스냅샷을 생성하여 계정 활동을 보기 어렵게 하려는 시도 등 비정상적인 API 호출을 확인합니다.

GuardDuty는 CloudTrail, VPC 흐름 로그 및 DNS 로그에서 수집된 AWS 계정 및 워크로드 이벤트 데이터를 지속적으로 모니터링하고 분석합니다. GuardDuty에서 기본 보호 기능을 사용하기 위해 추가로 배포하고 유지 관리할 보안 소프트웨어 또는 인프라는 없습니다. AWS 계정을 함께 연결하면 계정별로 작업하지 않고도 위협 탐지를 집계할 수 있습니다. 또한, 여러 계정에서 대량의 AWS 데이터를 수집, 분석 및 상호 연관시킬 필요가 없습니다. 사용자는 신속하게 대응하고 조직을 안전하게 유지하는 방법과 AWS에서 계속해서 확장하고 혁신해 나가는 데 집중할 수 있습니다.

GuardDuty는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스하는 데 도움이 됩니다. AWS 보안 팀은 이러한 탐지 알고리즘을 지속적으로 유지 관리하고 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.

• 정찰: 비정상적인 API 활동, 의심스러운 데이터베이스 로그인 시도, VPC 내 포트 스캐닝, 실패한 로그인 요청의 특이한 패턴, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동
• 인스턴스 침해: 암호 화폐 마이닝, 백도어 명령 및 제어(C&C), Amazon EC2의 런타임 활동, 도메인 생성 알고리즘(DGA)을 사용하는 맬웨어, 아웃바운드 서비스 거부 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 Amazon EC2 보안 인증 정보 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동
• 계정 침해: 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, AWS CloudTrail 로깅을 사용 중지하려는 시도, 계정 암호 정책을 약화시키는 변경 사항, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 보안 인증 정보 도용, 의심스러운 데이터베이스 로그인 활동 및 알려진 악의적 IP 주소로부터의 API 호출이 포함됩니다.
• 버킷 침해: 버킷 침해를 나타내는 활동입니다. 예를 들어 보안 인증 정보 악용을 나타내는 의심스러운 데이터 액세스 패턴, 원격 호스트의 비정상적인 Amazon S3 API 활동, 알려진 IP 주소로부터의 무단 S3 액세스, 버킷에 액세스한 기록이 없거나 비정상적인 위치에서 호출된 사용자가 S3 버킷에서 데이터를 검색하기 위한 API 호출 등이 있습니다. Amazon GuardDuty는 AWS CloudTrail S3 데이터 이벤트(예: GetObject, ListObjects, DeleteObject)를 지속적으로 모니터링 및 분석하여 모든 Amazon S3 버킷에서 의심스러운 활동을 탐지합니다.
• 맬웨어 탐지: GuardDuty는 EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작이 식별될 때 맬웨어 탐지 스캔을 시작합니다. GuardDuty는 이러한 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 임시 복제본을 생성하고 이 볼륨 복제본에서 워크로드를 침해하고 리소스를 악의적인 용도로 재사용하며 데이터에 무단으로 액세스하는 데 사용될 수 있는 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷, 봇 등을 스캔합니다. GuardDuty 맬웨어 방지는 의심스러운 동작의 소스를 검증할 수 있는 상황별 조사 결과를 생성합니다. 이러한 조사 결과를 적절한 관리자에게 라우팅하여 자동화된 수정 작업을 시작할 수 있습니다.
• 컨테이너 침해: 컨테이너 워크로드에서 악의적의거나 의심스러운 동작을 식별하는 활동은 Amazon EKS 또는 Amazon ECS에서 EKS 감사 로그 및 컨테이너 런타임 활동을 분석하여 Amazon EKS 클러스터를 지속적으로 모니터링하고 프로파일링하여 탐지됩니다.

GuardDuty 조사 결과 유형의 전체 목록은 여기에서 확인할 수 있습니다.

GuardDuty는 고객이 잠재적 위협에 대한 대응 우선순위를 지정하는 데 도움이 되도록 세 가지 심각도 수준(낮음, 중간, 높음)을 제공합니다. '낮음' 심각도 수준은 의심스럽거나 악의적인 활동이 리소스를 침해하기 전에 차단되었음을 나타냅니다. '중간' 심각도 수준은 의심스러운 활동을 나타냅니다. Tor 네트워크 뒤에 숨어 있는 원격 호스트로 많은 양의 트래픽이 반환되는 경우나, 일반적으로 관찰되는 동작과 다른 활동을 예로 들 수 있습니다. '높음' 심각도 수준은 문제의 리소스(예: EC2 인스턴스 또는 IAM 사용자 자격 증명 세트)가 침해되었고 무단 액세스에 적극적으로 사용되고 있음을 나타냅니다.

GuardDuty는 HTTPS API 및 명령줄 인터페이스(CLI) 도구를 제공할 뿐만 아니라, Amazon EventBridge와의 통합을 통해 보안 조사 결과에 대한 자동화된 보안 대응을 지원합니다. 예를 들어 EventBridge를 Lambda 함수를 간접적으로 호출하는 이벤트 소스로 사용함으로써 대응 워크플로를 자동화할 수 있습니다.

GuardDuty는 AWS 계정, 워크로드, 데이터의 전반적인 활동 수준을 기준으로 리소스 사용률을 자동으로 관리하도록 설계되었습니다. GuardDuty는 필요할 때만 탐지 용량을 추가하고 용량이 더 이상 필요 없어지면 사용률을 줄입니다. 사용자는 이제 비용을 최소화하면서 필요한 보안 처리 성능을 유지할 수 있는 비용 효율적인 아키텍처를 갖추게 되었습니다. 탐지 용량을 사용할 때만 사용한 만큼 비용을 지불하면 됩니다. GuardDuty는 고객의 크기에 관계없이 대규모 보안을 제공합니다.

AWS Management Console에서 단일 작업 또는 단일 API 직접 호출로 단일 계정에서 GuardDuty를 활성화할 수 있습니다. 그리고 콘솔에서 몇 개 단계를 수행하여 여러 계정 전체에 GuardDuty를 활성화할 수 있습니다. GuardDuty에서는 AWS Organizations 통합을 통해 다중 계정을 지원하며 GuardDuty 내에서는 다중 계정이 기본적으로 지원됩니다. 활성화하면 GuardDuty가 즉시 거의 실시간 및 대규모로 계정과 네트워크 활동의 연속 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.

GuardDuty는 AWS 컴퓨팅 자산 전반의 컨테이너 워크로드에 대해 다른 방법으로는 달성하기 어렵고 복잡할 수 있는 포괄적인 보호를 제공합니다. Amazon EC2에서 서버 수준 제어로 실행되는 워크로드든 AWS Fargate를 통해 Amazon ECS에서 실행되는 현대적 서버리스 애플리케이션 워크로드든, GuardDuty는 잠재적으로 악의적이고 의심스러운 활동을 탐지하고, 런타임 모니터링을 통해 컨테이너 수준 컨텍스트를 제공하고, AWS 환경 전체에서 컨테이너 워크로드의 보안 범위 차이를 식별하도록 도움을 줍니다.