[AWS] AWS GuardDuty 구상하기

AWS GuardDuty

아마존 GuardDuty 분석하고 처리하는 지속적 보안 모니터링 서비스입니다.

악의적 활동 또는 무단 활동을 지속적으로 모니터링 합니다. 

GuardDuty를 활성화 하여 탐지된 위협에 대해서 처리하는 운영 방안에 대한 실습을 진행했습니다 

guard duty 시작하기 

샘플 확인, 조작 방법

최초 활성 상태의 GuardDuty 결과 UI 페이지는 아래 사진처럼 보통 아무것도 표시되어 있지 않습니다.

서비스의 ‘설정’ 항목을 클릭 후 샘플 결과 항목을 찾아 ‘샘플 결과 작성’ 버튼을 클릭

샘플 출력을 확인하기 위해 GuardDuty 서비스 페이지의 ‘결과’ 항목을 클릭하여 이동합니다.

결과창에서 다수의 탐지 샘플을 확인할 수 있습니다.

탐지 결과의 유형 영역을 클릭 시 우측에 탐지 내용에 대한 상세 정보가 표시됩니다.

탐지 결과를 선택하여 관리할 수 있습니다.

 

탐지된 작업의 좌측 체크박스 체크 후 상단의 ‘작업’ 버튼을 클릭합니다. 4가지 작업이 출력 됩니다.

 - 아카이브 : 작업을 보관 시킬 수 있습니다.

 - 내보내기 : 탐지 내용을 JSON 형식으로 다운로드 받을 수 있습니다.

 - 아카이브 해제 : 보관 된 작업 목록의 보관 설정을 해제합니다.

 - 조사 : 선택 항목을 ‘AWS Detective’서비스로 이동하여 상세 분석 합니다.

‘현재’ 라고 쓰여진 드롭박스를 선택하여 아카이브[보관됨] 항목을 확인하거나 ‘필터 추가’ 부분을 클릭하여 결과값을 필터링 할 수 있습니다.

탐지된 이벤트 처리 방안

 GuardDuty에서 탐지한 결과를 기반으로 어떤 액션을 실행할지 설정해주어야 합니다. 설정은 CloudWatch 서비스의 이벤트 항목에서 이루어집니다.

 현재 CloudWatch Event가 EventtBridge로 대체 되어 사용되고 있습니다. 본 가이드는 EventBridge를 사용하여 안내 드리겠습니다.

 이벤트에 대한 대표적인 대상 서비스인 SNS와 Lambda등 대상으로 서비스를 설정하려고 할 경우 미리 대상 서비스의 동작 구성이 설정 되어 있어야 합니다.

EventBridge 서비스의 규칙을 들어가 "규칙 생성"을 클릭합니다.

3-3. EventBridge 규칙 생성에 들어가 이름을 설정 후에 다음 누르면 하기와 같은 페이지가 보입니다.

해당 페이지에서 이벤트 패턴에서

• 이벤트 소스를 "AWS 서비스"
• AWS 서비스에서는 "GuardDuty"
• 이벤트 유형에 "GuardDuty Finding" 선택 후
• 상세한 조건 설정을 위해 "패턴 편집"을 클릭합니다.

기본 옵션으로는 모든 탐지 결과에 대하여 이벤트가 생성됩니다. 아래 예제에 따라 수정하여 이벤트를 위험도의 조건을 설정할 수 있습니다.

GuardDuty 결과에 대한 심각도 수준

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_findings-severity

이벤트 설정과 관련된 SNS 설정

AWS GuardDuty에서 위협이 감지되면 AWS SNS에서 구독 설정한 이메일로 갈 수 있도록 설정하는 부분입니다.