억제 규칙

억제 규칙은 지정된 기준과 일치하는 새 결과를 자동으로 보관하여 결과를 필터링하는 데 사용되는 값과 페어링된 필터 속성으로 구성된 일련의 기준입니다. 억제 규칙을 사용하면 가치가 낮은 결과, 오탐지 결과 또는 조치를 취하지 않으려는 위협을 필터링할 수 있으므로 환경에 가장 큰 영향을 미치는 보안 위협을 보다 쉽게 파악할 수 있습니다.

억제 규칙을 생성한 후, 억제 규칙이 지정되어 있는 동안에는 규칙에 정의된 기준과 일치하는 새 결과가 자동으로 보관됩니다. 기존 필터를 사용하여 억제 규칙을 생성하거나 정의한 새 필터에서 억제 규칙을 생성할 수 있습니다. 억제 규칙을 구성하여 전체 결과 유형을 억제하거나, 보다 세부적인 필터 기준을 정의하여 특정 결과 유형의 특정 인스턴스만 억제할 수 있습니다. 억제 규칙은 언제든지 편집할 수 있습니다.

숨겨진 탐지 결과는 Amazon Simple Storage Service AWS Security Hub, Amazon Detective 또는 Amazon으로 전송되지 않으므로 EventBridge Security Hub, SIEM 타사 또는 기타 경고 및 티켓 애플리케이션을 통해 결과를 사용할 GuardDuty 경우 검색 결과 소음이 줄어듭니다. 활성화한 경우멀웨어 보호 대상 EC2, 차단된 GuardDuty 탐지 결과로는 멀웨어 스캔이 시작되지 않습니다.

GuardDuty 검색 결과가 금지 규칙과 일치하는 경우에도 검색 결과가 계속 생성되지만 해당 결과는 자동으로 보관된 것으로 표시됩니다. 보관된 검색 결과는 90일 동안 저장되며 해당 기간 중 언제든지 볼 수 있습니다. GuardDuty 검색 결과 테이블에서 보관됨을 선택하거나 ListFindingsAPI같음과 true를 findingCriteria 기준으로 GuardDuty API 사용하여 GuardDuty 콘솔에서 숨겨진 검색 결과를 볼 수 있습니다. service.archived

참고

다중 계정 환경에서는 GuardDuty 관리자만 금지 규칙을 만들 수 있습니다.

억제 규칙의 일반 사용 사례 및 예시

다음 검색 유형에는 억제 규칙을 적용하는 일반적인 사용 사례가 있습니다. 검색 결과에 대해 자세히 알아보려면 검색 결과 이름을 선택하십시오. 사용 사례 설명을 검토하여 해당 검색 유형에 대한 금지 규칙을 만들지 결정하십시오.

중요

GuardDuty 사용 환경에서 반복적으로 오탐이 확인된 결과에 대해서만 사후 대응적으로 억제 규칙을 구축할 것을 권장합니다.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS— 억제 규칙을 사용하여 인터넷 트래픽이 Internet Gateway가 아닌 온-프레미스 게이트웨이에서 나가는 인터넷 트래픽을 라우팅하도록 VPC 네트워킹을 구성할 때 생성된 결과를 자동으로 보관합니다. VPC

이 검색 결과는 인터넷 트래픽이 Internet Gateway () 가 아닌 온-프레미스 게이트웨이에서 나가는 VPC 인터넷 트래픽을 라우팅하도록 네트워킹을 구성할 때 생성됩니다. IGW 사용 AWS Outposts또는 VPC VPN 연결과 같은 일반적인 구성으로 인해 트래픽이 이러한 방식으로 라우팅될 수 있습니다. 이러한 동작이 예상된 경우 억제 규칙을 사용하고 두 개의 필터 기준으로 구성된 규칙을 만드는 것이 좋습니다. 첫 번째 기준은 결과 유형으로 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS이어야 합니다. 두 번째 필터 기준은 온프레미스 인터넷 IPv4게이트웨이의 IP 주소 또는 CIDR 범위를 포함하는 API 발신자 주소입니다. 아래 예는 API 발신자 IP 주소를 기반으로 이 검색 유형을 숨기는 데 사용하는 필터를 나타냅니다.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
참고
발신자를 여러 명 IPs 포함하려면 API 각 발신자에 대해 새 API 발신자 IPv4 주소 필터를 추가할 수 있습니다.
Recon:EC2/Portscan - 취약성 평가 애플리케이션을 사용하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.

억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 Recon:EC2/Portscan 값을 사용해야 합니다. 두 번째 필터 기준은 이러한 취약성 평가 도구를 호스팅하는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 Instance image ID 속성 또는 Tag 값 속성을 사용할 수 있습니다. 아래 예제는 특정 인스턴스를 기반으로 이 검색 유형을 숨기는 데 사용하는 필터를 나타냅니다. AMI
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
UnauthorizedAccess:EC2/SSHBruteForce - Bastion 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.

무차별 대입 시도의 대상이 배스천 호스트인 경우 이는 사용자 환경에 예상되는 동작일 수 있습니다. AWS 이 경우 이 결과에 대해 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 UnauthorizedAccess:EC2/SSHBruteForce 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 인스턴스 이미지 ID 속성 또는 태그 값 속성을 사용할 수 있습니다. 아래 예시는 특정 인스턴스 태그 값을 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
Recon:EC2/PortProbeUnprotectedPort - 의도적으로 노출된 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 자동으로 결과를 보관합니다.

인스턴스가 웹 서버를 호스팅하는 경우와 같이 의도적으로 노출되는 경우가 있을 수 있습니다. 사용자 AWS 환경에서 이런 경우에는 이 검색 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 Recon:EC2/PortProbeUnprotectedPort 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 인스턴스 이미지 ID 속성 또는 태그 값 속성을 사용할 수 있습니다. 아래 예시는 콘솔의 특정 인스턴스 태그 키를 기반으로 이 결과 유형을 억제하는 데 사용할 필터를 나타냅니다.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```

런타임 모니터링 결과에 대한 권장 금지 규칙

PrivilegeEscalation:Runtime/DockerSocketAccessed는 컨테이너 내부의 프로세스가 Docker 소켓과 통신할 때 생성됩니다. 환경에 합법적인 이유로 Docker 소켓에 액세스해야 하는 컨테이너가 있을 수 있습니다. 이러한 컨테이너에서 액세스하면 PrivilegeEscalation:Runtime/DockerSocketAccessed 결과가 생성됩니다. 사용자 AWS 환경에서 이런 경우가 발생하는 경우 이 검색 유형에 대한 억제 규칙을 설정하는 것이 좋습니다. 첫 번째 기준에는 값이 PrivilegeEscalation:Runtime/DockerSocketAccessed와 같은 결과 유형 필드를 사용해야 합니다. 두 번째 필터 기준은 생성된 결과에서 프로세스의 executablePath와 값이 동일한 실행 파일 경로 필드입니다. 또는 두 번째 필터 executableSha256 기준에서 생성된 검색 결과의 프로세스 값과 같은 값을 가진 Executable SHA -256 필드를 사용할 수도 있습니다.
쿠버네티스 클러스터는 다음과 같이 자체 DNS 서버를 포드 (Pod) 로 실행합니다. coredns 따라서 포드에서 DNS 조회할 때마다 두 개의 DNS 이벤트를 GuardDuty 캡처합니다. 하나는 포드에서, 다른 하나는 서버 포드에서 캡처합니다. 이로 인해 다음과 같은 DNS 결과가 중복될 수 있습니다.
중복 결과에는 DNS 서버 포드에 해당하는 포드, 컨테이너 및 프로세스 세부 정보가 포함됩니다. 이러한 필드를 사용하여 이러한 중복 결과를 억제하는 억제 규칙을 설정할 수 있습니다. 첫 번째 필터 기준은 이 섹션 앞부분에서 제공한 결과 목록의 DNS 검색 결과 유형과 같은 값을 가진 검색 결과 유형 필드를 사용해야 합니다. 두 번째 필터 기준은 값이 DNS 서버와 같은 실행 가능 경로이거나 생성된 검색 결과의 executablePath 값과 같은 실행 파일 SHA -256일 수 있습니다DNS. executableSHA256 선택적인 세 번째 필터 기준으로, 생성된 검색 결과에서 서버 포드의 컨테이너 이미지와 동일한 값을 갖는 Kubernetes 컨테이너 이미지 필드를 사용할 수 있습니다DNS.

억제 규칙 생성

선호하는 액세스 방법을 선택하여 유형을 찾기 위한 억제 규칙을 생성하십시오. GuardDuty

Console

콘솔을 사용하여 금지 규칙을 시각화, 생성 및 관리할 수 있습니다. GuardDuty 억제 규칙은 필터와 동일한 방식으로 생성되며, 기존에 저장된 필터를 억제 규칙으로 사용할 수 있습니다. 필터 생성에 대한 자세한 내용은 조사 결과 필터링 섹션을 참조하세요.

콘솔을 사용하여 억제 규칙 생성:

에서 GuardDuty 콘솔을 엽니다. https://console.aws.amazon.com/guardduty/
결과 페이지에서 결과 표시 안 함을 선택하여 억제 규칙 패널을 엽니다.
필터 기준 메뉴를 열려면 필터 기준 추가에 filter criteria를 입력합니다. 목록에서 기준을 선택할 수 있습니다. 선택한 기준에 유효한 값을 입력합니다.

참고
유효한 값을 결정하려면 결과 테이블을 보고 억제하려는 결과를 선택합니다. 결과 패널에서 세부 정보를 검토하세요.

여러 필터 기준을 추가하고 억제하려는 결과만 테이블에 표시되도록 할 수 있습니다.
억제 규칙의 이름과 설명을 입력합니다. 유효한 문자에는 영숫자, 마침표(.), 밑줄(_), 대시(-) 및 공백이 포함됩니다.
저장(Save)을 선택합니다.

또한 기존의 저장된 필터에서 억제 규칙을 생성할 수 있습니다. 필터 생성에 대한 자세한 내용은 조사 결과 필터링 섹션을 참조하세요.

저장된 필터에서 금지 규칙 생성:

에서 GuardDuty 콘솔을 엽니다 https://console.aws.amazon.com/guardduty/.
결과 페이지에서 결과 표시 안 함을 선택하여 억제 규칙 패널을 엽니다.
저장된 규칙 드롭다운에서 저장된 필터를 선택합니다.
또한 새 필터 기준을 추가할 수 있습니다. 추가 필터 기준이 필요하지 않은 경우 이 단계를 건너뜁니다.

필터 기준 메뉴를 열려면 필터 기준 추가에 filter criteria를 입력합니다. 목록에서 기준을 선택할 수 있습니다. 선택한 기준에 유효한 값을 입력합니다.

참고
유효한 값을 결정하려면 결과 테이블을 보고 억제하려는 결과를 선택합니다. 결과 패널에서 세부 정보를 검토하세요.
억제 규칙의 이름과 설명을 입력합니다. 유효한 문자에는 영숫자, 마침표(.), 밑줄(_), 대시(-) 및 공백이 포함됩니다.
저장(Save)을 선택합니다.

API/CLI

다음을 사용하여 API 금지 규칙을 만들려면:

를 통해 억제 규칙을 생성할 수 있습니다. CreateFilterAPI 이렇게 하려면 아래 설명된 예제의 형식에 따라 JSON 파일에 필터 기준을 지정하십시오. 아래 예시에서는 test.example.com 도메인에 대한 DNS 요청이 있는 보관되지 않은 심각도가 낮은 검색 결과를 모두 표시하지 않습니다. 심각도가 중간인 결과의 경우 입력 목록은 ["4", "5", "7"]입니다. 심각도가 높은 결과의 경우 입력 목록은 ["6", "7", "8"]입니다. 목록에 있는 값 하나를 기준으로 필터링할 수도 있습니다.
```
{
    "Criterion": {
        "service.archived": {
            "Eq": [
                "false"
            ]
        },
        "service.action.dnsRequestAction.domain": {
            "Eq": [
                "test.example.com"
            ]
        },
        "severity": {
            "Eq": [
                "1",
                "2",
                "3"
            ]
        }
    }
}
```
필드 이름 목록 및 해당 콘솔 이름은 을 JSON 참조하십시오. 필터 속성

필터 기준을 테스트하려면 JSON 에서 동일한 기준을 사용하고 올바른 결과가 선택되었는지 확인하십시오. ListFindingsAPI 를 사용하여 필터 기준을 테스트하려면 자체 detectorId 및.json 파일을 사용하여 예제를 AWS CLI 따르세요.

계정과 현재 지역에 detectorId 맞는 항목을 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 를 실행하십시오. ListDetectorsAPI
```
aws guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json
```
아래 예시를 사용하여 자체 탐지기 ID, 금지 규칙 이름 및.json 파일과 함께 금지 규칙으로 사용할 필터를 업로드하십시오. CreateFilterAPI AWS CLI

계정과 현재 지역에 detectorId 맞는 항목을 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 를 실행하십시오. ListDetectorsAPI
```
aws guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json
                
```

를 사용하여 프로그래밍 방식으로 필터 목록을 볼 수 있습니다. ListFilterAPI 에 필터 이름을 제공하여 개별 필터의 세부 정보를 볼 수 있습니다. GetFilterAPI 를 사용하여 필터를 UpdateFilter업데이트하거나 를 사용하여 필터를 삭제합니다 DeleteFilterAPI.

억제 규칙 삭제

선호하는 액세스 방법을 선택하여 유형을 GuardDuty 찾기 위한 금지 규칙을 삭제하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

조사 결과 필터링

신뢰할 수 있는 IP 및 위협 목록