결과 세부 정보 - Amazon GuardDuty
결과 개요ResourceRDS 데이터베이스(DB) 사용자 세부 정보런타임 모니터링 결과 세부 정보EBS 볼륨 스캔 세부 정보EC2 조사 결과 세부 정보를 위한 맬웨어 보호S3 결과 세부 정보에 대한 맬웨어 보호작업작업자 또는 대상추가 정보증거변칙적 동작

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

결과 세부 정보

Amazon GuardDuty 콘솔의 결과 요약 섹션에서 결과 세부 정보를 볼 수 있습니다. 결과 세부 정보는 결과 유형에 따라 달라집니다.

결과에 사용할 수 있는 정보의 종류를 결정하는 두 가지 기본 세부 정보가 있습니다. 첫 번째는 리소스 유형으로, Instance, , AccessKey, S3BucketS3Object, Kubernetes cluster, ECS clusterContainer, 또는 RDSDBInstance가 될 수 있습니다Lambda. 결과 정보를 결정하는 두 번째 세부 정보는 리소스 역할입니다. 리소스 역할은 가 될 수 있습니다. 즉Target, 리소스가 의심스러운 활동의 대상이었습니다. 인스턴스 유형 결과의 경우 리소스 역할은 Actor일 수 있으며, 해당 리소스가 의심스러운 활동을 수행하는 작업자였음을 의미합니다. 이 주제에서는 결과에 대해 일반적으로 제공되는 몇 가지 세부 정보에 대해 설명합니다. GuardDuty 런타임 모니터링 결과 유형S3 결과 유형에 대한 맬웨어 보호의 경우 리소스 역할이 채워지지 않습니다.

결과 개요

결과의 개요 섹션에는 다음 정보를 포함하여 결과의 가장 기본적으로 식별 가능한 특징이 포함되어 있습니다.

  • 계정 ID - 이 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동이 발생한 계정의 AWS ID입니다.

  • 개수 - 이 패턴과 일치하는 활동을 이 결과 ID에 집계한 횟수 GuardDuty 입니다.

  • 생성 날짜 - 이 결과가 처음 생성된 날짜와 시간입니다. 이 값이 업데이트된 시간과 다른 경우 활동이 여러 번 발생했으며 진행 중인 문제임을 나타냅니다.

    참고

    GuardDuty 콘솔의 결과에 대한 타임스탬프는 로컬 시간대에 표시되는 반면, JSON 내보내기 및 CLI 출력은 에 타임스탬프를 표시합니다UTC.

  • 결과 ID - 이 결과 유형 및 파라미터 집합에 대한 고유한 식별자입니다. 이 패턴과 일치하는 새로운 활동 발생은 동일한 ID로 집계됩니다.

  • 결과 유형 - 결과를 트리거한 활동 유형을 나타내는 서식이 지정된 문자열입니다. 자세한 내용은 GuardDuty 검색 형식 단원을 참조하십시오.

  • 리전 - 조사 결과가 생성된 AWS 리전입니다. 지원되는 리전에 대한 자세한 내용은 리전 및 엔드포인트 단원을 참조하십시오.

  • 리소스 ID - 이 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동이 수행된 리소스의 AWS ID입니다.

  • 스캔 ID - 에 대한 GuardDuty 맬웨어 방지EC2가 활성화된 결과에 적용되며, 이는 잠재적으로 손상된 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 EBS 볼륨에서 실행되는 맬웨어 스캔의 식별자입니다. 자세한 내용은 EC2 조사 결과 세부 정보를 위한 맬웨어 보호 단원을 참조하십시오.

  • 심각도 - 결과에 할당된 심각도 수준(High, Medium 또는 Low)입니다. 자세한 내용은 GuardDuty 조사 결과의 심각도 수준 단원을 참조하십시오.

  • 업데이트 시간 - 이 결과를 생성하도록 요청한 GuardDuty 패턴과 일치하는 새 활동으로 이 결과를 마지막으로 업데이트한 시간입니다.

Resource

영향을 받는 리소스는 시작 활동의 대상이 된 AWS 리소스에 대한 세부 정보를 제공합니다. 제공되는 정보는 리소스 유형과 작업 유형에 따라 달라집니다.

리소스 역할 - 결과를 시작한 AWS 리소스의 역할입니다. 이 값은 TARGET 또는 일 수 ACTOR있으며 리소스가 의심스러운 활동의 대상인지 아니면 의심스러운 활동을 수행한 행위자인지를 나타냅니다.

리소스 유형 - 영향을 받은 리소스의 유형입니다. 여러 리소스가 관련된 경우 결과에는 여러 리소스 유형이 포함될 수 있습니다. 리소스 유형은 인스턴스 , AccessKey, S3Bucket, S3Object, KubernetesCluster, ECSCluster, 컨테이너 , RDSDBInstance, Lambda 입니다. 리소스 유형에 따라 다른 결과 세부 정보가 제공됩니다. 리소스 옵션 탭을 선택하여 해당 리소스에 제공되는 세부 정보를 알아보세요.

Instance

인스턴스 세부 정보:

참고

인스턴스가 이미 중지되었거나 리전 간 API 호출 시 기본 API 호출이 다른 리전의 EC2 인스턴스에서 시작된 경우 일부 인스턴스 세부 정보가 누락될 수 있습니다.

  • 인스턴스 ID - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 EC2 인스턴스의 ID입니다.

  • 인스턴스 유형 - 결과에 관련된 EC2 인스턴스의 유형입니다.

  • 시작 시간 - 인스턴스가 시작된 날짜와 시간입니다.

  • Outpost ARN - 의 Amazon 리소스 이름(ARN)입니다 AWS Outposts. AWS Outposts 인스턴스에만 적용됩니다. 자세한 내용은 AWS Outposts란 무엇입니까?를 참조하십시오.

  • 보안 그룹 이름 - 관련 인스턴스에 연결된 보안 그룹의 이름입니다.

  • 보안 그룹 ID – 관련 인스턴스에 연결된 보안 그룹의 ID입니다.

  • 인스턴스 상태 – 대상 인스턴스의 현재 상태입니다.

  • 가용 영역 – 관련 인스턴스가 위치한 AWS 리전 가용 영역입니다.

  • 이미지 ID – 활동에 관여한 인스턴스를 빌드하는 데 사용되는 Amazon Machine Image의 ID입니다.

  • 이미지 설명 – 활동에 관여한 인스턴스를 빌드하는 데 사용되는 Amazon Machine Image의 ID에 대한 설명입니다.

  • 태그 - 이 리소스에 연결된 태그 목록(key:value 형식으로 나열됨)입니다.

AccessKey

액세스 키 세부 정보:

  • 액세스 키 ID - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 참여한 사용자의 액세스 키 ID입니다.

  • 보안 주체 ID - 결과를 생성하라는 메시지가 GuardDuty 표시된 활동에 참여한 사용자의 보안 주체 ID입니다.

  • 사용자 유형 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 참여한 사용자의 유형입니다. 자세한 내용은 CloudTrail userIdentity 요소를 참조하세요.

  • 사용자 이름 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 참여한 사용자의 이름입니다.

S3Bucket

Amazon S3 버킷 세부 정보:

  • 이름 – 결과에 관여한 버킷의 이름입니다.

  • ARN - 결과에 관련된 ARN 버킷의 입니다.

  • 소유자 – 결과에 관여한 버킷을 소유한 사용자의 정식 사용자 ID입니다. 정식 사용자에 대한 자세한 내용은 계정 식별자를 IDs 참조하세요. AWS

  • 유형 – 버킷 결과 유형으로, 대상 또는 소스가 될 수 있습니다.

  • 기본 서버측 암호화 - 버킷에 대한 암호화 세부 정보입니다.

  • 버킷 태그 - 이 리소스에 연결된 태그 목록(key:value 형식으로 나열됨)입니다.

  • 유효한 권한 – 관여한 버킷이 공개적으로 노출되는지 여부를 나타내는 버킷에 대한 모든 유효한 권한 및 정책의 평가입니다. 값은 퍼블릭 또는 퍼블릭 아님이 될 수 있습니다.

S3Object

  • S3 객체 세부 정보 - 스캔한 S3 객체에 대한 다음 정보를 포함합니다.

    • ARN - 스캔한 S3 객체의 Amazon 리소스 이름(ARN)입니다.

    • - S3 버킷에서 생성될 때 파일에 할당된 이름입니다.

    • 버전 ID - 버킷 버전 관리를 활성화한 경우 이 필드는 스캔된 S3 객체의 최신 버전과 연결된 버전 ID를 나타냅니다. 자세한 내용은 Amazon S3 사용자 설명에서 S3 버킷에서 버전 관리 사용을 참조하세요.

    • eTag - 스캔한 S3 객체의 특정 버전을 나타냅니다.

    • 해시 - 이 결과에서 탐지된 위협의 해시입니다.

  • S3 버킷 세부 정보 - 스캔된 Amazon S3 S3 버킷에 대한 다음 정보를 포함합니다.

    • 이름 - 객체가 포함된 S3 버킷의 이름을 나타냅니다.

    • ARN – S3 버킷의 Amazon 리소스 이름(ARN)입니다.

  • 소유자 - S3 버킷 소유자의 정식 ID입니다.

EKSCluster

Kubernetes 클러스터 세부 정보:

  • 이름 – Kubernetes 클러스터의 이름입니다.

  • ARN - 클러스터를 ARN 식별하는 입니다.

  • 생성 날짜 – 이 클러스터가 생성된 날짜와 시간입니다.

    참고

    GuardDuty 콘솔의 결과에 대한 타임스탬프는 로컬 시간대에 표시되는 반면, JSON 내보내기 및 CLI 출력은 에 타임스탬프를 표시합니다UTC.

  • VPC ID - 클러스터에 연결된 의 IDVPC입니다.

  • 상태 – 클러스터의 현재 상태입니다.

  • 태그 – 클러스터를 분류하고 구성하는 데 도움이 되도록 클러스터에 적용하는 메타데이터입니다. 각 태그는 키와 값(선택 사항)으로 구성되며, key:value 형식으로 나열됩니다. 키와 값을 모두 정의해야 합니다.

    클러스터 태그는 클러스터에 연결된 다른 리소스로 전파되지 않습니다.

Kubernetes 워크로드 세부 정보:

  • 유형 – Kubernetes 워크로드의 유형(예: 포드, 배포, 작업)입니다.

  • 이름 - Kubernetes 워크로드의 이름입니다.

  • Uid - Kubernetes 워크로드의 고유 ID입니다.

  • 생성 날짜 - 이 워크로드가 생성된 날짜와 시간입니다.

  • 레이블 - Kubernetes 워크로드에 연결된 키-값 쌍입니다.

  • 컨테이너 - Kubernetes 워크로드의 일부로 실행되는 컨테이너의 세부 정보입니다.

  • 네임스페이스 – 이 Kubernetes 네임스페이스에 속하는 워크로드입니다.

  • 볼륨 – Kubernetes 워크로드에서 사용하는 볼륨입니다.

    • 호스트 경로 – 볼륨이 매핑되는 호스트 머신의 기존 파일 또는 디렉터리를 나타냅니다.

    • 이름 - 볼륨의 이름입니다.

  • 포드 보안 컨텍스트 – 포드의 모든 컨테이너에 대한 권한 및 액세스 제어 설정을 정의합니다.

  • 호스트 네트워크 – 포드가 Kubernetes 워크로드에 포함되는 경우 true로 설정됩니다.

Kubernetes 사용자 세부 정보:

  • 그룹 - 결과를 생성한 활동에 관련된 사용자의 KubernetesRBAC(역할 액세스 기반 제어) 그룹입니다.

  • ID - Kubernetes 사용자의 고유 ID입니다.

  • 사용자 이름 - 결과를 생성한 활동에 관련된 Kubernetes 사용자의 이름입니다.

  • 세션 이름 - Kubernetes RBAC 권한이 있는 IAM 역할을 맡은 엔터티입니다.

ECSCluster

ECS 클러스터 세부 정보:

  • ARN - 클러스터를 ARN 식별하는 입니다.

  • 이름 - 클러스터의 이름입니다.

  • 상태 – 클러스터의 현재 상태입니다.

  • 활성 서비스 개수ACTIVE 상태의 클러스터에서 실행 중인 서비스의 수입니다. 를 사용하여 이러한 서비스를 볼 수 있습니다. ListServices

  • 등록된 컨테이너 인스턴스 개수 – 클러스터에 등록된 컨테이너 인스턴스의 수입니다. 여기에는 ACTIVEDRAINING 상태의 컨테이너 인스턴스가 모두 포함됩니다.

  • 실행 중인 작업 개수RUNNING 상태인 클러스터의 작업 수입니다.

  • 태그 – 클러스터를 분류하고 구성하는 데 도움이 되도록 클러스터에 적용하는 메타데이터입니다. 각 태그는 키와 값(선택 사항)으로 구성되며, key:value 형식으로 나열됩니다. 키와 값을 모두 정의해야 합니다.

  • 컨테이너 - 작업과 관련된 컨테이너에 대한 세부 정보:

    • 컨테이너 이름 - 컨테이너의 이름입니다.

    • 컨테이너 이미지 - 컨테이너의 이미지입니다.

  • 태스크 세부 정보 - 클러스터 내 태스크의 세부 정보입니다.

    • ARN - 작업의 Amazon 리소스 이름(ARN)입니다.

    • 정의 ARN - 태스크를 생성하는 태스크 정의의 Amazon 리소스 이름(ARN)입니다.

    • 버전 - 작업의 버전 카운터입니다.

    • 태스크 생성 날짜 – 태스크가 생성되었을 때의 Unix 타임스탬프입니다.

    • 태스크 시작 시간 – 태스크가 시작되었을 때의 Unix 타임스탬프입니다.

    • 태스크 시작 – 태스크가 시작되었을 때 지정된 태그입니다.

Container

컨테이너 세부 정보:

  • 컨테이너 런타임 – 컨테이너 실행에 사용되는 컨테이너 런타임(예: docker 또는 containerd)입니다.

  • ID - 컨테이너 인스턴스의 컨테이너 인스턴스 ID 또는 전체 ARN 항목입니다.

  • 이름 - 컨테이너의 이름입니다.

  • 이미지 - 컨테이너 인스턴스의 이미지입니다.

  • 볼륨 마운트 – 컨테이너 볼륨 마운트 목록입니다. 컨테이너는 파일 시스템 아래에 볼륨을 탑재할 수 있습니다.

  • 보안 컨텍스트 – 컨테이너 보안 컨텍스트는 컨테이너의 권한 및 액세스 제어 설정을 정의합니다.

  • 프로세스 세부 정보 – 결과와 관련된 프로세스의 세부 정보를 설명합니다.

RDSDBInstance

RDSDBInstance 세부 정보:

참고

이 리소스는 데이터베이스 인스턴스와 관련된 RDS 보호 조사 결과에서 사용할 수 있습니다.

  • 데이터베이스 인스턴스 ID - GuardDuty 결과에 관련된 데이터베이스 인스턴스와 연결된 식별자입니다.

  • 엔진 - 결과에 관여한 데이터베이스 인스턴스의 데이터베이스 엔진 이름입니다. 가능한 값은 Aurora My SQL-Compatible 또는 Aurora Postgre SQL-Compatible입니다.

  • 엔진 버전 - 결과에 관련된 데이터베이스 엔진의 GuardDuty 버전입니다.

  • 데이터베이스 클러스터 ID - GuardDuty 결과에 관련된 데이터베이스 인스턴스 ID가 포함된 데이터베이스 클러스터의 식별자입니다.

  • 데이터베이스 인스턴스 ARN - 결과에 관련된 데이터베이스 인스턴스를 ARN GuardDuty 식별하는 입니다.

Lambda
Lambda 함수 세부 정보

  • 함수 이름 – 결과와 관련된 Lambda 함수의 이름입니다.

  • 함수 버전 – 결과와 관련된 Lambda 함수의 버전입니다.

  • 함수 설명 – 결과와 관련된 Lambda 함수의 설명입니다.

  • 함수 ARN - 결과에 관련된 Lambda 함수의 Amazon 리소스 이름(ARN)입니다.

  • 개정 ID – Lambda 함수 버전의 개정 ID입니다.

  • 역할 - 결과와 관련된 Lambda 함수의 실행 역할입니다.

  • VPC 구성 - Lambda 함수와 IDs 연결된 VPC ID, 보안 그룹 및 서브넷을 포함한 Amazon VPC 구성입니다.

    • VPC ID - 결과에 관련된 Lambda 함수와 연결된 Amazon의 IDVPC입니다.

    • 서브넷 IDs - Lambda 함수와 연결된 서브넷의 ID입니다.

    • 보안 그룹 – 관련 Lambda 함수에 연결된 보안 그룹입니다. 여기에는 보안 그룹 이름과 그룹 ID가 포함됩니다.

  • 태그 - 이 리소스에 연결된 태그 목록(key:value 형식으로 나열됨)입니다.

RDS 데이터베이스(DB) 사용자 세부 정보

참고

이 섹션은 에서 RDS 보호 기능을 활성화한 결과에 적용됩니다 GuardDuty. 자세한 내용은 GuardDuty RDS 보호 단원을 참조하십시오.

조사 GuardDuty 결과는 잠재적으로 손상된 데이터베이스의 다음과 같은 사용자 및 인증 세부 정보를 제공합니다.

  • 사용자 - 변칙적인 로그인 시도에 사용된 사용자 이름입니다.

  • 애플리케이션 - 변칙적인 로그인 시도에 사용되는 애플리케이션 이름입니다.

  • 데이터베이스 - 변칙적인 로그인 시도와 관련된 데이터베이스 인스턴스의 이름입니다.

  • SSL - 네트워크에 사용되는 Secure Socket Layer(SSL)의 버전입니다.

  • 인증 방법 – 결과와 관련된 사용자가 사용하는 인증 방법입니다.

런타임 모니터링 결과 세부 정보

참고

이러한 세부 정보는 가 중 하나를 GuardDuty 생성하는 경우에만 사용할 수 있습니다GuardDuty 런타임 모니터링 결과 유형.

이 섹션에는 프로세스 세부 정보 및 필요한 컨텍스트와 같은 런타임 세부 정보가 포함되어 있습니다. 프로세스 세부 정보는 관찰된 프로세스에 대한 정보를 설명하고 런타임 컨텍스트는 잠재적으로 의심스러운 활동에 대한 추가 정보를 설명합니다.

프로세스 세부 정보

  • 이름 - 프로세스의 이름입니다.

  • 실행 파일 경로 – 프로세스 실행 파일의 절대 경로입니다.

  • 실행 파일 SHA-256 - 프로세스 실행 파일의 SHA256해시입니다.

  • 네임스페이스 PID - 호스트 수준 네임스페이스 이외의 보조 PID 네임PID스페이스에 있는 프로세스의 프로세스 ID입니다. 컨테이너 내부 프로세스의 경우 컨테이너 내부에서 관찰된 프로세스 ID.

  • 현재 작업 디렉터리 – 프로세스의 현재 작업 디렉터리입니다.

  • 프로세스 ID – 운영 체제에서 프로세스에 할당한 ID입니다.

  • startTime – 프로세스가 시작된 시간입니다. UTC 날짜 문자열 형식(2023-03-22T19:37:20.168Z)입니다.

  • UUID - 에서 프로세스에 할당한 고유 ID입니다 GuardDuty.

  • 상위 UUID - 상위 프로세스의 고유 ID입니다. 이 ID는 에 의해 상위 프로세스에 할당됩니다 GuardDuty.

  • 사용자 - 프로세스를 실행한 사용자입니다.

  • 사용자 ID – 프로세스를 실행한 사용자의 ID입니다.

  • 유효한 사용자 ID – 이벤트 시점에서 프로세스의 유효 사용자 ID입니다.

  • 계보 - 프로세스의 상위 항목에 관한 정보입니다.

    • 프로세스 ID – 운영 체제에서 프로세스에 할당한 ID입니다.

    • UUID - 에서 프로세스에 할당한 고유 ID입니다 GuardDuty.

    • 실행 파일 경로 – 프로세스 실행 파일의 절대 경로입니다.

    • 유효한 사용자 ID – 이벤트 시점에서 프로세스의 유효 사용자 ID입니다.

    • 상위 UUID - 상위 프로세스의 고유 ID입니다. 이 ID는 에 의해 상위 프로세스에 할당됩니다 GuardDuty.

    • 시작 시간 – 프로세스가 시작된 시간입니다.

    • 네임스페이스 PID - 호스트 수준 네임스페이스 이외의 보조 PID 네임PID스페이스에 있는 프로세스의 프로세스 ID입니다. 컨테이너 내부 프로세스의 경우 컨테이너 내부에서 관찰된 프로세스 ID입니다.

    • 사용자 ID – 프로세스를 실행한 사용자의 사용자 ID입니다.

    • 이름 – 프로세스의 이름입니다.

런타임 컨텍스트

다음 필드에서 생성된 결과에는 해당 결과 유형과 관련된 필드만 포함될 수 있습니다.

  • 탑재 소스 – 컨테이너에 탑재된 호스트의 경로입니다.

  • 탑재 대상 – 호스트 디렉터리에 매핑되는 컨테이너의 경로입니다.

  • 파일 시스템 유형 – 탑재된 파일 시스템의 유형을 나타냅니다.

  • 플래그 - 이 결과와 관련된 이벤트의 동작을 제어하는 옵션을 나타냅니다.

  • 수정 프로세스 – 런타임에 컨테이너 내에서 바이너리, 스크립트 또는 라이브러리를 만들거나 수정한 프로세스에 관한 정보입니다.

  • 수정 날짜 – 프로세스가 런타임에 컨테이너 내에서 바이너리, 스크립트 또는 라이브러리를 만들거나 수정한 타임스탬프입니다. 이 필드는 UTC 날짜 문자열 형식()입니다2023-03-22T19:37:20.168Z.

  • 라이브러리 경로 – 로드된 새 라이브러리의 경로입니다.

  • LD 로드 이전 값LD_PRELOAD 환경 변수의 값입니다.

  • 소켓 경로 – 액세스된 Docker 소켓의 경로입니다.

  • runC 바이너리 경로runc 바이너리의 경로입니다.

  • 릴리스 에이전트 경로 - cgroup 릴리스 에이전트 파일의 경로입니다.

  • 명령줄 예제 - 잠재적으로 의심스러운 활동에 관련된 명령줄의 예제입니다.

  • 도구 범주 - 도구가 속한 범주입니다. 몇 가지 예는 백도어 도구, Pentest 도구, 네트워크 스캐너 및 네트워크 스니퍼입니다.

  • 도구 이름 - 잠재적으로 의심스러운 도구의 이름입니다.

  • 스크립트 경로 - 결과를 생성한 실행된 스크립트의 경로입니다.

  • 위협 파일 경로 - 위협 인텔리전스 세부 정보가 발견된 의심스러운 경로입니다.

  • 서비스 이름 - 비활성화된 보안 서비스의 이름입니다.

EBS 볼륨 스캔 세부 정보

참고

이 섹션은 에서 GuardDuty시작된 맬웨어 스캔을 켤 때의 결과에 적용됩니다에 대한 맬웨어 보호 EC2.

EBS 볼륨 스캔은 잠재적으로 손상된 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 EBS 볼륨에 대한 세부 정보를 제공합니다.

  • 스캔 ID – 맬웨어 스캔의 식별자입니다.

  • 스캔 시작 시간 – 맬웨어 스캔이 시작된 날짜와 시간입니다.

  • 스캔 완료 시간 – 맬웨어 스캔이 완료된 날짜와 시간입니다.

  • 트리거 결과 ID - 이 맬웨어 스캔을 시작한 GuardDuty 결과의 결과 ID입니다.

  • 소스 - 잠재적 값은 Bitdefender 및 입니다Amazon.

    맬웨어를 감지하는 데 사용되는 스캔 엔진에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 멀웨어 탐지 스캔 엔진.

  • 스캔 탐지 – 각 맬웨어 스캔의 세부 정보 및 결과를 전체적으로 볼 수 있습니다.

    • 스캔한 항목 수 - 스캔한 파일의 총 수입니다. totalGb, filesvolumes 등의 세부 정보를 제공합니다.

    • 위협이 탐지된 항목 수 – 스캔 중에 탐지된 악성 files의 총 수입니다.

    • 최고 심각도 위협 세부 정보 – 스캔 중에 탐지된 최고 심각도 위협의 세부 정보 및 악성 파일 수입니다. severity, threatNamecount 등의 세부 정보를 제공합니다.

    • 이름 기준 탐지된 위협 – 모든 심각도 수준으로 위협이 그룹화된 컨테이너 요소입니다. itemCount, uniqueThreatNameCount, shortenedthreatNames 등의 세부 정보를 제공합니다.

EC2 조사 결과 세부 정보를 위한 맬웨어 보호

참고

이 섹션은 에서 GuardDuty시작된 맬웨어 스캔을 켤 때의 결과에 적용됩니다에 대한 맬웨어 보호 EC2.

EC2 스캔용 맬웨어 보호에서 맬웨어를 감지하면 https://console.aws.amazon.com/guardduty/ 콘솔의 결과 페이지에서 해당 결과를 선택하여 스캔 세부 정보를 볼 수 있습니다. EC2 조사 결과에 대한 맬웨어 보호의 심각도는 조사 결과의 심각도 GuardDuty에 따라 달라집니다.

세부 정보 패널의 탐지된 위협 섹션에서 다음 정보가 제공됩니다.

  • 이름 - 탐지별로 파일을 그룹화하여 얻은 위협의 이름입니다.

  • 심각도 - 탐지된 위협의 심각도입니다.

  • 해시 - 파일의 SHA-256입니다.

  • 파일 경로 - EBS 볼륨에서 악성 파일의 위치입니다.

  • 파일 이름 – 위협이 탐지된 파일의 이름입니다.

  • 볼륨 ARN - 스캔된 EBS 볼륨ARN의 입니다.

세부 정보 패널의 맬웨어 스캔 세부 정보 섹션에서 다음 정보가 제공됩니다.

  • 스캔 ID – 맬웨어 스캔의 스캔 ID입니다.

  • 스캔 시작 시간 - 스캔이 시작된 날짜와 시간입니다.

  • 스캔 완료 시간 – 스캔이 완료된 날짜와 시간입니다.

  • 스캔된 파일 – 스캔한 파일 및 디렉터리의 총 수입니다.

  • 스캔한 총 GB – 프로세스 중 스캔한 스토리지의 양입니다.

  • 트리거 결과 ID - 이 맬웨어 스캔을 시작한 GuardDuty 결과의 결과 ID입니다.

  • 세부 정보 패널의 볼륨 세부 정보 섹션에서 다음 정보가 제공됩니다.

    • 볼륨 ARN - 볼륨의 Amazon 리소스 이름(ARN)입니다.

    • 스냅샷ARN - EBS 볼륨 ARN 스냅샷의 입니다.

    • 상태 - 볼륨의 스캔 상태(예: Running, Skipped, Completed)입니다.

    • 암호화 유형 – 볼륨을 암호화하는 데 사용된 암호화 유형입니다. 예: CMCMK.

    • 디바이스 이름 – 디바이스의 이름입니다. 예: /dev/xvda.

S3 결과 세부 정보에 대한 맬웨어 보호

에서 S3용 맬웨어 방지 GuardDuty 를 모두 활성화하면 다음 맬웨어 스캔 세부 정보를 사용할 수 있습니다 AWS 계정.

  • 위협 - 맬웨어 스캔 중에 탐지된 위협 목록입니다.

  • 항목 경로 - 스캔한 S3 객체의 중첩된 항목 경로 및 해시 세부 정보 목록입니다.

    • 중첩 항목 경로 - 위협이 감지된 스캔된 S3 객체의 항목 경로입니다.

      이 필드의 값은 최상위 객체가 아카이브이고 아카이브 내에서 위협이 감지되는 경우에만 사용할 수 있습니다.

    • 해시 - 이 결과에서 탐지된 위협의 해시입니다.

  • 소스 - 잠재적 값은 Bitdefender 및 입니다Amazon.

    맬웨어를 감지하는 데 사용되는 스캔 엔진에 대한 자세한 내용은 섹션을 참조하세요GuardDuty 멀웨어 탐지 스캔 엔진.

작업

결과의 작업은 결과를 트리거한 활동 유형에 대한 세부 정보를 제공합니다. 사용 가능한 정보는 작업 유형에 따라 다릅니다.

작업 유형 – 결과 활동 유형입니다. 이 값은 NETWORK_CONNECTION, _, PORT_PROBEDNSREQUEST, AWS_API_CALL 또는 RDS_LOGIN_ATTEMPT일 수 있습니다. 사용 가능한 정보는 작업 유형에 따라 다릅니다.

  • NETWORK_CONNECTION – 식별된 EC2 인스턴스와 원격 호스트 간에 네트워크 트래픽이 교환되었음을 나타냅니다. 이 작업 유형은 다음과 같은 추가 정보를 보유합니다.

    • 연결 방향 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에서 관찰된 네트워크 연결 방향입니다. 다음 값 중 하나일 수 있습니다.

      • INBOUND - 원격 호스트가 계정에서 식별된 EC2 인스턴스의 로컬 포트에 대한 연결을 시작했음을 나타냅니다.

      • OUTBOUND - 식별된 EC2 인스턴스가 원격 호스트에 대한 연결을 시작했음을 나타냅니다.

      • UNKNOWN - 가 연결 방향을 결정할 GuardDuty 수 없음을 나타냅니다.

    • 프로토콜 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에서 관찰된 네트워크 연결 프로토콜입니다.

    • 로컬 IP – 결과를 트리거한 트래픽의 기존 소스 IP 주소입니다. 이 정보는 트래픽이 흐르는 중간 계층의 IP 주소와 결과를 트리거한 트래픽의 원래 소스 IP 주소를 구별하는 데 사용할 수 있습니다. 예를 들어 EKS 포드가 실행 중인 인스턴스의 IP 주소가 아닌 EKS 포드의 IP 주소입니다.

    • 차단됨 - 대상 포트가 차단되었는지 여부를 나타냅니다.

  • PORT_PROBE – 원격 호스트가 여러 열린 포트에서 식별된 EC2 인스턴스를 검사했음을 나타냅니다. 이 작업 유형은 다음과 같은 추가 정보를 보유합니다.

    • 로컬 IP – 결과를 트리거한 트래픽의 기존 소스 IP 주소입니다. 이 정보는 트래픽이 흐르는 중간 계층의 IP 주소와 결과를 트리거한 트래픽의 원래 소스 IP 주소를 구별하는 데 사용할 수 있습니다. 예를 들어 EKS 포드가 실행 중인 인스턴스의 IP 주소가 아닌 EKS 포드의 IP 주소입니다.

    • 차단됨 - 대상 포트가 차단되었는지 여부를 나타냅니다.

  • DNS_REQUEST – 식별된 EC2 인스턴스가 도메인 이름을 쿼리했음을 나타냅니다. 이 작업 유형은 다음과 같은 추가 정보를 보유합니다.

    • 프로토콜 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에서 관찰된 네트워크 연결 프로토콜입니다.

    • 차단됨 - 대상 포트가 차단되었는지 여부를 나타냅니다.

  • AWS_API_CALL – 가 AWS 호출API되었음을 나타냅니다. 이 작업 유형은 다음과 같은 추가 정보를 보유합니다.

    • API - 호출되어 이 결과를 생성 GuardDuty 하라는 메시지가 표시된 API 작업의 이름입니다.

      참고

      이러한 작업에는 에서 캡처한 비API 이벤트도 포함될 수 있습니다 AWS CloudTrail. 자세한 내용은 에서 캡처한 비API 이벤트 CloudTrail 섹션을 참조하세요.

    • 사용자 에이전트 - API 요청을 수행한 사용자 에이전트입니다. 이 값은 호출이 AWS Management Console, AWS 서비스, AWS SDKs또는 에서 이루어졌는지 여부를 알려줍니다 AWS CLI.

    • ERROR CODE - 실패한 API 호출로 인해 결과가 트리거된 경우 해당 호출에 대한 오류 코드가 표시됩니다.

    • 서비스 이름 - 결과를 트리거한 API 호출을 시도한 서비스의 DNS 이름입니다.

  • RDS_LOGIN_ATTEMPT – 원격 IP 주소에서 잠재적으로 손상된 데이터베이스에 로그인 시도가 이루어졌음을 나타냅니다.

    • IP 주소 – 잠재적으로 의심스러운 로그인 시도에 사용된 원격 IP 주소입니다.

작업자 또는 대상

Resource roleTARGET인 경우 결과에 작업자 섹션이 있습니다. 이는 리소스가 의심스러운 활동의 대상이 되었음을 나타내며 작업자 섹션에는 리소스를 대상으로 한 엔터티에 대한 세부 정보가 포함됩니다.

Resource roleACTOR인 경우 결과에 대상 섹션이 있습니다. 이는 리소스가 원격 호스트에 대한 의심스러운 활동에 관여했음을 나타내며, 이 섹션에는 리소스가 대상으로 한 IP 또는 도메인에 대한 정보가 포함됩니다.

작업자 또는 대상 섹션에서 제공되는 정보는 다음과 같습니다.

  • 제휴 - 원격 API 호출자의 AWS 계정이 GuardDuty 환경과 관련이 있는지 여부에 대한 세부 정보입니다. 이 값이 인 경우 true API 발신자는 어떤 방식으로든 계정에 연결됩니다. 인 경우 false API 발신자는 환경 외부에 있습니다.

  • 원격 계정 ID - 최종 네트워크에서 리소스에 액세스하는 데 사용된 아웃바운드 IP 주소를 소유한 계정 ID입니다.

  • IP 주소 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 IP 주소입니다.

  • 위치 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동과 관련된 IP 주소의 위치 정보입니다.

  • 조직 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 IP 주소의 ISP 조직 정보입니다.

  • 포트 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 포트 번호입니다.

  • 도메인 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 도메인입니다.

  • 접미사가 있는 도메인 - 결과를 생성 GuardDuty 하도록 잠재적으로 유도한 활동에 관련된 두 번째 및 최상위 도메인입니다. 최상위 및 2단계 도메인 목록은 퍼블릭 접미사 목록 을 참조하세요.

추가 정보

모든 결과의 추가 정보 섹션에는 다음 정보가 포함될 수 있습니다.

  • 위협 목록 이름 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 IP 주소 또는 도메인 이름을 포함하는 위협 목록의 이름입니다.

  • 샘플 - 샘플 결과인지 여부를 나타내는 true 또는 false 값입니다.

  • 보관됨 - 결과가 보관되었는지 여부를 나타내는 true 또는 false 값입니다.

  • 비정상 - 기록상 관찰된 적 없는 활동의 세부 정보입니다. 여기에는 비정상적인(이전에는 관찰되지 않은) 사용자, 위치, 시간, 버킷, 로그인 동작 또는 ASN 조직이 포함될 수 있습니다.

  • 비정상적인 프로토콜 - 결과를 생성 GuardDuty 하라는 메시지가 표시된 활동에 관련된 네트워크 연결 프로토콜입니다.

  • 에이전트 세부 정보 - 의 EKS 클러스터에 현재 배포된 보안 에이전트에 대한 세부 정보입니다 AWS 계정. 이는 EKS 런타임 모니터링 결과 유형에만 적용됩니다.

    • 에이전트 버전 - GuardDuty 보안 에이전트의 버전입니다.

    • 에이전트 ID - GuardDuty 보안 에이전트의 고유 식별자입니다.

증거

위협 인텔리전스에 기반한 결과에는 다음 정보가 포함된 증거 섹션이 있습니다.

  • 위협 인텔리전스 세부 정보 - 인식된 이 Threat name 표시되는 위협 목록의 이름입니다.

  • 위협 이름 - 위협과 연결된 멀웨어 패밀리 또는 기타 식별자의 이름입니다.

  • 위협 파일 SHA256 - 결과를 생성한 SHA256 파일의 입니다.

변칙적 동작

로 끝나는 결과 유형은 결과가 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 생성되었음을 AnomalousBehavior 나타냅니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용하는 전술과 관련된 이상 이벤트를 식별합니다. ML 모델은 API 요청을 수행한 사용자, 요청이 수행된 위치, 요청된 특정 등 요청의 다양한 요소를 추적API합니다.

API 요청을 호출한 CloudTrail 사용자 자격 증명에 대해 요청의 어떤 요소가 비정상적인지에 대한 세부 정보는 결과 세부 정보에서 찾을 수 있습니다. 자격 증명은 CloudTrail userIdentity 요소 에 의해 정의되며 가능한 값은 Root, , IAMUser, AssumedRole, FederatedUser AWSAccount또는 입니다AWSService.

API 활동과 관련된 모든 GuardDuty 조사 결과에 사용할 수 있는 세부 정보 외에도 AnomalousBehavior 조사 결과에는 다음 섹션에 설명된 추가 세부 정보가 있습니다. 이러한 세부 정보는 콘솔에서 볼 수 있으며 조사 결과의 에서도 확인할 수 있습니다JSON.

  • 변칙 APIs- 조사 결과와 연결된 기본 API 요청 근처에서 사용자 자격 증명에 의해 호출된 API 요청의 목록입니다. 이 창에서는 API 이벤트의 세부 정보를 다음과 같은 방법으로 추가로 세분화합니다.

    • 첫 번째 목록은 기본 API이며API, 이는 관찰된 가장 높은 위험의 활동과 관련된 API 요청입니다. 이는 결과를 트리거API한 이며 결과 유형의 공격 단계와 상관관계가 있습니다. 또한 콘솔의 작업 섹션과 조사 결과의 에 자세히 API 설명되어 있습니다JSON.

    • APIs 나열된 다른 모든 는 기본 에 근접하여 관찰된 나열된 사용자 자격 증명APIs에서 추가로 변칙적입니다API. API 목록에 하나만 있는 경우 ML 모델은 해당 사용자 자격 증명의 추가 API 요청을 변칙적인 것으로 식별하지 않았습니다.

    • 의 목록은 이 성공적으로 호출API되었는지 또는 API가 성공적으로 호출되지 않은 경우 오류 응답을 수신했는지 여부에 따라 구분APIs됩니다. 수신된 오류 응답의 유형은 각각 위에 나열되며 실패하면 라고 합니다API. 가능한 오류 응답 유형은 access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not foundoperation not permitted입니다.

    • APIs 는 연결된 서비스에 따라 분류됩니다.

    • 자세한 컨텍스트를 보려면 기록을 APIs 선택하여 상위 에 대한 세부 정보를 최대 20APIs개까지 확인합니다. 이는 일반적으로 사용자 자격 증명과 계정 내 모든 사용자에게 표시됩니다. APIs 는 계정 내에서 사용되는 빈도에 따라 드물게(한 달에 한 번 미만), 자주(한 달에 몇 번) 또는 자주(매일~매주)로 표시됩니다.

  • 비정상적인 동작(계정) - 이 섹션에서는 계정에서 프로파일링된 동작에 대한 추가 세부 정보를 제공합니다.

    프로파일링된 동작

    GuardDuty 는 전달된 이벤트를 기반으로 계정 내의 활동에 대해 지속적으로 학습합니다. 이러한 활동 및 관찰된 빈도를 프로파일링된 동작이라고 합니다.

    이 패널에서 추적되는 정보는 다음과 같습니다.

    • ASN 조직 - 이상 API 호출이 수행된 자율 시스템 번호(ASN) 조직입니다.

    • 사용자 이름 - 이상 API 호출을 수행한 사용자의 이름입니다.

    • 사용자 에이전트 - 이상 API 호출에 사용되는 사용자 에이전트입니다. 사용자 에이전트는 호출에 사용된 메서드입니다(예: aws-cli 또는 Botocore).

    • 사용자 유형 - 이상 API 호출을 수행한 사용자의 유형입니다. 가능한 값은 AWS_SERVICE, ASSUMED_ROLE, IAM_USER, 또는 ROLE입니다.

    • 버킷 - 액세스 중인 S3 버킷의 이름입니다.

  • 비정상적인 동작(사용자 ID) - 이 섹션에서는 결과와 관련된 사용자 ID의 프로파일링된 동작에 대한 추가 세부 정보를 제공합니다. 동작이 기록으로 식별되지 않는 경우, 이는 GuardDuty ML 모델이 이전에 훈련 기간 내에 이 방식으로 이 API 호출을 수행하는 이 사용자 ID를 본 적이 없음을 의미합니다. 사용자 ID에 관하여 다음 추가 세부 정보가 제공됩니다.

    • ASN 조직 - 이상 API 호출이 수행된 ASN 조직입니다.

    • 사용자 에이전트 - 이상 API 호출을 수행하는 데 사용되는 사용자 에이전트입니다. 사용자 에이전트는 호출에 사용된 메서드입니다(예: aws-cli 또는 Botocore).

    • 버킷 - 액세스 중인 S3 버킷의 이름입니다.

  • 비정상적인 동작(버킷) - 이 섹션에서는 결과와 관련된 S3 버킷의 프로파일링된 동작에 관한 추가 세부 정보를 제공합니다. 동작이 기록으로 식별되지 않으면 GuardDuty ML 모델이 훈련 기간 내에 이 버킷에 대한 API 호출을 이전에 본 적이 없음을 의미합니다. 이 섹션에서 추적되는 정보는 다음과 같습니다.

    • ASN 조직 - 이상 API 호출이 수행된 ASN 조직입니다.

    • 사용자 이름 - 이상 API 호출을 수행한 사용자의 이름입니다.

    • 사용자 에이전트 - 이상 API 호출에 사용되는 사용자 에이전트입니다. 사용자 에이전트는 호출에 사용된 메서드입니다(예: aws-cli 또는 Botocore).

    • 사용자 유형 - 이상 API 호출을 수행한 사용자의 유형입니다. 가능한 값은 AWS_SERVICE, ASSUMED_ROLE, IAM_USER 또는 ROLE입니다.

    참고

    동작 기록에 대한 추가 컨텍스트의 경우 비정상적인 동작(계정), 사용자 ID 또는 버킷 섹션에서 동작 기록을 선택하여 계정 내에서 사용되는 빈도에 따라 드문(한 달에 1회 미만), 이따끔씩(한 달에 몇 회) 또는 자주(매일에서 매주 사용) 범주 각각에 대해 계정에서 예상되는 동작에 관한 세부 정보를 확인합니다.

  • 비정상적인 동작(데이터베이스) - 이 섹션에서는 결과와 관련된 데이터베이스 인스턴스의 프로파일링된 동작에 관한 추가 세부 정보를 제공합니다. 동작이 기록으로 식별되지 않으면 GuardDuty ML 모델이 훈련 기간 내에 이 데이터베이스 인스턴스에 대한 로그인 시도를 이전에 본 적이 없음을 의미합니다. 결과 패널의 이 섹션에서 추적되는 정보는 다음과 같습니다.

    • 사용자 이름 - 변칙적인 로그인 시도에 사용된 사용자 이름입니다.

    • ASN 조직 - 이상 로그인 시도가 수행된 ASN 조직입니다.

    • 애플리케이션 이름 - 변칙적인 로그인 시도에 사용되는 애플리케이션 이름입니다.

    • 데이터베이스 이름 - 변칙적인 로그인 시도와 관련된 데이터베이스 인스턴스의 이름입니다.

    과거 동작 섹션에서는 이전에 관찰된 사용자 이름 , ASN 조직 , 애플리케이션 이름 및 연결된 데이터베이스의 데이터베이스 이름에 대한 추가 컨텍스트를 제공합니다. 각 고유 값에는 로그인 성공 이벤트에서 이 값이 관찰된 횟수를 나타내는 관련 카운트가 있습니다.

  • 비정상적인 동작(계정 Kubernetes 클러스터, Kubernetes 네임스페이스 및 Kubernetes 사용자 이름) - 이 섹션에서는 해당 결과와 관련된 Kubernetes 클러스터 및 네임스페이스의 프로파일링된 동작에 관한 추가 세부 정보를 제공합니다. 동작이 기록으로 식별되지 않는 경우 GuardDuty ML 모델이 이전에 이 계정, 클러스터, 네임스페이스 또는 사용자 이름을 이러한 방식으로 관찰하지 않았음을 의미합니다. 결과 패널의 이 섹션에서 추적되는 정보는 다음과 같습니다.

    • 사용자 이름 - 결과와 API 연결된 Kubernetes를 호출한 사용자입니다.

    • 가장한 사용자username으로 가장한 사용자입니다.

    • 네임스페이스 - 작업이 발생한 Amazon EKS 클러스터 내의 Kubernetes 네임스페이스입니다.

    • 사용자 에이전트 - Kubernetes API 호출과 연결된 사용자 에이전트입니다. 사용자 에이전트는 호출에 사용된 메서드입니다(예: kubectl).

    • API - Amazon EKS 클러스터 username 내에서 가 API 호출한 Kubernetes입니다.

    • ASN 정보 - 이 호출을 수행하는 사용자의 IP 주소와 ISP연결된 Organization 및 와 같은 ASN 정보입니다.

    • 요일 - Kubernetes API 호출이 수행된 요일입니다.

    • 권한 - 가 Kubernetes 를 사용할 username 수 있는지 여부를 나타내기 위해 액세스를 확인하는 Kubernetes 동사 및 리소스입니다API.

    • 서비스 계정 이름 - 워크로드에 대한 자격 증명을 제공하는 Kubernetes 워크로드와 연결된 서비스 계정입니다.

    • 레지스트리 - Kubernetes 워크로드에 배포된 컨테이너 이미지와 연결된 컨테이너 레지스트리입니다.

    • 이미지 - 연결된 태그 및 다이제스트가 없는 컨테이너 이미지로 Kubernetes 워크로드에 배포됩니다.

    • 이미지 접두사 구성 - 이미지를 사용하는 컨테이너에 privileged대해 hostNetwork 또는 와 같은 컨테이너 및 워크로드 보안 구성이 활성화된 이미지 접두사입니다.

    • 제목 이름 - 또는 의 참조 역할에 바인딩serviceAccountNameusergroup, RoleBinding 또는 와 같은 제목입니다ClusterRoleBinding.

    • 역할 이름 - 역할 또는 의 생성 또는 수정과 관련된 역할의 이름입니다roleBindingAPI.

S3 볼륨 기반 이상

이 섹션에서는 S3 볼륨 기반 이상에 관한 컨텍스트 정보를 자세히 설명합니다. 볼륨 기반 조사 결과(Exfiltration:S3/AnomalousBehavior)는 사용자가 S3 버킷에 거는 비정상적인 수의 S3 API 호출을 모니터링하여 잠재적 데이터 유출을 나타냅니다. 볼륨 기반 이상 감지를 위해 다음 S3 API 호출이 모니터링됩니다.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

다음 지표는 IAM 엔터티가 S3 버킷에 액세스할 때 일반적인 동작의 기준을 구축하는 데 도움이 됩니다. 데이터 유출을 탐지하기 위해 볼륨 기반 이상 탐지 결과는 일반적인 동작 기준과 비교하여 모든 활동을 평가합니다. 비정상적인 동작(사용자 ID), 관찰된 볼륨(사용자 ID)관찰된 볼륨(버킷) 섹션에서 동작 기록을 선택하여 다음 지표를 확인합니다.

  • 지난 24시간 동안 영향을 받은 S3 버킷과 연결된 IAM 사용자 또는 IAM 역할이 호출한 s3-api-name API 통화 수(발행된 위치에 따라 다름).

  • 지난 24시간 동안 모든 S3 버킷과 연결된 IAM 사용자 또는 IAM 역할이 호출한 s3-api-name API 통화 수(발행된 위치에 따라 다름).

  • 지난 24시간 동안 영향을 받은 S3 버킷과 연결된 모든 IAM 사용자 또는 IAM 역할(발행된 위치에 따라 다름)의 s3-api-name API 호출 수입니다.

RDS 로그인 활동 기반 이상

이 섹션서는 비정상적 작업자의 로그인 시도 횟수를 자세히 설명하고 로그인 시도 결과에 따라 그룹화됩니다. RDS 보호 결과 유형에서 로그인 이벤트에서 비정상적인 successfulLoginCount, failedLoginCountincompleteConnectionCount 패턴을 모니터링하여 변칙적인 동작을 식별합니다.

  • successfulLoginCount - 이 카운터는 비정상적인 공격자가 데이터베이스 인스턴스에 수행한 성공한 연결(로그인 속성의 올바른 조합)의 합계를 나타냅니다. 로그인 속성에는 사용자 이름, 암호 및 데이터베이스 이름이 포함됩니다.

  • failedLoginCount – 이 카운터는 데이터베이스 인스턴스에 대한 연결을 설정하기 위해 실패한(실패한) 로그인 시도의 합계를 나타냅니다. 이는 사용자 이름, 암호 또는 데이터베이스 이름과 같은 로그인 조합의 속성 중 하나 이상이 잘못되었음을 나타냅니다.

  • incompleteConnectionCount - 이 카운터는 성공 또는 실패로 분류할 수 없는 연결 시도 횟수를 나타냅니다. 데이터베이스가 응답을 제공하기 전에 이러한 연결은 닫힙니다. 데이터베이스 포트가 연결되어 있지만 데이터베이스로 정보가 전송되지 않는 포트 스캔, 로그인 시도 성공 또는 실패 전에 연결이 중단된 경우를 예로 들 수 있습니다.