GuardDuty에서 사용하는 수집된 런타임 이벤트 유형
GuardDuty 보안 에이전트는 다음 이벤트 유형을 수집하고 위협 탐지 및 분석을 위해 GuardDuty 백엔드로 보냅니다. GuardDuty는 이러한 이벤트에 대한 액세스를 허용하지 않습니다. GuardDuty가 잠재적 위협을 감지하여 런타임 모니터링 결과 유형을 생성하는 경우 해당 발견 세부 정보를 볼 수 있습니다.
GuardDuty가 런타임 모니터링에서 수집된 이벤트 유형을 사용하는 방법에 대한 자세한 내용은 서비스 개선을 위한 데이터 사용 옵트아웃을 참조하세요.
프로세스 이벤트
프로세스 이벤트는 Amazon EC2 인스턴스 및 컨테이너 워크로드에서 실행 중인 프로세스와 관련된 정보를 나타냅니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 프로세스 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
프로세스 이름 |
관찰된 프로세스의 이름. |
프로세스 경로 |
프로세스 실행 파일의 절대 경로. |
프로세스 ID |
운영 체제에서 프로세스에 할당한 ID. |
네임스페이스 PID |
호스트 수준 PID 네임스페이스가 아닌 보조 PID 네임스페이스에 있는 프로세스의 프로세스 ID. 컨테이너 내부 프로세스의 경우 컨테이너 내부에서 관찰된 프로세스 ID. |
프로세스 사용자 ID |
프로세스를 실행한 사용자의 고유 ID입니다. |
프로세스 UUID |
GuardDuty에서 프로세스에 할당한 고유 ID입니다. |
프로세스 GID |
프로세스 그룹의 프로세스 ID입니다. |
프로세스 EGID |
프로세스 그룹의 유효 그룹 ID입니다. |
프로세스 EUID |
프로세스의 유효 사용자 ID입니다. |
프로세스 사용자 이름 |
프로세스를 실행한 사용자 이름. |
프로세스 시작 시간 |
프로세스가 생성된 시간입니다. 이 필드는 UTC 날짜 문자열 형식( |
프로세스 실행 파일 SHA-256 |
프로세스 실행 파일의 |
프로세스 스크립트 경로 |
실행된 스크립트 파일의 경로. |
프로세스 환경 변수 |
프로세스에 제공된 환경 변수입니다. |
프로세스 현재 작업 디렉터리(PWD) |
프로세스의 현재 작업 디렉터리입니다. |
상위 프로세스 |
상위 프로세스의 프로세스 세부 정보. 상위 프로세스는 관찰된 프로세스를 만든 프로세스입니다. |
|
명령줄 인수 현재 이 필드는 리소스 유형에 해당하는 특정 상담원 버전으로 제한되어 있습니다:
자세한 내용은 GuardDuty 보안 에이전트 릴리스 버전 단원을 참조하십시오. |
프로세스 실행 시 제공되는 명령줄 인수입니다. 이 필드에는 민감한 고객 데이터가 포함될 수 있습니다. |
컨테이너 이벤트
컨테이너 이벤트는 컨테이너 워크로드의 활동과 관련된 정보를 나타냅니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 컨테이너 워크로드 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
컨테이너 이름 |
컨테이너의 이름입니다. 사용 가능한 경우 이 필드에는 레이블 |
컨테이너 UID |
컨테이너 런타임에서 할당한 컨테이너의 고유 ID. |
컨테이너 런타임 |
컨테이너 실행에 사용되는 컨테이너 런타임(예: |
컨테이너 이미지 ID |
컨테이너 이미지의 ID입니다. |
컨테이너 이미지 이름 |
컨테이너 이미지의 이름입니다. |
AWS Fargate (Amazon ECS만 해당) 태스크 이벤트
Fargate-Amazon ECS 태스크 이벤트는 Fargate 컴퓨팅에서 실행되는 Amazon ECS 태스크와 관련된 활동을 나타냅니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 Amazon ECS-Fargate 작업 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
Amazon 리소스 이름(ARN) 작업 |
태스크의 ARN입니다. |
클러스터 이름 |
Amazon ECS 클러스터의 이름입니다. |
성. |
태스크 정의의 성입니다. |
서비스 이름 |
서비스의 일부로 작업이 시작된 경우 Amazon ECS 서비스의 이름입니다. |
시작 유형 |
태스크가 실행되는 인프라입니다. 리소스 유형이 |
CPU |
작업 정의에 표현된 작업에서 사용하는 CPU 단위 수입니다. |
Kubernetes 포드 이벤트
다음 표에는 런타임 모니터링이 잠재적인 위협을 탐지하기 위해 수집하는 Kubernetes 포드 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
포드 ID |
Kubernetes 포드의 ID입니다. |
포드 이름 |
Kubernetes 포드의 이름입니다. |
포드 네임스페이스 |
Kubernetes 워크로드가 속하는 Kubernetes 네임스페이스의 이름입니다. |
Kubernetes 클러스터 이름 |
Kubernetes 클러스터의 이름입니다. |
도메인 이름 시스템(DNS) 이벤트
DNS(도메인 이름 시스템) 이벤트에는 리소스 유형에 의한 DNS 쿼리 및 해당 응답에 대한 세부 정보가 포함되어 있습니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 DNS 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
소켓 유형 |
통신 의미 체계를 나타내는 소켓의 유형입니다. 예: |
주소 패밀리 |
주소와 관련된 통신 프로토콜을 나타냅니다. 예를 들어 주소 패밀리 |
방향 ID |
연결 방향의 ID입니다. |
프로토콜 번호 |
레이어 4 프로토콜 번호(예: UDP의 경우 17, TCP의 경우 6). |
DNS 원격 엔드포인트 IP |
연결의 원격 IP입니다. |
DNS 원격 엔드포인트 포트 |
연결의 포트 번호입니다. |
DNS 로컬 엔드포인트 IP |
연결의 로컬 IP입니다. |
DNS 로컬 엔드포인트 포트 |
연결의 포트 번호입니다. |
DNS 페이로드 |
DNS 쿼리 및 응답이 포함된 DNS 패킷의 페이로드입니다. |
열린 이벤트
열린 이벤트는 파일 액세스 및 수정과 연결됩니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 열린 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
파일 경로 |
이 이벤트에서 열린 파일의 경로입니다. |
플래그 |
읽기 전용, 쓰기 전용, 읽기-쓰기와 같은 파일 액세스 모드를 설명합니다. |
모듈 이벤트 로드
다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 로드 모듈 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
모듈 이름 |
커널에 로드된 모듈의 이름입니다. |
Mprotect 이벤트
Mprotect 이벤트는 모니터링되는 시스템에서 실행 중인 프로세스의 메모리 보호 설정 변경에 대한 정보를 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 Mprotect 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
주소 범위 |
액세스 보호가 수정된 주소 범위. |
메모리 영역 |
스택 및 힙과 같은 프로세스 주소 공간의 영역을 지정합니다. |
플래그 |
이 이벤트의 동작을 제어하는 옵션을 나타냅니다. |
탑재 이벤트
마운트 이벤트는 모니터링되는 리소스에서 파일 시스템의 마운트 및 마운트 해제와 관련된 정보를 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 마운트 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
탑재 대상 |
탑재 소스가 탑재된 경로. |
탑재 소스 |
탑재 대상에 탑재된 호스트의 경로. |
파일 시스템 유형 |
탑재된 파일 시스템의 유형을 나타냅니다. |
플래그 |
이 이벤트의 동작을 제어하는 옵션을 나타냅니다. |
링크 이벤트
링크 이벤트는 모니터링되는 리소스의 파일 시스템 링크 관리 활동에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 링크 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
링크 경로 |
하드 링크가 생성되는 경로입니다. |
대상 경로 |
하드 링크가 가리키는 파일의 경로입니다. |
심볼 링크 이벤트
Symlink 링크 이벤트는 모니터링되는 리소스의 파일 시스템 심볼릭 링크 관리 활동에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 Symlink 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
링크 경로 |
심볼 링크가 생성되는 경로입니다. |
대상 경로 |
심볼 링크가 가리키는 파일의 경로입니다. |
중복 이벤트
Dup 이벤트는 모니터링되는 리소스에서 실행 중인 프로세스의 파일 설명자 중복에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 dup 이벤트의 필드 이름과 설명이 포함되어 있습니다.
필드 이름 |
설명 |
|---|---|
이전 파일 설명자 |
열린 파일 객체를 나타내는 파일 설명자입니다. |
새 파일 설명자 |
이전 파일 설명자와 중복되는 새 파일 설명자입니다. 이전 파일 설명자와 새 파일 설명자는 모두 동일한 열린 파일 객체를 나타냅니다. |
중복 원격 엔드포인트 IP |
이전 파일 설명자로 표시되는 네트워크 소켓의 원격 IP 주소입니다. 이전 파일 설명자가 네트워크 소켓을 나타내는 경우에만 해당됩니다. |
중복 원격 엔드포인트 포트 |
이전 파일 설명자로 표시되는 네트워크 소켓의 원격 포트입니다. 이전 파일 설명자가 네트워크 소켓을 나타내는 경우에만 해당됩니다. |
중복 로컬 엔드포인트 IP |
이전 파일 설명자로 표시되는 네트워크 소켓의 로컬 IP 주소입니다. 이전 파일 설명자가 네트워크 소켓을 나타내는 경우에만 해당됩니다. |
중복 로컬 엔드포인트 포트 |
이전 파일 설명자로 표시되는 네트워크 소켓의 로컬 포트입니다. 이전 파일 설명자가 네트워크 소켓을 나타내는 경우에만 해당됩니다. |
메모리 맵 이벤트
다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 메모리 맵 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
파일 경로 |
메모리가 매핑되는 파일의 경로입니다. |
소켓 이벤트
소켓 이벤트는 모니터링되는 리소스의 활동에 사용된 네트워크 소켓 연결에 대한 정보를 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 소켓 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
Address family(주소 패밀리) |
주소와 관련된 통신 프로토콜을 나타냅니다. 예를 들어 주소 패밀리 |
소켓 유형 |
통신 의미 체계를 나타내는 소켓의 유형입니다. 예: |
프로토콜 번호 |
주소 패밀리 내의 특정 프로토콜을 지정합니다. 대체로 주소 패밀리에는 단일 프로토콜이 있습니다. 예를 들어 주소 패밀리 |
연결 이벤트
연결 이벤트는 모니터링되는 리소스의 프로세스에 의해 설정된 네트워크 연결에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 연결 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
Address family(주소 패밀리) |
주소와 관련된 통신 프로토콜을 나타냅니다. 예를 들어 주소 패밀리 |
소켓 유형 |
통신 의미 체계를 나타내는 소켓의 유형입니다. 예: |
프로토콜 번호 |
주소 패밀리 내의 특정 프로토콜을 지정합니다. 대체로 주소 패밀리에는 단일 프로토콜이 있습니다. 예를 들어 주소 패밀리 |
파일 경로 |
소켓 파일의 경로입니다(주소 패밀리가 |
원격 엔드포인트 IP |
연결의 원격 IP입니다. |
원격 엔드포인트 포트 |
연결의 포트 번호입니다. |
로컬 엔드포인트 IP |
연결의 로컬 IP입니다. |
로컬 엔드포인트 포트 |
연결의 포트 번호입니다. |
프로세스 VM Readv 이벤트
프로세스 VM 읽기 이벤트는 프로세스가 자체 가상 메모리 리전에서 수행하는 읽기 작업에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 프로세스 VM Readv 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
플래그 |
이 이벤트의 동작을 제어하는 옵션을 나타냅니다. |
대상 PID |
메모리를 읽는 프로세스의 프로세스 ID입니다. |
대상 프로세스 UUID |
대상 프로세스의 고유 ID입니다. |
대상 실행 파일 경로 |
대상 프로세스 실행 파일의 절대 경로입니다. |
프로세스 VM Writev 이벤트
프로세스 VM Writev 이벤트는 프로세스가 자체 가상 메모리 리전에서 수행하는 쓰기 작업에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 프로세스 VM writev 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
플래그 |
이 이벤트의 동작을 제어하는 옵션을 나타냅니다. |
대상 PID |
메모리를 쓰는 프로세스의 프로세스 ID입니다. |
대상 프로세스 UUID |
대상 프로세스의 고유 ID입니다. |
대상 실행 파일 경로 |
대상 프로세스 실행 파일의 절대 경로입니다. |
프로세스 추적(Ptrace) 이벤트
프로세스 추적(Ptrace) 시스템 호출은 한 프로세스(트레이서)가 다른 프로세스(트레이시)의 실행을 관찰하고 제어할 수 있는 디버깅 및 추적 메커니즘입니다. 이를 통해 추적기는 대상 프로세스의 메모리, 레지스터 및 실행 흐름을 검사하고 수정할 수 있습니다.
Ptrace 이벤트는 모니터링되는 리소스에서 실행 중인 프로세스의 ptrace 시스템 호출 사용에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 ptrace 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
대상 PID |
대상 프로세스의 프로세스 ID입니다. |
대상 프로세스 UUID |
대상 프로세스의 고유 ID입니다. |
대상 실행 파일 경로 |
대상 프로세스 실행 파일의 절대 경로입니다. |
플래그 |
이 이벤트의 동작을 제어하는 옵션을 나타냅니다. |
이벤트 바인딩
바인드 이벤트는 모니터링되는 리소스에서 실행 중인 프로세스의 네트워크 소켓 바인딩에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 바인드 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
주소 패밀리 |
주소와 관련된 통신 프로토콜을 나타냅니다. 예를 들어 주소 패밀리 |
소켓 유형 |
통신 의미 체계를 나타내는 소켓의 유형입니다. 예: |
프로토콜 번호 |
레이어 4 프로토콜 번호(예: UDP의 경우 17, TCP의 경우 6). |
로컬 엔드포인트 IP |
연결의 로컬 IP입니다. |
로컬 엔드포인트 포트 |
연결의 포트 번호입니다. |
이벤트 듣기
수신 대기 이벤트는 네트워크 소켓의 수신 대기 상태에 대한 가시성을 제공하여 네트워크 소켓이 수신 연결을 수락할 준비가 되었는지 여부를 나타냅니다. 모니터링된 리소스에서 실행되는 프로세스는 네트워크 소켓을 수신 중 상태로 설정합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 수신 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
주소 패밀리 |
주소와 관련된 통신 프로토콜을 나타냅니다. 예를 들어 주소 패밀리 |
소켓 유형 |
통신 의미 체계를 나타내는 소켓의 유형입니다. 예: |
프로토콜 번호 |
레이어 4 프로토콜 번호(예: UDP의 경우 17, TCP의 경우 6). |
로컬 엔드포인트 IP |
연결의 로컬 IP입니다. |
로컬 엔드포인트 포트 |
연결의 포트 번호입니다. |
이벤트 이름 바꾸기
이름 바꾸기 이벤트는 모니터링되는 리소스에서 실행 중인 프로세스의 파일 및 디렉터리 이름 바꾸기에 대한 정보를 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 이름 변경 이벤트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
파일 경로 |
이름이 변경된 파일의 경로입니다. |
대상 |
새로운 파일의 경로입니다. |
사용자 ID(UID) 이벤트 설정
사용자 ID(UID) 설정 이벤트는 모니터링되는 리소스에서 실행 중인 프로세스와 관련된 사용자 ID(UID)에 대한 변경 사항을 파악할 수 있는 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 UID 이벤트 세트의 필드 이름과 설명이 나와 있습니다.
| 필드 이름 | 설명 |
|---|---|
새 EUID |
프로세스의 새로운 유효 사용자 ID입니다. |
최신 UID |
프로세스의 새로운 사용자 ID입니다. |
Chmod 이벤트
Chmod 이벤트는 모니터링되는 리소스에 대한 파일 및 디렉터리의 권한(모드) 변경에 대한 가시성을 제공합니다. 다음 표에는 런타임 모니터링이 잠재적 위협을 탐지하기 위해 수집하는 chmod 이벤트의 필드 이름과 설명이 포함되어 있습니다.
| 필드 이름 | 설명 |
|---|---|
파일 경로 |
이 이벤트에서 호출 파일의 경로입니다. |
파일 모드 |
연결된 파일에 대해 업데이트된 액세스 권한입니다. |
