GuardDuty 런타임 모니터링

런타임 모니터링은 운영 체제 수준, 네트워킹 및 파일 이벤트를 관찰하고 분석하여 환경의 특정 AWS 워크로드에서 잠재적 위협을 탐지하는 데 도움이 됩니다.

런타임 모니터링에서 지원되는 AWS 리소스 - 처음에 Amazon Elastic Kubernetes Service(AmazonEKS) 리소스만 지원하도록 런타임 모니터링을 릴리스 GuardDuty 했습니다. 이제 런타임 모니터링 기능을 사용하여 AWS Fargate Amazon Elastic Container Service(AmazonECS) 및 Amazon Elastic Compute Cloud(AmazonEC2) 리소스에 대한 위협 탐지를 제공할 수 있습니다.

GuardDuty 는 에서 실행되는 Amazon EKS 클러스터를 지원하지 않습니다 AWS Fargate.

이 문서 및 런타임 모니터링과 관련된 기타 섹션에서 는 리소스 유형의 용어를 GuardDuty 사용하여 Amazon EKS, Fargate Amazon ECS및 Amazon EC2 리소스를 참조합니다.

런타임 모니터링은 파일 액세스, 프로세스 실행, 명령줄 인수 및 네트워크 연결과 같은 런타임 동작에 대한 가시성을 추가하는 GuardDuty 보안 에이전트를 사용합니다. 잠재적 위협을 모니터링하려는 각 리소스 유형에 대해 특정 리소스 유형에 대한 보안 에이전트를 자동으로 또는 수동으로 관리할 수 있습니다(Fargate(AmazonECS만 해당) 제외). 보안 에이전트를 자동으로 관리한다는 것은 가 사용자를 대신하여 보안 에이전트를 설치하고 업데이트 GuardDuty 하도록 허용한다는 의미입니다. 반면 리소스의 보안 에이전트를 수동으로 관리할 때는 필요에 따라 보안 에이전트를 설치하고 업데이트할 책임이 있습니다.

이 확장된 기능을 사용하면 가 개별 워크로드 및 인스턴스에서 실행되는 애플리케이션 및 데이터를 대상으로 할 수 있는 잠재적 위협을 GuardDuty 식별하고 이에 대응할 수 있습니다. 예를 들어, 취약한 웹 애플리케이션을 실행하는 단일 컨테이너를 손상시키는 것으로 위협이 시작될 수 있습니다. 이 웹 애플리케이션에 기본 컨테이너와 워크로드에 대한 액세스 권한이 있을 수 있습니다. 이 시나리오에서 자격 증명을 잘못 구성하면 계정과 그 안에 저장된 데이터에 대한 액세스 권한이 더 광범위해질 수 있습니다.

개별 컨테이너 및 워크로드의 런타임 이벤트를 분석하여 GuardDuty 는 초기 단계에서 컨테이너 및 관련 AWS 자격 증명의 침해를 잠재적으로 식별하고 환경의 데이터에 대한 권한, 의심스러운 API 요청 및 악의적인 액세스를 에스컬레이션하려는 시도를 탐지할 수 있습니다.