GuardDuty 런타임 모니터링

런타임 모니터링은 운영 체제 수준, 네트워킹 및 파일 이벤트를 관찰하고 분석하여 환경의 특정 AWS 워크로드에서 잠재적 위협을 탐지하는 데 도움이 됩니다.

런타임 모니터링에서 지원되는 AWS 리소스 - GuardDuty는 처음에 Amazon Elastic Kubernetes Service(Amazon EKS) 리소스만 지원하도록 런타임 모니터링을 릴리스했습니다. 이제 런타임 모니터링 기능을 사용하여 AWS Fargate Amazon Elastic Container Service(Amazon ECS) 및 Amazon Elastic Compute Cloud(Amazon EC2) 리소스에 대한 위협 탐지를 제공할 수 있습니다.

GuardDuty는 AWS Fargate에서 실행되는 Amazon EKS 클러스터를 지원하지 않습니다.

이 문서 및 런타임 모니터링과 관련된 기타 섹션에서 GuardDuty는 리소스 유형의 용어를 사용하여 Amazon EKS, Fargate Amazon ECS 및 Amazon EC2 리소스를 참조합니다.

런타임 모니터링은 파일 액세스, 프로세스 실행, 명령줄 인수 및 네트워크 연결과 같은 런타임 동작에 대한 가시성을 추가하는 GuardDuty 보안 에이전트를 사용합니다. 잠재적 위협을 모니터링하려는 각 리소스 유형에 대해 해당 특정 리소스 유형에 대한 보안 에이전트를 자동으로 또는 수동으로 관리할 수 있습니다(Fargate(Amazon ECS만 해당)는 예외). 보안 에이전트를 자동으로 관리한다는 것은 GuardDuty가 사용자를 대신하여 보안 에이전트를 설치하고 업데이트하도록 허용하는 것을 의미합니다. 반면 리소스의 보안 에이전트를 수동으로 관리할 때는 필요에 따라 보안 에이전트를 설치하고 업데이트할 책임이 있습니다.

이 확장된 기능을 통해 GuardDuty는 개별 워크로드 및 인스턴스에서 실행되는 애플리케이션 및 데이터를 대상으로 할 수 있는 잠재적 위협을 식별하고 이에 대응할 수 있도록 지원할 수 있습니다. 예를 들어, 취약한 웹 애플리케이션을 실행하는 단일 컨테이너를 손상시키는 것으로 위협이 시작될 수 있습니다. 이 웹 애플리케이션에 기본 컨테이너와 워크로드에 대한 액세스 권한이 있을 수 있습니다. 이 시나리오에서 자격 증명을 잘못 구성하면 계정과 그 안에 저장된 데이터에 대한 액세스 권한이 더 광범위해질 수 있습니다.

GuardDuty는 개별 컨테이너 및 워크로드의 런타임 이벤트를 분석하여 초기 단계에서 컨테이너 및 관련 AWS 자격 증명의 손상을 잠재적으로 식별하고 환경의 데이터에 대한 권한 에스컬레이션 시도, 의심스러운 API 요청 및 악의적인 액세스를 감지할 수 있습니다.