Amazon GuardDuty로 위협 탐지

Amazon GuardDuty는 AWS 환경에서 계정, 컨테이너, 워크로드, 데이터를 보호하는 데 도움이 되는 위협 탐지 서비스입니다. GuardDuty는 기계 학습(ML) 모델, 이상 및 위협 탐지 기능을 통해 다양한 로그 소스를 지속적으로 모니터링하여 사용자 환경의 잠재적 보안 위험과 악의적 활동을 식별하고 우선순위를 지정합니다. 예를 들어, GuardDuty는 잠재적인 위협을 탐지합니다. 이러한 위협에는 보안 암호에 대한 비정상적이거나 의심스러운 액세스, 그리고 자격 증명 유출 등이 포함됩니다. 자격 증명 유출을 탐지했다는 건 인스턴스 시작 역할을 통해 Amazon EC2 인스턴스 전용으로 자격 증명이 생성되었으나, AWS 내의 다른 계정에서 이 자격 증명을 사용 중이라는 사실이 탐지되었다는 의미입니다. 자세한 내용은 Amazon GuardDuty 사용 설명서를 참조하세요.

탐지에 대한 또 다른 사용 사례는 이상 동작입니다. 예를 들어 AWS Secrets Manager가 일반적으로 Java SDK를 사용하여 엔터티에서 create-secret, get-secret-value, describe-secret, list-secrets 호출을 가져온다고 가정하겠습니다. 그런데 다른 엔터티가 VPN 외부의 AWS CLI를 사용하여 batch-get-secret-value 및 get-secret-value 호출을 시작할 경우, GuardDuty는 두 번째 엔터티가 API를 비정상적으로 호출하고 있다는 결과를 보고할 수 있습니다. 자세한 내용은 GuardDuty IAM finding type CredentialAccess:IAMUser/AnomalousBehavior 단원을 참조하세요.