Amazon GuardDuty FAQ
서비스 개요
Amazon GuardDuty란 무엇인가요?
GuardDuty는 AWS 계정, 워크로드, 런타임 활동, 데이터에서 악의적인 활동을 지속적으로 모니터링하는 지능형 위협 탐지 서비스입니다. 비정상 동작, 보안 인증 정보 유출 또는 명령 및 제어(C2) 인프라 통신과 같은 잠재적인 악의적 활동이 탐지되면 보안 가시성 및 수정 지원에 사용할 수 있는 상세한 보안 조사 결과가 GuardDuty에서 생성됩니다.
GuardDuty의 주요 이점은 무엇인가요?
GuardDuty를 사용하면 AWS 계정, 워크로드, 런타임 활동을 지속적으로 모니터링할 수 있습니다. GuardDuty는 리소스와 완전히 독립적으로 작동하도록 설계되었으며 워크로드의 성능 또는 가용성에 영향을 미치지 않습니다. 이 서비스는 통합 위협 인텔리전스, 기계 학습(ML) 이상 탐지 및 맬웨어 스캔이 포함된 완전관리형 서비스입니다. GuardDuty는 기존 이벤트 관리 및 워크플로 시스템과 손쉽게 통합되도록 설계된 상세하고 실행 가능한 알림을 제공합니다. 선결제 비용이 없고 추가로 소프트웨어를 배포하거나 위협 인텔리전스 피드를 구독할 필요가 없으며 분석한 이벤트에 대해서만 비용을 지불하면 됩니다.
GuardDuty의 비용은 얼마인가요?
GuardDuty는 종량제 서비스이며, 발생한 사용량에 대해서만 비용을 지불합니다. GuardDuty 요금은 분석된 서비스 로그의 볼륨, 가상 CPU(vCPU) 또는 Amazon RDS 이벤트 분석을 위한 Aurora Serverless v2 인스턴스 Aurora 용량 단위(ACU), 런타임 시 모니터링되는 Amazon Elastic Kubernetes Service(Amazon EKS) 또는 Amazon Elastic Container Service(Amazon ECS) 워크로드의 수 및 크기, 맬웨어를 검사한 데이터의 양을 기준으로 합니다.
분석된 서비스 로그는 비용 최적화를 위해 필터링되고 GuardDuty와 직접 통합되므로 따로 활성화하거나 요금을 지불하지 않아도 됩니다. 계정에 EKS 런타임 모니터링이 활성화된 경우 GuardDuty 에이전트가 배포되고 활성화된 인스턴스의 VPC 흐름 로그 분석에 대해서는 요금이 청구되지 않습니다. 런타임 보안 에이전트는 유사한(및 상황에 맞는) 네트워크 원격 측정 데이터를 제공합니다. 따라서 이중 요금이 청구되는 것을 방지하기 위해 에이전트가 설치된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 VPC 흐름 로그에 대해서는 요금을 청구하지 않습니다.
추가 세부 정보와 요금 예제는 Amazon GuardDuty 요금 페이지를 참조하세요.
GuardDuty 지급인 계정에 나오는 예상 비용은 연결된 계정에 대해 집계된 총 비용을 나타내나요, 아니면 개별 지급인 계정에만 대한 것인가요?
예상 비용은 개별 지급인 계정에 대한 비용을 나타내며 GuardDuty 관리자 계정에서 각 멤버 계정에 대해 청구된 사용량과 평균 일 비용을 확인할 수 있습니다. 자세한 사용량 정보를 보려면 개별 계정으로 이동해야 합니다.
GuardDuty의 무료 평가판이 있나요?
예. GuardDuty를 처음 사용하는 계정은 30일 동안 무료로 서비스를 사용해 볼 수 있습니다. 무료 평가판에서는 모든 기능 세트와 탐지 서비스에 액세스할 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.
아직 GuardDuty 기능을 활성화하지 않은 신규 및 기존 GuardDuty 계정 소유자는 AWS 프리 티어에서 30일 동안 무료로 사용해 볼 수 있습니다(맬웨어 방지 기능의 경우 Amazon EBS 데이터 볼륨에 대해서만 GuardDuty에서 시작한 맬웨어 스캔에 무료 평가판을 사용할 수 있습니다. Amazon S3용 맬웨어 방지의 무료 평가판은 없습니다). 무료 평가판 기간 동안과 그 이후에는 GuardDuty 콘솔 사용량 페이지에서 데이터 소스별로 분류된 예상 월간 지출을 언제든지 모니터링할 수 있습니다.
GuardDuty와 Amazon Macie의 차이점은 무엇인가요?
GuardDuty는 AWS 계정, 워크로드 및 데이터의 광범위한 보안 모니터링을 제공하여 공격자 정찰, 인스턴스, 계정 및 버킷 또는 Amazon EKS 클러스터 침해 및 맬웨어와 같은 위협을 식별하는 데 도움을 줍니다. Macie는 ML 및 패턴 일치를 사용하여 Amazon Simple Storage Service(S3)의 민감한 데이터를 검색하는 완전 관리형 민감한 데이터 검색 서비스입니다.
GuardDuty는 리전별 서비스인가요? 아니면 글로벌 서비스인가요?
GuardDuty는 리전별 서비스입니다. 여러 계정이 사용되고 여러 AWS 리전이 사용되더라도 GuardDuty 보안 탐지 결과는 해당 데이터가 생성된 리전과 동일한 리전에 유지됩니다. 따라서 분석된 모든 데이터가 리전을 기반으로 하고 AWS 리전 경계를 벗어나지 않습니다. 그러나 리전 전체에서 GuardDuty를 통해 생성된 보안 조사 결과를 집계하도록 선택할 수 있습니다. Amazon EventBridge를 사용하거나 Amazon S3와 같은 데이터 스토어로 결과를 푸시한 다음 적절한 조사 결과를 집계할 수 있습니다. GuardDuty 조사 결과를 AWS Security Hub로 보내고 크로스 리전 집계 활성화 기능을 사용할 수도 있습니다.
GuardDuty는 어느 리전을 지원합니까?
GuardDuty 리전 가용성은 AWS 리전 서비스 목록에 나열되어 있습니다. GuardDuty 기능을 사용할 수 있는 리전의 전체 목록은 리전별 기능 가용성 페이지를 참조하세요.
GuardDuty의 협력 파트너는 누구입니까?
많은 기술 파트너가 GuardDuty에 통합되어 있고 GuardDuty를 기반으로 구축되어 있습니다. 또한 GuardDuty를 전문적으로 다루는 컨설팅, 시스템 통합 사업자 및 관리형 보안 서비스 제공업체도 있습니다. 자세한 내용은 Amazon GuardDuty 파트너 페이지를 참조하십시오.
GuardDuty는 지불 카드 업계 보안 표준(PCI DSS)의 요구 사항을 해결하는 데 도움이 되나요?
Foregenix에서 발표한 백서에서는 규정 준수 요구 사항의 준수를 지원하는 데 GuardDuty가 얼마나 효과적인지 자세한 평가를 제공합니다. 예를 들어 네트워크의 중요한 지점에서 침입 탐지 기술을 적용하도록 요구하는 PCI DSS 요구 사항 11.4가 포함됩니다.
GuardDuty 활성화
GuardDuty를 사용하려면 어떻게 해야 하나요?
AWS Management Console에서 몇 단계만 거치면 GuardDuty를 설정하고 배포할 수 있습니다. 사용하도록 설정하면 GuardDuty가 즉시 거의 실시간 및 대규모로 계정과 네트워크 활동의 연속 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.
GuardDuty로 여러 계정을 관리할 수 있나요?
예. GuardDuty에는 다중 계정 관리 기능이 있어 단일 관리자 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. 이 기능을 사용하면 모든 보안 탐지 결과가 검토 및 개선을 위해 관리자 계정으로 집계됩니다. 이 구성을 사용하면 EventBridge 이벤트도 GuardDuty 관리자 계정으로 집계됩니다. 또한 GuardDuty를 AWS Organizations와 통합하면 조직의 GuardDuty에 대한 관리자 계정을 위임할 수 있습니다. 이 위임된 관리자(DA) 계정은 모든 결과를 통합하고 모든 구성원 계정을 구성할 수 있는 중앙 집중식 계정입니다.
GuardDuty는 어떤 데이터 소스를 분석합니까?
GuardDuty가 분석하는 기본 데이터 소스에는 AWS CloudTrail 관리 이벤트 로그, CloudTrail 관리 이벤트, Amazon EC2 VPC 흐름 로그 및 DNS 쿼리 로그가 포함됩니다. GuardDuty 보호 플랜은 CloudTrail S3 데이터 이벤트(S3 보호), Amazon EKS 감사 로그 및 Amazon EKS의 런타임 활동(EKS 보호), Amazon ECS의 런타임 활동(ECS 런타임 모니터링), Amazon EC2의 런타임 활동(EC2 런타임 모니터링), Amazon EBS 볼륨 데이터(맬웨어 방지), Amazon Aurora 로그인 이벤트(RDS 보호), 네트워크 활동 로그(Lambda 보호)와 같은 다른 리소스 유형을 모니터링합니다. 이 서비스는 거의 실시간 보안 탐지 처리를 위해 대규모 데이터 볼륨을 소비하도록 최적화되었습니다. GuardDuty에서는 클라우드용으로 개발 및 최적화되었고 GuardDuty 엔지니어링 팀에서 유지 관리하고 지속적으로 개선하는 내장된 탐지 기법에 액세스할 수 있습니다.
GuardDuty로 작업을 시작하는 데 얼마나 걸리나요?
사용하도록 설정하면 Amazon GuardDuty가 악의적 또는 무단 활동에 대한 분석을 시작합니다. 결과를 수신하기 시작할 때까지 걸리는 시간은 계정의 활동 수준에 따라 달라집니다. GuardDuty는 기록 데이터는 확인하지 않으며 서비스가 사용된 이후에 시작된 활동만 확인합니다. GuardDuty가 잠재적 위협을 파악하면 GuardDuty 콘솔에서 결과를 볼 수 있습니다.
GuardDuty가 작동하려면 CloudTrail, VPC 흐름 로그, DNS 쿼리 로그 또는 Amazon EKS 감사 로그를 사용해야 하나요?
아니요. GuardDuty는 CloudTrail, VPC 흐름 로그, DNS 쿼리 로그 및 Amazon EKS에서 직접 독립된 데이터 스트림을 가져옵니다. Amazon S3 버킷 정책을 관리하거나 로그를 수집 및 저장하는 방법을 수정할 필요가 없습니다. GuardDuty 권한은 서비스 연결 역할로 관리됩니다. 언제든지 GuardDuty를 사용 중지할 수 있으며 사용 중지하면 모든 GuardDuty 권한이 제거됩니다. 복잡한 구성이 필요하지 않으므로 서비스를 더 쉽게 사용할 수 있습니다. 또한 서비스 연결 역할을 사용하면 AWS Identity and Access Management(IAM) 권한 구성 오류나 Amazon S3 버킷 정책 변경으로 서비스 운영이 영향을 받는 일이 발생하지 않습니다. 마지막으로 서비스 연결 역할은 GuardDuty에서 계정 또는 워크로드의 성능 및 가용성에 영향을 미치지 않거나 그 영향을 최소화하면서 거의 실시간으로 다량의 데이터를 효율적으로 사용할 수 있도록 합니다.
내 계정에서 GuardDuty를 사용하면 성능이나 가용성에 영향을 미치게 되나요?
GuardDuty를 처음으로 사용하도록 설정하면 AWS 리소스와 완전히 독립적으로 작동합니다. GuardDuty 보안 에이전트를 자동으로 배포하도록 GuardDuty Runtime Monitoring을 구성하면 리소스 사용률이 높아질 수 있으며 모니터링 대상 워크로드를 실행하는 데 사용되는 VPC에 VPC 엔드포인트가 생성될 수도 있습니다.
GuardDuty는 내 로그를 관리하거나 유지하나요?
아니요. GuardDuty는 로그를 관리하거나 유지하지 않습니다. GuardDuty에서 소비하는 모든 데이터는 거의 실시간으로 분석되고 분석 후 폐기됩니다. 따라서 GuardDuty가 매우 효율적이고 비용 효과적이 될 수 있고 데이터 잔류의 위험도 줄일 수 있습니다. 로그 전달 및 보존의 경우 모든 기능을 갖춘 전달 및 보존 옵션을 제공하는 AWS 로깅 및 모니터링 서비스를 직접 사용해야 합니다.
GuardDuty가 내 로그 및 데이터 소스를 확인할 수 없도록 하려면 어떻게 해야 하나요?
언제든지 일반 설정에서 서비스 일시 중단을 선택하여 GuardDuty가 데이터 소스를 분석하지 못하도록 할 수 있습니다. 그러면 서비스가 데이터 분석을 즉시 중단하지만, 기존 탐지 결과 또는 구성은 삭제하지 않습니다. 또한, 일반 설정에서 서비스 사용 중지를 선택할 수 있습니다. 그러면 서비스 권한을 반납하고 서비스를 재설정하기 전에 기존 탐지 결과와 구성을 비롯하여 모든 남아 있는 데이터가 삭제됩니다. Management Console 또는 AWS CLI를 통해 GuardDuty S3 Protection이나 GuardDuty EKS Protection 같은 기능을 따로 사용 중지할 수도 있습니다.
GuardDuty 활성화
GuardDuty는 무엇을 탐지할 수 있나요?
GuardDuty에서는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스할 수 있습니다. 탐지 알고리즘은 AWS GuardDuty 엔지니어가 유지 관리하고 지속적으로 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.
- 정찰: 비정상적인 API 활동, VPC 내 포트 스캐닝, 실패한 로그인 요청의 특이한 패턴, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동입니다.
- 인스턴스 침해: 암호 화폐 마이닝, Domain Generation Algorithm(DGA)을 사용하는 맬웨어, 아웃바운드 DoS 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 Amazon EC2 보안 인증 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동입니다.
- 계정 침해: 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, CloudTrail 로깅을 비활성화하려는 시도, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 보안 인증 정보 유출, 의심스러운 데이터베이스 로그인 활동 및 알려진 악의적 IP 주소로부터 API 호출이 포함됩니다.
- 버킷 침해: 버킷 침해를 나타내는 활동입니다. 예를 들어 보안 인증 정보 악용을 나타내는 의심스러운 데이터 액세스 패턴, 원격 호스트의 비정상적인 Amazon S3 API 활동, 알려진 IP 주소로부터의 무단 Amazon S3 액세스, 버킷에 액세스한 기록이 없거나 비정상적인 위치에서 호출된 사용자가 Amazon S3 버킷에서 데이터를 검색하기 위한 API 호출 등이 있습니다. GuardDuty는 CloudTrail S3 데이터 이벤트(예: GetObject, ListObjects, DeleteObject)를 지속적으로 모니터링 및 분석하여 모든 Amazon S3 버킷에서 의심스러운 활동을 탐지합니다.
- 맬웨어: GuardDuty는 Amazon EC2 인스턴스 또는 컨테이너 워크로드를 손상시키는 데 사용되거나 Amazon S3 버킷에 업로드되는 맬웨어(예: 트로이 목마, 웜, 크립토마이너, 루트킷 또는 봇)의 존재 여부를 탐지할 수 있습니다.
- 컨테이너 침해: 컨테이너 워크로드에서 악의적의거나 의심스러운 동작을 식별하는 활동은 Amazon EKS 또는 Amazon ECS에서 Amazon EKS 감사 로그 및 컨테이너 런타임 활동을 분석하여 Amazon EKS 클러스터를 지속적으로 모니터링하고 프로파일링하여 탐지됩니다.
GuardDuty 조사 결과 유형의 전체 목록은 여기에서 확인할 수 있습니다.
GuardDuty 위협 인텔리전스란 무엇인가요?
GuardDuty 위협 인텔리전스는 공격자가 사용하는 것으로 알려진 IP 주소와 도메인으로 구성되어 있습니다. GuardDuty 위협 인텔리전스는 AWS 및 서드 파티 제공업체(Proofpoint, CrowdStrike 등)가 제공합니다. 이러한 위협 인텔리전스 피드는 사전에 통합되어 있으며 지속적으로 GuardDuty에 업데이트되고 추가 비용은 부과되지 않습니다.
자체 위협 인텔리전스를 제공할 수 있나요?
예. GuardDuty에서 자체 위협 인텔리전스 또는 신뢰할 수 있는 IP 주소 목록을 업로드할 수 있습니다. 이 기능을 사용하면, 해당 목록은 사용자 계정에만 적용되고 다른 고객과 공유되지 않습니다.
보안 탐지 결과는 어떻게 전달되나요?
잠재적 위협이 탐지되면, GuardDuty에서 상세한 보안 탐지 결과를 GuardDuty 콘솔과 EventBridge로 전달합니다. 그러면 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 손쉽게 통합할 수 있습니다. 이러한 탐지 결과에는 카테고리, 영향을 받은 리소스, 리소스와 연결된 메타데이터, 심각도 수준이 포함됩니다.
GuardDuty 탐지 결과는 형식이 어떻게 되나요?
GuardDuty 탐지 결과는 Macie와 Amazon Inspector에서 사용하는 것과 같은 일반적인 JSON 형식으로 제공됩니다. 따라서 고객과 파트너는 손쉽게 세 가지 서비스 모두의 보안 탐지 결과를 소비하고 이를 좀 더 광범위한 이벤트 관리, 워크플로 또는 보안 솔루션에 통합할 수 있습니다.
보안 탐지 결과는 GuardDuty에서 얼마 동안 사용할 수 있나요?
보안 탐지 결과는 GuardDuty 콘솔 및 API에서 90일 동안 사용할 수 있도록 보존됩니다. 90일 이후에는 조사 결과가 폐기됩니다. 90일 넘게 조사 결과를 보존하려면 조사 결과를 계정 내 Amazon S3 버킷 또는 장기 보존용 다른 데이터 스토어로 자동으로 푸시하도록 EventBridge를 설정하면 됩니다.
GuardDuty 조사 결과를 집계할 수 있나요?
예. 리전 전체에서 GuardDuty를 통해 생성된 보안 조사 결과를 집계하도록 선택할 수 있습니다. EventBridge를 사용하거나 Amazon S3와 같은 데이터 스토어로 결과를 푸시한 다음 적절한 조사 결과를 집계할 수 있습니다. GuardDuty 조사 결과를 Security Hub로 보내고 크로스 리전 집계 활성화 기능을 사용할 수도 있습니다.
GuardDuty를 사용해 자동 예방 조치를 수행할 수 있나요?
GuardDuty, EventBridge 및 AWS Lambda를 사용하면 보안 탐지 결과에 따라 자동 수정 조치를 설정할 수 있습니다. 예를 들어 보안 조사 결과에 따라 AWS 보안 그룹 규칙을 수정하도록 Lambda 함수를 생성할 수 있습니다. 알려진 악의적 IP가 Amazon EC2 인스턴스 중 하나를 탐색하고 있다는 GuardDuty 조사 결과가 나오면, EventBridge 규칙을 통해 Lambda 함수를 시작하여 자동으로 보안 그룹 규칙을 수정하고 해당 포트에 대한 액세스를 제한할 수 있습니다.
GuardDuty 탐지 기능은 어떻게 개발 및 관리되나요?
GuardDuty에는 탐지 기능의 엔지니어링, 관리 및 반복을 담당하는 팀이 있습니다. 따라서 서비스의 새로운 탐지 기능을 꾸준히 공급하고 기존 탐지 기능에 대한 지속적 반복을 생성할 수 있습니다. GuardDuty 사용자 인터페이스(UI)에 있는 보안 탐지 결과별 좋아요 및 싫어요와 같은 몇 가지 피드백 메커니즘이 서비스에 탑재되어 있습니다. 이를 통해 피드백을 제공할 수 있고 그 결과는 향후 GuardDuty 탐지 기능 반복에 반영될 수 있습니다.
Amazon GuardDuty에 사용자 지정 탐지 기능을 작성할 수 있나요?
아니요. GuardDuty는 자체 사용자 지정 규칙 세트를 개발하고 유지 관리하는 복잡성과 부담을 없애줍니다. 고객 피드백과 AWS 보안 엔지니어 및 GuardDuty 엔지니어링 팀의 연구 결과에 따라 새로운 탐지 기능이 지속적으로 추가됩니다. 그러나 고객이 구성할 수 있는 사용자 지정 기능에는 자체 위협 목록 및 신뢰할 수 있는 IP 주소 목록이 있습니다.
GuardDuty S3 Protection
현재 GuardDuty를 사용하고 있는 경우 S3 Protection을 시작하려면 어떻게 해야 하나요?
현재 GuardDuty 계정의 경우 콘솔의 S3 Protection 페이지에서 또는 API를 통해 S3 Protection을 활성화할 수 있습니다. 그러면 GuardDuty S3 Protection 기능의 30일 무료 평가판이 시작됩니다.
GuardDuty S3 Protection의 무료 평가판이 있나요?
예. 30일 무료 평가판이 있습니다. 각 리전에서 계정별로 S3 Protection 기능이 포함된 GuardDuty의 30일 무료 평가판을 사용할 수 있습니다. GuardDuty를 이미 사용하는 계정도 S3 Protection 기능의 30일 무료 평가판을 처음 활성화하는 경우 평가판을 사용할 수 있습니다.
GuardDuty를 처음 사용하는 사용자인데, 계정에 기본적으로 S3 Protection이 사용되나요?
예. 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정에는 S3 Protection이 기본적으로 사용됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 S3 자동 사용(Auto-enable for S3) 옵션을 활성화해야 S3 Protection이 활성화됩니다.
전체 GuardDuty 서비스(예: VPC 흐름 로그, DNS 쿼리 로그 및 CloudTrail 관리 이벤트 분석)를 사용하지 않고 GuardDuty S3 Protection을 사용할 수 있나요?
아니요. S3 Protection을 사용하려면 GuardDuty 서비스를 사용해야 합니다. 현재 GuardDuty 계정에는 S3 Protection을 사용하도록 설정할 수 있는 옵션이 있고 신규 GuardDuty 계정의 경우 GuardDuty 서비스를 사용하도록 설정하면 기본적으로 이 기능이 포함됩니다.
GuardDuty는 Amazon S3 배포를 보호하기 위해 계정의 모든 버킷을 모니터링하나요?
예. S3 Protection은 환경의 모든 Amazon S3 버킷을 기본적으로 모니터링합니다.
S3 Protection에 대해 CloudTrail S3 데이터 이벤트 로깅을 활성화해야 하나요?
아니요. GuardDuty는 CloudTrail S3 데이터 이벤트 로그에 직접 액세스할 수 있습니다. CloudTrail에서 S3 데이터 이벤트 로깅을 사용하도록 설정할 필요가 없으며 따라서 관련 비용도 발생하지 않습니다. GuardDuty는 로그를 저장하지 않고 분석 용도로만 사용합니다.
GuardDuty EKS Protection
GuardDuty EKS Protection은 어떤 방식으로 작동하나요?
GuardDuty EKS Protection은 Amazon EKS 감사 로그를 분석하여 Amazon EKS 클러스터 컨트롤 플레인 활동을 모니터링하는 GuardDuty 기능입니다. GuardDuty는 Amazon EKS와 통합하여, Amazon EKS 감사 로그에 직접 액세스하므로 이러한 로그를 활성화하거나 저장할 필요가 없습니다. 이러한 감사 로그는 Amazon EKS 컨트롤 플레인에서 수행한 일련의 작업을 시간순으로 기록한 보안 관련 기록입니다. 이러한 Amazon EKS 감사 로그를 통해 GuardDuty는 Amazon EKS API 활동을 지속적으로 모니터링하고 검증된 위협 인텔리전스 및 이상 탐지 기능을 적용하여 Amazon EKS 클러스터를 무단 액세스에 노출시킬 수 있는 악성 활동 또는 구성 변경을 식별합니다. 위협이 식별되면 GuardDuty는 위협 유형, 심각도 수준 및 포드 ID, 컨테이너 이미지 ID 및 관련 태그와 같은 컨테이너 수준 세부 정보가 포함된 보안 결과를 생성합니다.
GuardDuty EKS Protection은 Amazon EKS 워크로드에서 어떤 유형의 위협을 탐지할 수 있습니까?
GuardDuty EKS Protection은 Amazon EKS 감사 로그에 캡처된 사용자와 애플리케이션 활동과 관련된 위협을 탐지할 수 있습니다. Amazon EKS 위협 탐지는 알려진 악성 행위자나 Tor 노드에 의해 액세스된 Amazon EKS 클러스터, 잘못된 구성을 나타낼 수 있는 익명 사용자가 수행한 API 작업, Amazon EKS 클러스터로의 승인되지 않은 액세스를 초래할 수 있는 잘못된 구성을 포함합니다. 또한 GuardDuty는 ML 모델을 사용하여 기본 Amazon EC2 호스트로의 루트 수준 액세스 권한이 있는 컨테이너의 의심스러운 시작과 같은 권한 에스컬레이션 테크닉과 일치하는 패턴을 식별할 수 있습니다. 모든 신규 탐지의 전체 목록을 보려면 Amazon GuardDuty 조사 결과 유형을 참조하십시오.
Amazon EKS 감사 로그를 활성화해야 하나요?
아니요. GuardDuty는 Amazon EKS 감사 로그에 직접 액세스할 수 있습니다. GuardDuty는 이러한 로그를 분석에만 사용하고, 로그는 저장되지 않으며, GuardDuty와 공유하기 위해 이러한 Amazon EKS 감사 로그를 활성화하거나 요금을 지불할 필요도 없습니다. 비용을 최적화하기 위해 GuardDuty는 지능형 필터를 적용하여 보안 위협 탐지와 관련한 감사 로그의 일부만 사용합니다.
GuardDuty EKS Protection의 무료 평가판이 있나요?
예. 30일 무료 평가판이 있습니다. 각 리전에서 신규 GuardDuty 계정별로 GuardDuty EKS Protection 기능을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정은 추가 비용 없이 30일 동안 GuardDuty EKS Protection 평가판을 이용할 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.
현재 GuardDuty를 사용하고 있는 경우 GuardDuty EKS Protection을 시작하려면 어떻게 해야 하나요?
GuardDuty EKS Protection은 개별 계정마다 활성화해야 합니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 단일 작업으로 계정에 이 기능을 활성화할 수 있습니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Protection 페이지에서 전체 조직의 GuardDuty EKS Protection을 활성화할 수 있습니다. 그러면 모든 개별 멤버 계정에서 Amazon EKS에 대한 지속적인 모니터링이 활성화됩니다. AWS Organizations의 자동 사용 기능을 통해 생성된 GuardDuty 계정의 경우, Auto-activate for Amazon EKS(Amazon EKS에 대해 자동 활성화)을 명시적으로 설정해야 합니다. 계정에 대해 활성화되면, Amazon EKS 클러스터에서 구성하지 않아도 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 위협이 모니터링됩니다.
신규 GuardDuty 사용자인 경우 계정에 GuardDuty EKS Protection이 기본적으로 사용되나요?
예. 콘솔 또는 API를 통해 GuardDuty를 활성화한 신규 계정에는 기본적으로 GuardDuty EKS Protection이 활성화됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정의 경우, auto-enable for the EKS Protection(EKS Protection 자동 사용) 옵션을 명시적으로 사용하도록 설정해야 합니다.
GuardDuty EKS Protection을 사용 중지하려면 어떻게 해야 하나요?
콘솔 또는 API를 사용하여 기능을 사용 중지할 수 있습니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 계정의 GuardDuty EKS Protection을 사용 중지할 수 있습니다. GuardDuty 관리자 계정이 있는 경우 멤버 계정에 대해 이 기능을 사용 중지할 수도 있습니다.
GuardDuty EKS Protection을 사용 중지한 경우 다시 사용하려면 어떻게 해야 하나요?
이전에 GuardDuty EKS Protection을 사용 중지한 경우 콘솔 또는 API를 사용하여 기능을 다시 사용하도록 설정할 수 있습니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 계정에 GuardDuty EKS Protection을 사용하도록 설정할 수 있습니다.
GuardDuty EKS Protection을 각 AWS 계정과 Amazon EKS 클러스터에서 개별적으로 사용하도록 설정해야 하나요?
GuardDuty EKS Protection은 개별 계정마다 사용하도록 설정해야 합니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Protection 콘솔 페이지에서 클릭 한 번으로 전체 조직의 Amazon EKS에 위협 탐지를 사용할 수 있습니다. 그러면 모든 개별 멤버 계정에서 Amazon EKS에 대한 위협 탐지가 활성화됩니다. 계정에 대해 활성화되면, 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 위협이 모니터링되며 Amazon EKS 클러스터에서 수동으로 구성할 필요가 없습니다.
Amazon EKS를 사용하지 않고 GuardDuty에서 GuardDuty EKS Protection을 사용하도록 설정하면 요금이 부과됩니까?
Amazon EKS를 사용하지 않고 GuardDuty EKS Protection을 활성화했다면 GuardDuty EKS Protection 비용이 발생하지 않습니다. 그러나 Amazon EKS 사용을 시작하면 GuardDuty가 클러스터를 자동으로 모니터링하고 식별된 문제에 대한 결과를 생성하기 때문에 이 모니터링에 대한 요금이 부과됩니다.
전체 GuardDuty 서비스(예: VPC 흐름 로그, DNS 쿼리 로그 및 CloudTrail Management Events 분석)를 사용하지 않고 GuardDuty EKS Protection을 사용할 수 있나요?
아니요. GuardDuty EKS Protection을 사용하려면 GuardDuty 서비스가 사용되어야 합니다.
GuardDuty EKS Protection은 AWS Fargate의 Amazon EKS 배포에 대한 Amazon EKS 감사 로그를 모니터링하나요?
예, GuardDuty EKS Protection은 Amazon EC2 인스턴스에 배포된 Amazon EKS 클러스터와 Fargate에 배포된 Amazon EKS 클러스터의 Amazon EKS 감사 로그를 모니터링합니다.
GuardDuty는 Amazon EC2 또는 Amazon EKS Anywhere의 비관리형 Amazon EKS를 모니터링하나요?
현재 이 기능은 계정의 Amazon EC2 인스턴스 또는 Fargate에서 실행되는 Amazon EKS 배포만 지원합니다.
GuardDuty EKS Protection을 사용하면 Amazon EKS의 컨테이너 실행 성능이나 비용에 영향을 미칩니까?
아니요. GuardDuty EKS Protection은 Amazon EKS 워크로드 배포의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.
각 AWS 리전에서 GuardDuty EKS Protection을 개별적으로 활성화해야 하나요?
예. GuardDuty는 리전별 서비스이기 때문에 각 AWS 리전에서 GuardDuty EKS Protection을 개별적으로 사용하도록 설정해야 합니다.
GuardDuty Runtime Monitoring
GuardDuty Runtime Monitoring은 어떻게 작동하나요?
GuardDuty Runtime Monitoring은 경량의 완전 관리형 보안 에이전트를 사용하여 모니터링이 적용되는 리소스의 포드 또는 인스턴스 수준에서 파일 액세스, 프로세스 실행, 네트워크 연결과 같은 런타임 활동에 대한 가시성을 제공합니다. 보안 에이전트는 런타임 이벤트를 수집해서 보안 분석 처리를 위해 GuardDuty에 전달하는 대몬 세트로 자동 배포됩니다. 이를 통해 GuardDuty는 AWS 환경 내에서 손상되었을 가능성이 있는 특정 인스턴스 또는 컨테이너를 식별하고 더 광범위한 AWS 환경으로 권한을 에스컬레이션하려는 시도를 탐지할 수 있습니다. GuardDuty를 통해 잠재적 위협이 탐지되면 인스턴스, 컨테이너, 포드, 프로세스 세부 정보를 담은 메타데이터 컨텍스트가 포함된 보안 조사 결과가 생성됩니다.
GuardDuty Runtime Monitoring은 어떤 AWS 서비스를 지원하나요?
Runtime Monitoring은 Amazon EC2에서 실행되는 Amazon EKS 리소스, Amazon EC2 또는 AWS Fargate에서 실행되는 Amazon ECS 클러스터, Amazon EC2 인스턴스에 사용할 수 있습니다.
현재 GuardDuty를 사용하고 있는 경우 Runtime Monitoring을 시작하려면 어떻게 해야 하나요?
현재 GuardDuty 계정의 경우 GuardDuty 콘솔의 Runtime Monitoring 페이지에서 또는 API를 통해 기능을 활성화할 수 있습니다. GuardDuty Runtime Monitoring에 대해 자세히 알아보세요.
GuardDuty를 처음 사용하는 경우 내 계정에서 Runtime Monitoring이 기본적으로 활성화되나요?
아니요. GuardDuty Runtime Monitoring은 GuardDuty를 처음으로 활성화할 때 기본적으로 사용되지 않는 유일한 보호 계획입니다. 이 기능은 GuardDuty 콘솔의 Runtime Monitoring 페이지에서 또는 API를 통해 활성화할 수 있습니다. AWS Organizations의 자동 사용 기능으로 생성된 새로운 GuardDuty 계정은 Runtime Monitoring 자동 사용 옵션을 활성화해야 Runtime Monitoring이 활성화됩니다.
GuardDuty 보안 에이전트의 배포 옵션에는 어떤 것이 있나요?
Amazon ECS Runtime Monitoring을 활성화하면 GuardDuty는 작업의 런타임 이벤트를 사용할 준비가 됩니다. 이러한 작업은 Amazon ECS 클러스터 내에서 실행되며, 이 클러스터는 곧 AWS Fargate 인스턴스에서 실행됩니다. GuardDuty가 이러한 런타임 이벤트를 수신하려면 자동화된 에이전트 구성을 사용해야 합니다.
Amazon EC2 또는 Amazon EKS에 대해 Runtime Monitoring을 활성화하면 GuardDuty 보안 에이전트를 수동으로 배포하거나 자동화된 에이전트 구성을 통해 GuardDuty가 사용자 대신 관리하도록 허용할 수 있는 옵션이 있습니다.
자세한 내용은 GuardDuty 사용 설명서에서 주요 개념 - GuardDuty 보안 에이전트 관리 방법을 참조하세요.
전체 GuardDuty 서비스를 활성화하지 않고 GuardDuty Runtime Monitoring을 사용할 수 있나요?
아니요. GuardDuty Runtime Monitoring을 사용하려면 GuardDuty 서비스를 활성화해야 합니다.
현재 GuardDuty가 제공되는 모든 리전에서 GuardDuty Runtime Monitoring을 사용할 수 있나요?
Runtime Monitoring을 사용할 수 있는 리전의 전체 목록은 리전별 기능 가용성 페이지를 참조하세요.
각 AWS 계정에서 개별적으로 GuardDuty Runtime Monitoring을 활성화해야 하나요?
GuardDuty Runtime Monitoring은 각 개별 계정에 대해 활성화되어야 합니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty Runtime Monitoring 콘솔 페이지에서 한 번의 단계로 전체 조직에 이 기능을 활성화할 수 있습니다. 그러면 모든 개별 멤버 계정의 원하는 워크로드에 대한 런타임 모니터링이 활성화됩니다. 계정에 대해 활성화되면, 계정에서 기존 및 향후 선택한 모든 워크로드에 대해 런타임 위협이 모니터링되며 수동으로 구성할 필요가 없습니다.
Amazon EKS 또는 Amazon ECS의 특정 클러스터를 모니터링하는 방법을 수정할 수 있나요?
GuardDuty Runtime Monitoring을 사용하면 위협 탐지를 위해 모니터링할 Amazon EKS 클러스터 또는 Amazon ECS 클러스터를 선택적으로 구성할 수 있습니다. 클러스터 수준 구성 기능을 사용하면 위협 탐지를 위해 특정 클러스터를 선택적으로 모니터링하거나, 계정 수준 구성 기능을 계속 사용하여 특정 계정 및 리전의 모든 EKS 또는 ECS 클러스터를 각각 모니터링할 수 있습니다.
GuardDuty Runtime Monitoring을 사용하면 AWS 워크로드 실행의 성능이나 비용에 영향을 주나요?
호스트상의 에이전트가 필요한 모든 보안, 관찰성, 기타 사용 사례와 마찬가지로 GuardDuty 보안 에이전트는 리소스 사용률 오버헤드를 야기합니다. GuardDuty 보안 에이전트는 경량으로 설계되었으며 GuardDuty를 통해 주의 깊게 모니터링되어 해당 워크로드에 대한 사용률 및 비용 영향을 최소화합니다. 애플리케이션 및 보안 팀은 정확한 리소스 사용률 지표를 사용하여 Amazon CloudWatch에서 모니터링할 수 있습니다.
GuardDuty 보안 에이전트를 자동으로 배포하도록 GuardDuty Runtime Monitoring을 구성하면 리소스 사용률이 높아질 수 있으며 AWS 워크로드를 실행하는 데 사용되는 VPC에 VPC 엔드포인트가 생성될 수도 있습니다.
Amazon EKS, Amazon ECS 또는 Amazon EC2를 사용하지 않고 이러한 워크로드 중 하나에 대해 GuardDuty Runtime Monitoring을 켜면 GuardDuty Runtime Monitoring 요금이 발생하나요?
실행 중이 아닌 워크로드에 대해 GuardDuty Runtime Monitoring을 활성화한 경우 GuardDuty Runtime Monitoring 요금이 발생하지 않습니다. 하지만 Amazon EKS, Amazon ECS 또는 Amazon EC2 사용을 시작하고 해당 워크로드에 대해 GuardDuty Runtime Monitoring이 활성화되면 GuardDuty가 클러스터, 작업 및 인스턴스를 자동으로 모니터링하고 식별된 문제에 대한 결과를 생성할 때 요금이 부과됩니다.
GuardDuty Runtime Monitoring을 비활성화하려면 어떻게 해야 하나요?
GuardDuty 콘솔의 Runtime Monitoring 페이지에서 AWS 계정 또는 조직에 대한 GuardDuty Runtime Monitoring을 비활성화할 수 있습니다. GuardDuty가 보안 에이전트를 자동으로 배포한 경우 이 기능이 비활성화되면 GuardDuty가 보안 에이전트도 제거합니다.
GuardDuty 에이전트를 수동으로 배포하기로 선택한 경우(EKS Runtime Monitoring 및 EC2 Runtime Monitoring에만 해당) 에이전트를 수동으로 제거해야 하며 생성된 모든 VPC 엔드포인트도 수동으로 삭제해야 합니다. EKS Runtime Monitoring 및 EC2 Runtime Monitoring의 수동 제거 단계는 GuardDuty 사용 설명서에 자세히 설명되어 있습니다.
GuardDuty 멀웨어 방지
Amazon GuardDuty 맬웨어 방지는 어떤 식으로 작동하나요?
Amazon EBS 데이터 볼륨: 이 데이터 소스에서 맬웨어 방지를 활성화한 경우 GuardDuty는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에서 악성 소프트웨어를 나타내는 의심스러운 동작이 식별될 때 맬웨어 탐지 스캔을 시작합니다. Amazon EBS 볼륨의 스냅샷을 기반으로 GuardDuty가 생성하는 Amazon EBS 볼륨 복제본에서 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷, 봇 등을 스캔합니다. GuardDuty 맬웨어 방지는 의심스러운 동작의 소스를 검증하는 데 도움이 될 수 있는 상황별 조사 결과를 생성합니다. 이러한 조사 결과를 적절한 관리자에게 라우팅하여 자동화된 수정 작업을 시작할 수도 있습니다.
S3 객체 스캐닝: 버킷에서 맬웨어 방지를 구성하면 GuardDuty는 새로 업로드된 파일을 자동으로 스캔하고, 맬웨어가 탐지되면 맬웨어에 대한 세부 정보가 포함된 Amazon EventBridge 알림을 생성하며 기존 보안 이벤트 관리 또는 워크플로 시스템과 통합할 수 있습니다. 객체를 계정의 격리된 버킷으로 이동하여 맬웨어를 자동으로 격리하도록 구성하거나, 태그를 기반으로 스캔한 객체를 더 잘 식별 및 분류할 수 있도록 객체 태그를 사용하여 스캔 결과의 처리를 추가할 수 있습니다.
Amazon EC2에 대해 맬웨어 스캔이 시작되는 GuardDuty 조사 결과 유형은 무엇입니까?
Amazon EC2에 대해 멀웨어 스캔을 시작하는 GuardDuty 조사 결과는 GuardDuty 사용 설명서에서 확인할 수 있습니다.
GuardDuty 맬웨어 방지로 스캔할 수 있는 리소스 및 파일 유형은 무엇입니까?
맬웨어 방지는 Amazon EC2 인스턴스에 연결된 Amazon EBS를 스캔하여 악성 파일의 탐지를 지원합니다. 지원되는 파일 시스템 유형은 GuardDuty 사용 설명서에서 확인할 수 있습니다.
S3용 맬웨어 방지는 GuardDuty의 맬웨어 스캐닝 엔진을 사용하여 S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA, Amazon S3 Glacier Instant Retrieval 등 대부분의 동기식 S3 스토리지 클래스에 속하는 파일을 스캔할 수 있습니다. 실행 파일, .pdf 파일, 아카이브, 바이너리, 압축 파일, 스크립트, 설치 프로그램, 이메일 데이터베이스, 일반 이메일, 이미지, 인코딩된 객체 등 맬웨어를 유포 또는 포함하는 데 사용되는 것으로 알려진 파일 형식을 스캔합니다.
GuardDuty Malware Protection은 어떤 유형의 위협을 탐지할 수 있습니까?
Malware Protection은 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷 및 봇과 같이 워크로드를 손상시키고 리소스를 악의적인 용도로 재사용하며 데이터에 무단으로 액세스하는 데 사용될 수 있는 위협을 스캔합니다.
조사 결과 유형의 전체 목록은 GuardDuty 사용 설명서를 참조하세요.
GuardDuty Malware Protection이 작동하려면 로깅을 활성화해야 하나요?
GuardDuty 또는 Malware Protection 기능의 작동을 위해 서비스 로깅을 사용하도록 설정할 필요는 없습니다. Malware Protection 기능은 통합된 내부 및 외부 소스의 인텔리전스를 사용하는 AWS 서비스인 GuardDuty의 일부입니다.
GuardDuty 맬웨어 방지는 에이전트 없이 스캔을 어떻게 수행하나요?
GuardDuty 맬웨어 방지는 보안 에이전트를 사용하는 대신 계정의 감염 가능성이 있는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 스냅샷을 기반으로 복제본을 만들고 이 복제본을 스캔합니다. GuardDuty는 서비스 연결 역할을 통해 GuardDuty에 부여된 권한을 사용하여 사용자 계정에 남아 있는 스냅샷으로부터 암호화된 볼륨 복제본을 GuardDuty의 서비스 계정에 만들 수 있습니다. GuardDuty Malware Protection은 이 볼륨 복제본에서 맬웨어를 스캔합니다.
Amazon S3에 있는 객체의 경우 GuardDuty는 GuardDuty 맬웨어 방지를 구성한 버킷에 업로드된 객체를 읽고 복호화하고 스캔하기 시작합니다. 특정 접두사가 있는 객체만 스캔하도록 정의하여 버킷에서 스캔할 객체의 범위를 제한할 수 있습니다. GuardDuty는 업로드된 객체 중 정의된 접두사와 일치하는 객체를 스캔하고 보안 조사 결과와 상세 스캔 결과(감염, 치료, 건너뜀 또는 실패)가 포함된 Amazon EventBridge 알림을 생성합니다. 알림에는 스캔한 객체 수 및 바이트 수와 관련된 스캔 지표도 포함됩니다. 또한 자동 격리 또는 객체 태그 지정과 같이 GuardDuty가 스캔 결과를 기반으로 객체에 대해 실행할 스캔 후 작업을 정의할 수 있습니다.
GuardDuty Malware Protection의 무료 평가판이 있나요?
예, 각 리전의 새 GuardDuty 계정에는 맬웨어 방지 기능이 포함된 GuardDuty의 30일 무료 평가판이 제공됩니다(GuardDuty에서 시작한 EBS 데이터 볼륨 스캐닝에만 사용 가능, Amazon S3용 GuardDuty 맬웨어 방지에 대한 무료 평가판은 제공되지 않음). 기존 GuardDuty 계정의 경우 계정에서 Malware Protection을 처음으로 사용하도록 설정할 때 추가 비용 없이 30일 무료 평가판을 받을 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.
현재 GuardDuty를 사용하고 있는 경우 GuardDuty Malware Protection을 시작하려면 어떻게 해야 하나요?
GuardDuty 콘솔에서 Malware Protection 페이지로 이동하거나 API를 사용하여 Malware Protection을 사용하도록 설정할 수 있습니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정의 Malware Protection 콘솔 페이지에서 전체 조직에 대해 이 기능을 사용하도록 설정할 수 있습니다. 그러면 모든 개별 멤버 계정에서 맬웨어가 모니터링됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 GuardDuty 계정의 경우, Malware Protection 자동 사용(auto-enable for the Malware Protection) 옵션을 명시적으로 사용하도록 설정해야 합니다.
S3용 맬웨어 방지의 경우 두 단계에 따라 애플리케이션에 맬웨어 스캐닝을 통합할 수 있습니다. 먼저 애플리케이션 소유자는 모니터링하려는 버킷에 버킷 보호 구성을 설정해야 합니다. GuardDuty 콘솔에서 기존 버킷에 대해 프로그래밍 방식으로 설정하거나 새 버킷을 생성할 때 이를 설정할 수 있습니다. GuardDuty는 보호된 각 S3 버킷에 대해 스캔 지표를 EventBridge 이벤트에 전송하여 경보를 설정하고 객체에 태그를 지정하거나 스캔 결과에 따라 GuardDuty가 실행할 격리 버킷에 악성 객체를 복사하는 등의 스캔 후 작업을 정의할 수 있습니다. 계정에 GuardDuty가 활성화된 경우 GuardDuty에서도 보안 조사 결과가 생성됩니다.
GuardDuty를 처음 사용하는 경우 계정에 기본적으로 EC2용 맬웨어 방지가 사용되나요?
예, 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정의 경우 GuardDuty 맬웨어 방지가 기본적으로 사용됩니다(EBS 볼륨 스캐닝). AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정의 경우, Malware Protection 자동 사용(auto-enable for the Malware Protection) 옵션을 명시적으로 사용하도록 설정해야 합니다.
GuardDuty Malware Protection을 사용 중지하려면 어떻게 해야 하나요?
콘솔 또는 API를 사용하여 기능을 사용 중지할 수 있습니다. GuardDuty 콘솔의 Malware Protection 콘솔 페이지에서 계정의 Malware Protection을 사용 중지하는 옵션을 볼 수 있습니다. GuardDuty 관리자 계정이 있는 경우 멤버 계정에 대해 Malware Protection을 사용 중지할 수도 있습니다.
GuardDuty Malware Protection을 사용 중지한 경우 다시 사용하려면 어떻게 해야 하나요?
Malware Protection이 사용 중지된 경우 콘솔 또는 API를 사용하여 기능을 사용하도록 설정할 수 있습니다. GuardDuty 콘솔의 Malware Protection 콘솔 페이지에서 계정에 Malware Protection을 사용하도록 설정할 수 있습니다.
청구 기간 중에 GuardDuty 맬웨어 스캔이 수행되지 않은 경우 요금이 발생하나요?
아니요. 청구 기간 중에 맬웨어가 스캔되지 않은 경우 Malware Protection 요금이 발생하지 않습니다. AWS 빌링 콘솔에서 이 기능의 비용을 확인할 수 있습니다.
GuardDuty Malware Protection은 다중 계정 관리를 지원하나요?
예. GuardDuty에는 다중 계정 관리 기능이 있어 단일 관리자 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. GuardDuty는 AWS Organizations 통합을 통한 다중 계정 관리 기능을 제공합니다. 이 통합 기능을 통해 보안 및 규정 준수 팀은 조직의 모든 계정에 걸쳐 Malware Protection을 포함한 GuardDuty의 완벽한 지원을 보장할 수 있습니다.
EC2용 맬웨어 방지를 사용하려면 구성을 변경하거나, 소프트웨어를 배포하거나, AWS 배포를 수정해야 하나요?
아니요. 해당 기능을 활성화하면 GuardDuty 맬웨어 방지가 관련 Amazon EC2 조사 결과에 따라 맬웨어 스캔을 시작합니다. 에이전트를 배포할 필요가 없고 로그 소스를 사용하도록 설정하지 않아도 되며 다른 구성을 변경하지 않아도 됩니다.
GuardDuty Malware Protection을 사용하면 실행 중인 워크로드의 성능이 영향을 받습니까?
GuardDuty 맬웨어 방지는 워크로드의 성능에 영향을 미치지 않도록 설계되었습니다. 예를 들어 맬웨어 분석을 위해 생성되는 Amazon EBS 볼륨 스냅샷은 24시간 기간에 한 번만 생성할 수 있고 GuardDuty 맬웨어 방지는 암호화된 복제본 및 스냅샷 스캔을 완료한 후 몇 분간만 유지합니다. 또한 GuardDuty 맬웨어 방지는 맬웨어 스캔에 고객의 컴퓨팅 리소스 대신 GuardDuty 컴퓨팅 리소스를 사용합니다.
각 AWS 리전에서 GuardDuty Malware Protection을 개별적으로 사용하도록 설정해야 하나요?
예. GuardDuty는 리전별 서비스이며, 각 AWS 리전에서 Malware Protection을 개별적으로 사용하도록 설정해야 합니다.
GuardDuty 맬웨어 방지는 암호화를 사용하나요?
GuardDuty 맬웨어 방지는 계정에서 감염 가능성이 있는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 스냅샷을 기반으로 하는 복제본을 스캔합니다. Amazon EBS 볼륨이 고객 관리형 키로 암호화되는 경우 AWS Key Management Service(KMS) 키를 GuardDuty와 공유할 수 있습니다. 그러면 서비스에서 Amazon EBS 볼륨 복제본을 암호화할 때 동일한 키가 사용됩니다. 암호화되지 않은 Amazon EBS 볼륨의 경우 GuardDuty는 자체 키를 사용하여 Amazon EBS 볼륨 복제본을 암호화합니다.
Amazon EBS 볼륨 복제본은 원래 볼륨과 동일한 리전에서 분석됩니까?
예. 모든 Amazon EBS 볼륨 복제본 데이터(및 복제본 볼륨의 기반이 되는 스냅샷)는 원래 Amazon EBS 볼륨과 동일한 리전에 유지됩니다.
GuardDuty 맬웨어 방지에 대한 비용을 예상하고 제어하려면 어떻게 해야 하나요?
각 리전의 새 GuardDuty 계정에는 맬웨어 방지 기능이 포함된 GuardDuty의 30일 무료 평가판이 제공됩니다(GuardDuty에서 시작한 EBS 데이터 볼륨 스캐닝에만 사용 가능, Amazon S3용 맬웨어 방지에 대한 무료 평가판은 제공되지 않음). 기존 GuardDuty 계정의 경우 계정에서 Malware Protection을 처음으로 사용하도록 설정할 때 추가 비용 없이 30일 무료 평가판을 받을 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 추정할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.
EBS 볼륨의 맬웨어 스캐닝의 요금은 볼륨에서 스캔한 데이터(단위: GB)를 기준으로 부과됩니다. 콘솔에서 스캔 옵션을 사용하여 사용자 지정을 적용할 수 있습니다. 태그를 사용하여 스캔에 포함하거나 제외할 Amazon EC2 인스턴스를 표시하여 비용을 제어할 수 있습니다. 또한 GuardDuty는 24시간에 한 번만 Amazon EC2 인스턴스를 스캔합니다. GuardDuty에서 24시간 내에 Amazon EC2 인스턴스에 대한 여러 Amazon EC2 조사 결과가 생성되는 경우 스캔은 첫 번째 관련 Amazon EC2 조사 결과에 대해서만 수행됩니다. 인스턴스의 Amazon EC2 조사 결과가 마지막 맬웨어 스캔으로부터 24시간 후에 계속되는 경우 이 인스턴스에 대해 새 맬웨어 스캔이 시작됩니다.
S3 버킷의 스토리지 객체에 대한 맬웨어 스캐닝 요금은 스캔한 데이터(단위: GB)와 맬웨어 스캐닝을 위해 구성된 지정 S3 버킷에서 스캔한 파일 수를 기준으로 책정됩니다. GuardDuty는 구성된 버킷에 새로 업로드된 파일만 스캔하고 기존 파일 또는 맬웨어 스캐닝 대상으로 지정되지 않은 버킷에 있는 파일은 스캔하지 않습니다.
GuardDuty 맬웨어 방지로 생성한 Amazon EBS 스냅샷을 유지할 수 있나요?
예. Malware Protection 스캔에서 맬웨어가 탐지될 때 스냅샷 보존을 사용하도록 하는 설정이 있습니다. GuardDuty 콘솔의 설정(Settings) 페이지에서 이 설정을 사용하도록 설정할 수 있습니다. 기본적으로 스냅샷은 스캔이 완료되고 몇 분 후에 삭제되며 스캔이 완료되지 않은 경우 24시간 후에 삭제됩니다.
기본적으로 Amazon EBS 볼륨 복제본이 보존되는 최대 기간은 얼마인가요?
GuardDuty 맬웨어 방지는 생성되고 스캔되는 각 Amazon EBS 볼륨 복제본을 최대 24시간 동안 보존합니다. 기본적으로 Amazon EBS 볼륨 복제본은 GuardDuty 맬웨어 방지의 스캔이 완료되고 몇 분 후에 삭제됩니다. 그러나 서비스 중단 또는 연결 문제로 인해 맬웨어 스캔이 중단되는 경우 GuardDuty 맬웨어 방지에서 24시간을 초과하여 Amazon EBS 볼륨 복제본을 보존해야 할 수도 있습니다. 이 경우 GuardDuty 맬웨어 방지는 Amazon EBS 볼륨 복제본을 최대 7일간 보존하여 중단 또는 연결 문제를 선별하고 해결할 충분한 시간을 확보합니다. GuardDuty 맬웨어 방지는 중단 또는 장애가 해결되거나 연장된 보존 기간이 경과한 후 Amazon EBS 볼륨 복제본을 삭제합니다.
맬웨어 가능성을 나타내는 단일 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 대한 여러 GuardDuty 조사 결과가 여러 맬웨어 검사를 시작합니까?
아니요. GuardDuty는 감염 가능성이 있는 Amazon EC2 인스턴스 또는 컨테이너 워크로드에 연결된 Amazon EBS 볼륨의 스냅샷을 기반으로 하는 복제본을 24시간에 한 번만 스캔합니다. GuardDuty에서 맬웨어 스캔을 시작하기에 적합한 여러 조사 결과가 생성되더라도 이전 스캔 이후 24시간이 지나지 않았다면 추가 스캔이 시작되지 않습니다. GuardDuty에서 이전 맬웨어 스캔으로부터 24시간 후에 적격 결과가 생성되는 경우 GuardDuty Malware Protection은 해당 워크로드에 대해 새 맬웨어 스캔을 시작합니다.
GuardDuty를 사용 중지하는 경우 Malware Protection 기능도 사용 중지해야 하나요?
아니요. GuardDuty 서비스를 사용 중지하면 Malware Protection 기능도 사용 중지됩니다.
Amazon S3용 GuardDuty 맬웨어 방지를 사용하려면 GuardDuty를 활성화해야 하나요?
아니요, GuardDuty S3 맬웨어 방지는 애플리케이션 소유자가 기본 GuardDuty가 계정에 활성화되지 않은 경우에도 S3 버킷에 대해 맬웨어 방지를 설정할 수 있는 유연성을 제공합니다. 기본 GuardDuty에는 AWS CloudTrail 관리 이벤트, VPC 흐름 로그, DNS 쿼리 로그와 같은 기본 소스에 대한 기본 모니터링이 포함됩니다.
GuardDuty RDS Protection
GuardDuty RDS Protection은 어떤 방식으로 작동하나요?
GuardDuty RDS Protection은 수동으로 배포할 에이전트나 활성화할 데이터 소스, 구성할 권한 없이도 GuardDuty 콘솔에서 단일 작업으로 활성화할 수 있습니다. GuardDuty RDS Protection은 맞춤형 ML 모델을 사용하여 기존 및 신규 Amazon Aurora 데이터베이스에 대한 로그인 시도를 분석하고 프로파일링합니다. 알려진 악의적 행위자에 의한 의심스러운 동작 또는 시도가 식별되면 GuardDuty 및 Amazon Relational Database Service(RDS) 콘솔, Security Hub 및 Amazon EventBridge로 실행 가능한 보안 조사 결과가 전송되므로 기존 보안 이벤트 관리 또는 워크플로 시스템에 이 조사 결과를 통합할 수 있습니다. GuardDuty RDS Protection에서 RDS 로그인 활동 모니터링을 사용하는 방법에 대해 자세히 알아보세요.
현재 GuardDuty를 사용하고 있는 경우 Aurora 데이터베이스에 대한 위협 탐지를 시작하려면 어떻게 해야 하나요?
현재 GuardDuty 계정의 경우 RDS Protection 페이지에서 GuardDuty 콘솔이나 API를 통해 기능을 활성화할 수 있습니다. GuardDuty RDS Protection에 대해 자세히 알아보세요.
GuardDuty를 처음 사용하는 경우 계정에 기본적으로 Aurora 데이터베이스에 대한 위협 탐지 기능이 사용되나요?
예. 콘솔 또는 API를 통해 GuardDuty를 활성화하는 신규 계정에는 RDS Protection이 기본적으로 활성화됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 Auto-enable for RDS(RDS 자동 사용) 옵션을 활성화해야 RDS Protection이 활성화됩니다.
전체 GuardDuty 서비스[예: Amazon Virtual Private Cloud(VPC) 흐름 로그, DNS 쿼리 로그 및 AWS CloudTrail 관리 이벤트 분석]를 활성화하지 않고 GuardDuty RDS Protection을 사용할 수 있나요?
아니요. GuardDuty RDS Protection을 사용하려면 GuardDuty 서비스를 사용하도록 설정해야 합니다.
현재 GuardDuty가 제공되는 모든 리전에서 GuardDuty RDS Protection을 사용할 수 있나요?
RDS Protection이 제공되는 리전의 전체 목록을 보려면 리전별 기능 가용성 페이지를 참조하세요.
GuardDuty RDS Protection이 지원하는 Amazon Aurora 버전은 무엇인가요?
지원되는 Amazon Aurora 데이터베이스 버전 목록을 참조하세요.
GuardDuty RDS Protection을 사용하면 Aurora 데이터베이스의 실행 성능이나 비용이 영향을 받습니까?
아니요. Aurora 데이터베이스에 대한 GuardDuty 위협 탐지 기능은 Amazon Aurora 데이터베이스의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.
GuardDuty Lambda Protection
Amazon GuardDuty Lambda Protection은 어떤 식으로 작동하나요?
GuardDuty Lambda Protection은 서버리스 워크로드에서 VPC 흐름 로그를 시작으로 네트워크 활동을 지속적으로 모니터링하여 무단 암호화폐 채굴용으로 악의적으로 용도가 변경된 함수나 알려진 위협 요소 서버와 통신하는 손상된 Lambda 함수와 같은 위협을 탐지합니다. GuardDuty Lambda Protection은 GuardDuty 콘솔에서 몇 단계만 거치면 활성화할 수 있으며, AWS Organizations를 사용하면 중앙에서 조직의 모든 기존 계정 및 신규 계정에 대해 사용하도록 설정할 수 있습니다. 사용하도록 설정한 후에는 계정에 있는 모든 기존 및 새로운 Lambda 함수의 네트워크 활동 데이터 모니터링을 자동으로 시작됩니다.
현재 GuardDuty를 사용하고 있는 경우 GuardDuty Lambda Protection을 시작하려면 어떻게 해야 하나요?
현재 GuardDuty 계정의 경우 Lambda Protection 페이지에서 GuardDuty 콘솔이나 API를 통해 기능을 활성화할 수 있습니다. GuardDuty Lambda Protection에 대해 자세히 알아보세요.
GuardDuty를 처음 사용하는 경우 계정에 기본적으로 GuardDuty Lambda Protection이 사용되나요?
예. 콘솔 또는 API를 통해 GuardDuty를 활성화하는 신규 계정에는 Lambda Protection이 기본적으로 활성화됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 Auto-enable for Lambda(Lambda 자동 사용) 옵션을 활성화해야 Lambda Protection이 활성화됩니다.
현재 GuardDuty가 제공되는 모든 리전에서 GuardDuty Lambda Protection을 사용할 수 있나요?
Lambda Protection이 제공되는 리전의 전체 목록을 보려면 리전별 기능 가용성 페이지를 참조하세요.
GuardDuty Lambda Protection을 사용하면 Lambda 워크로드의 실행 성능이나 비용이 영향을 받습니까?
아니요. GuardDuty Lambda Protection은 Lambda 워크로드의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.