AWS GuardDuty를 사용하여 해당 사항을 활성화 시킨다.
1) AWS Console -> GuardDuty -> Runtime Monitoring
2) Runtime Monitoring -> Enable
3) Amazon EKS -> Enable
4) Amazon EC2 -> Enable해당 기능을 Enable하면 EKS 및 EC2에 GuardDuty Agent를 자동으로 배포할 수 있도록 한다.
AWS 상에서 많이 시도되는 전형적인 침해 유형은 다음과 같다.
- 공격자는 타겟의 정보를 수집하고 취약한 부분을 탐색하는 정탐 과정을 진행
- 타겟 인스턴스에 로그인이 성공하면 인스턴스 탈취의 상황 진행
- 공격자는 멀웨어를 설치하거나, 인스턴스 상의 중요 정보를 탈취
- 해커들은 EC2 인스턴스에서 노리는 것은 인스턴스 Role에 부여된 임시 자격증명
- 이것을 탈취하여 여기에 부여된 IAM 권한을 이용하여 AWS API들을 호출
- AWS Account 전체를 장악
해당 과정으로 AWS GarudDuty를 진행해볼 수 있다.
아래 개시글을 통해 AWS GuardDuty를 활용해본다.
'Cloud Infra Architecture (AWS) > AWS Build' 카테고리의 다른 글
| [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T] (2) | 2024.11.03 |
|---|---|
| [AWS SecurityHub] AWS GuardDuty로 침입 감지한(SSH BruteForce) 로그를 AWS Security Hub를 통해 탐지 [T] (0) | 2024.11.03 |
| [AWS WAF] AWS WAF 정상트래픽 예외처리 [T] (0) | 2024.11.01 |
| [AWS CloudWatch] 로그 필터링 [T] (0) | 2024.11.01 |
| [AWS CloudWatch] 로그 확인 및 분석 [T] (0) | 2024.11.01 |