AWS Security Hub란?
- AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공
- 보안 상태를 중앙 집중화하여 모니터링 및 관리
- AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구
AWS GuardDuty로 침입을 감지하였고, 그 결과를 AWS Security Hub를 통해 분석해보겠다.
AWS Security Hub 요약 대시보드
1) AWS Console 접속 -> AWS Security Hub
2) Security Hub 리소스 선택 -> 왼쪽 분석 결과 클릭=> Security Hub의 대시보드가 뜨며 여러가지 항목을 살펴볼 수 있다.
1) "분석 결과" 클릭 -> 탐지 결과 목록 화면에서 "필터" 클릭
2) 제품 이름 = GuardDuty -> 적용
3) 공격당한 (빨간색인 높음 심각도를 갖는) 리소스를 클릭
"""Instance"""
4) 해당 인스턴스의 Private IP 복사
"""AWS Security Hub로 돌아와서"""
5) "필터" 선택 = EC2 인스턴스 IPv4 선택
6) 복사한 IP 적고 Apply=> 필자의 인스턴스에서는 다음처럼 떳다.
Finding = The EC2 Instance i-123123~~ a Bitcoin-related domain name
#누군가가 비트코인 도메인들에 접근을 시도한 것이므로 인스턴스가 탈취된 것이다.
어떠한 방식으로 나의 서버에 수행했고, 탈취 시도에 대해서 확인해보자
"""Security Hub 분석 결과"""
1) 탐지 항목 중 본인 Private IP 부분을 클릭
"""필자 인스턴스 경고문"""
Pirvate IP is perfoming SSH brute force attacks against ~~
#즉, 나의 인스턴스를 타겟으로 SSH BruteForce 공격이 실행된 것
2) 해당 팝업 화면의 제일 아래 "Amazo Detective에서 조사" 클릭
3) "분석 결과 조사" 클릭
4) 해당 서버 확인- AWS GuardDuty 탐지건 조사를 통해 인스턴스가 탈취되어 비트코인 등 불법행위에 활용 된 것
- SSH brute force attacks 로그도 확인된다.
'Cloud Infra Architecture (AWS) > AWS Build' 카테고리의 다른 글
| [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T] (0) | 2024.11.03 |
|---|---|
| [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T] (2) | 2024.11.03 |
| [AWS GuardDuty] AWS GuardDuty 활성화 및 기본적인 공격 시나리오 [T] (0) | 2024.11.03 |
| [AWS WAF] AWS WAF 정상트래픽 예외처리 [T] (0) | 2024.11.01 |
| [AWS CloudWatch] 로그 필터링 [T] (0) | 2024.11.01 |