성덕이의 개발공간

AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를seongduck.tistory.comAWS CloudTrail 접속1) AWS Console -> AWS..

AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고해당 과정을 통해 SSH Bruteforce 공격 탐지 및 CVE 취약점 감지  해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Security Hub를 통해 살펴보기 [T]AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWSseongduck.tistory.com 우선 AWS SecurityHub에서 Inspector로 필터를 넣어 확인한다.1) ..

AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWS GuardDuty로 침입을 감지하였고, 그 결과를 AWS Security Hub를 통해 분석해보겠다.AWS Security Hub 요약 대시보드1) AWS Console 접속 -> AWS Security Hub2) Security Hub 리소스 선택 -> 왼쪽 분석 결과 클릭=> Security Hub의 대시보드가 뜨며 여러가지 항목을 살펴볼 수 있다. 1) "분석 결과" 클릭 -> 탐지 결과 목록 화면에서 "필터" 클릭2) 제품 이름 = GuardDuty -> 적용3) 공격당한 ..

AWS GuardDuty를 사용하여 해당 사항을 활성화 시킨다.1) AWS Console -> GuardDuty -> Runtime Monitoring2) Runtime Monitoring -> Enable3) Amazon EKS -> Enable4) Amazon EC2 -> Enable해당 기능을 Enable하면 EKS 및 EC2에 GuardDuty Agent를 자동으로 배포할 수 있도록 한다.AWS 상에서 많이 시도되는 전형적인 침해 유형은 다음과 같다.공격자는 타겟의 정보를 수집하고 취약한 부분을 탐색하는 정탐 과정을 진행타겟 인스턴스에 로그인이 성공하면 인스턴스 탈취의 상황 진행공격자는 멀웨어를 설치하거나, 인스턴스 상의 중요 정보를 탈취해커들은 EC2 인스턴스에서 노리는 것은 인스턴스 Role에..

1) AWS WAF -> Web ACLs -> 원하는 ACLs 선택2) 원하는 Rule 선택 -> Edit3) Scope-down statement 체크"""Statement"""4) If a request doesn't match the statement (NOT)Inspect = Single headerHeader field name = Bypass-WAFMatch type = Exactly matches stringString to match = true -> Save Rule -> Savecurl -i -H "Bypass-WAF: true" $ALB_URL #예외처리 확인

AWS WAF는 Action(Allow, Block, Count 등)을 수행하면서 많은 로그를 생성한다.따라서 로그 분석에 많은 어려움이 있을 수 있어서 선별적으로 로그를 선택해 분석의 효율성을 높여야 한다. Log Filter 생성1) WAF Console -> Web ACLs -> 원하는 ACLs 선택2) Logging and metrics -> Edit -> Add filter"""Filter logs"""Match all of the filter conditionsCondition type = .Rule action on requestCondition value = BlockFilter behavior = Keep in logsDrop from logs3) Save

AWS CloudWatch를 통해 로그 확인1) Cloudwatch log Console2) Log streams -> 원하는 로그 스트림 선택3) Log events -> 필터{ $.action = "BLOCK" } #BLOCK 로그만 검색하는 로그 필터 AWS CloudWatch Log Insights에서 로그 분석1) WAF Console -> Web ACLs -> 원하는 ACLs 선택2) CloudWatch Log Insights3) Top 100 Terminating Rules -> Run Query 간단하게 가능하다.

[AWS WAF] AWS WAF JSON 기반 규칙 생성 [T]AWS WAF에서 제공하는 Rule Visual Editor를 사용하면 간편하지만 복잡한 정책을 만들 때  JSON editor를 사용한다.혹은 AND 조건과 OR 조건의 중복 적용관련해서도 JSON으로 가능하다. 기본 WAF 규칙으로 생seongduck.tistory.com여기서 만든 JSON 정책에서 이어서 시작한다. 위의 정책 수정{"Name": "JSONRule","Priority": 0,"Action": {"Count": {}},"VisibilityConfig": {"SampledRequestsEnabled": true,"CloudWatchMetricsEnabled": true,"MetricName": "JSONRule"},"Stat..

AWS WAF에서 제공하는 Rule Visual Editor를 사용하면 간편하지만 복잡한 정책을 만들 때  JSON editor를 사용한다.혹은 AND 조건과 OR 조건의 중복 적용관련해서도 JSON으로 가능하다. 기본 WAF 규칙으로 생성 가능한 조합옵션 1. 특정 조건 매칭옵션 2. 특정 조건이 아닌 경우 매칭옵션 3. 특정 조건과(AND) 다른 특정 조건의 조합 매칭옵션 4. 특정 조건과(AND) 특정 조건이 아닌(NOT) 조합의 매칭옵션 5. 특정 조건이나(OR) 다른 조건의 조합 매팅옵션 6. 특정 조건이나(OR) 특정 조건이 아닌(NOT) 조합의 매칭=> AND, OR, AND+NOT, OR+NOT (O)=> AND+OR, AND+OR+NOT (X) 하나의 가정 상황을 두고 만들어보자.한국에서..

사용자가 정의하여 규칙을 만드는 방법도 있지만, 관리형 규칙을 이용하여 손쉽게 이용하는 방법도 있다. 1) SQL Injection 공격 방어1) AWS Console 접속 -> 해당 WAF ACLs 선택2) Rules -> Add rules -> Add Managed rule groups"""Free rule groups"""SQL database -> Add to web ACL -> Save 2) XSS 공격 방어1) AWS Console 접속 -> 해당 WAF ACLs 선택2) Rules -> Add rules -> Add Managed rule groups"""Free rule groups"""Core rule set -> Add to web ACL -> Save 3) Command Injecti..