성덕이의 개발공간

AWS ECR Repositoy에 Image가 배포되면 취약점 Scanning을 시작한다.해당 기능은 ECR Repository의 Enhanced Scanning인데, Amazon Inspector와 통합된 기능이다.따라서 Amazon Inspector에서도 해당 기능을 확인할 수 있다1) AWS Console 접속 -> Amazon Inspector 메뉴2) 좌측 "By Container repository" 선택이미지 레이어별로 취약점을 확인할 수 있다.

필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.AWS GuardDuty에서 어떻게 탐지되는지 확인해보자. 해당 환경에서 이어서 진행한다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com1) AWS 콘솔 -> GuardDuty 접속2) 생성한 GuardDuty -> Findings """Ex..

AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를seongduck.tistory.comAWS CloudTrail 접속1) AWS Console -> AWS..

AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고해당 과정을 통해 SSH Bruteforce 공격 탐지 및 CVE 취약점 감지  해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Security Hub를 통해 살펴보기 [T]AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWSseongduck.tistory.com 우선 AWS SecurityHub에서 Inspector로 필터를 넣어 확인한다.1) ..

AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWS GuardDuty로 침입을 감지하였고, 그 결과를 AWS Security Hub를 통해 분석해보겠다.AWS Security Hub 요약 대시보드1) AWS Console 접속 -> AWS Security Hub2) Security Hub 리소스 선택 -> 왼쪽 분석 결과 클릭=> Security Hub의 대시보드가 뜨며 여러가지 항목을 살펴볼 수 있다. 1) "분석 결과" 클릭 -> 탐지 결과 목록 화면에서 "필터" 클릭2) 제품 이름 = GuardDuty -> 적용3) 공격당한 ..

AWS GuardDuty를 사용하여 해당 사항을 활성화 시킨다.1) AWS Console -> GuardDuty -> Runtime Monitoring2) Runtime Monitoring -> Enable3) Amazon EKS -> Enable4) Amazon EC2 -> Enable해당 기능을 Enable하면 EKS 및 EC2에 GuardDuty Agent를 자동으로 배포할 수 있도록 한다.AWS 상에서 많이 시도되는 전형적인 침해 유형은 다음과 같다.공격자는 타겟의 정보를 수집하고 취약한 부분을 탐색하는 정탐 과정을 진행타겟 인스턴스에 로그인이 성공하면 인스턴스 탈취의 상황 진행공격자는 멀웨어를 설치하거나, 인스턴스 상의 중요 정보를 탈취해커들은 EC2 인스턴스에서 노리는 것은 인스턴스 Role에..

1) AWS WAF -> Web ACLs -> 원하는 ACLs 선택2) 원하는 Rule 선택 -> Edit3) Scope-down statement 체크"""Statement"""4) If a request doesn't match the statement (NOT)Inspect = Single headerHeader field name = Bypass-WAFMatch type = Exactly matches stringString to match = true -> Save Rule -> Savecurl -i -H "Bypass-WAF: true" $ALB_URL #예외처리 확인

AWS WAF는 Action(Allow, Block, Count 등)을 수행하면서 많은 로그를 생성한다.따라서 로그 분석에 많은 어려움이 있을 수 있어서 선별적으로 로그를 선택해 분석의 효율성을 높여야 한다. Log Filter 생성1) WAF Console -> Web ACLs -> 원하는 ACLs 선택2) Logging and metrics -> Edit -> Add filter"""Filter logs"""Match all of the filter conditionsCondition type = .Rule action on requestCondition value = BlockFilter behavior = Keep in logsDrop from logs3) Save

AWS CloudWatch를 통해 로그 확인1) Cloudwatch log Console2) Log streams -> 원하는 로그 스트림 선택3) Log events -> 필터{ $.action = "BLOCK" } #BLOCK 로그만 검색하는 로그 필터 AWS CloudWatch Log Insights에서 로그 분석1) WAF Console -> Web ACLs -> 원하는 ACLs 선택2) CloudWatch Log Insights3) Top 100 Terminating Rules -> Run Query 간단하게 가능하다.

[AWS WAF] AWS WAF JSON 기반 규칙 생성 [T]AWS WAF에서 제공하는 Rule Visual Editor를 사용하면 간편하지만 복잡한 정책을 만들 때  JSON editor를 사용한다.혹은 AND 조건과 OR 조건의 중복 적용관련해서도 JSON으로 가능하다. 기본 WAF 규칙으로 생seongduck.tistory.com여기서 만든 JSON 정책에서 이어서 시작한다. 위의 정책 수정{"Name": "JSONRule","Priority": 0,"Action": {"Count": {}},"VisibilityConfig": {"SampledRequestsEnabled": true,"CloudWatchMetricsEnabled": true,"MetricName": "JSONRule"},"Stat..