필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.AWS GuardDuty에서 어떻게 탐지되는지 확인해보자. 해당 환경에서 이어서 진행한다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com1) AWS 콘솔 -> GuardDuty 접속2) 생성한 GuardDuty -> Findings """Ex..