가드 듀티 ?
지능형 위협 탐지 및 지속적인 모니터링을 통한 AWS계정 및 데이터 보호
https://aws.amazon.com/ko/guardduty/
https://aws.amazon.com/ko/guardduty/faqs/
<1> 가드 듀티 이해
<2> 실습
<1> 가드 듀티 이해
1
Full-managed
AWS콘솔만으로 모두 컨트롤 제공한다.
2
로그 이다.
라이브 패킷을 볼수 없다.
로그로 본다는 것이다.
실시간이 아니다.
S3 로 보관한다.
3
Threat inteligence
ip 포트 , url 등으로 점검한다.
4
cloud watch - 에이전트 설치
5
가드 듀티는 활성화만 하면 된다.
6
마스터 어카운터에 다른 어카운터를 연결시켜 사용한다.
7
cloudtrail log
dns log
vpc flow log
최근 s3로드로 추가되어 분석 할수 있다
S3에 저장시 딜레이가 발생
8
결과 FINDING 으로 보긴하나 결과는 저장되지 않는다.
별도로 저장해야 한다.
9.
가드 듀티 는 리퀴스트의 바디까지 확인하지는 않는다.
WAF 등으로 확인해야한다.
용도가 다르다.
10.
VPC FLOW LOG나 DNS 도메인 정보를 로그에서 찾는 방식이다.
11
가드 듀티 파인딩을 하는것은 다음과 같다.
모드는 아니지만.
T I 정보가 있다.
피싱사이트로 활용된 도메인 정보가 있는지? 등 확인한다.
해커의 IP정보
여러곳의 TI 정보를 활용하는 것이다.
Threat intelligence 정보를 활용하는것이다.
12
차단할때는 신중할 필요가 있다.
13
Finding 종료
asff 포맷
<2> 실습
중앙화
감사합니다.