brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Nov 10. 2020

486. 보안- 가드 듀티 - 5/5

가드 듀티 ?

지능형 위협 탐지 및 지속적인 모니터링을 통한 AWS계정 및 데이터 보호

https://aws.amazon.com/ko/guardduty/


https://aws.amazon.com/ko/guardduty/faqs/



<1> 가드 듀티  이해

<2> 실습



<1> 가드 듀티  이해


1

 Full-managed

AWS콘솔만으로 모두 컨트롤 제공한다.


2

로그 이다.

라이브 패킷을 볼수 없다.

로그로 본다는 것이다.

실시간이 아니다.

S3 로 보관한다.


3

Threat inteligence

ip 포트 , url 등으로 점검한다.



4

cloud watch - 에이전트  설치


5

가드 듀티는 활성화만 하면 된다.


6

마스터 어카운터에 다른 어카운터를 연결시켜 사용한다.


7

cloudtrail log

dns log

vpc flow log

최근 s3로드로 추가되어 분석 할수 있다


S3에  저장시 딜레이가 발생



8

결과 FINDING 으로 보긴하나 결과는 저장되지 않는다.

별도로 저장해야 한다.



9.

가드 듀티 는  리퀴스트의 바디까지 확인하지는 않는다.

WAF 등으로 확인해야한다.

용도가 다르다.


10.

VPC FLOW LOG나  DNS 도메인 정보를  로그에서 찾는 방식이다.


11

가드 듀티 파인딩을 하는것은 다음과 같다. 

모드는 아니지만.

T I 정보가 있다.

피싱사이트로 활용된 도메인 정보가 있는지? 등 확인한다.

해커의 IP정보


여러곳의 TI 정보를 활용하는 것이다.

Threat intelligence  정보를 활용하는것이다.


12

차단할때는 신중할 필요가 있다.


13

Finding  종료

asff  포맷




<2> 실습


중앙화

https://aws.amazon.com/ko/blogs/security/how-to-manage-amazon-guardduty-security-findings-across-multiple-accounts/


감사합니다.


매거진의 이전글 485. 보안-Detective 특징 4/5
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari