220.인증된 보안 테스트 알람을 줄이기
<1> 요청사항
인증되지 않는 VPC에서 EC2로 네트워크 포트 스캔 시 알람을 받고자 한다.
GuardDuty 알람 받는다.
보안팀은 인증된 스캐너로 내부적으로 점검한다.
보안팀은 인증된 테스트의 알람은 적게 받고 싶어 한다.
인증되지 않은 시스템 활동은 알람은 계속 받아야 한다.
<2> 조치법
보안팀에서 사용하는 EC2에 Inspector agent를 설치하고 사용한다.
<3> 확인
1. GuardDuty는 인증된 VPC에서 스캔하는 것은 White IP로 등록하면 불필요한 알람은 안 올 것이다.
2. 알람 필요 건은 별도로 Inspector agent로 감시하여 알람을 받으면 된다.
# White IP 등록
<4> GuardDuty 알아보기
1. 주요 기능
AWS 계정과 워크로드 보호
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_policy.html
ROOT 계정 API 사용에 대해서도 감지가 된다.
2. GuardDuty 점검항목
- VPC흐름 로그
- DNS로그 분석
- AWS CloudTrail 이벤트 분석
결과를 S3로 보낸다.
- Root 사용시 감지가 된다.
GuardDuty에서 확인한다.
3. 30일 무료
개별 리전 별로 활성화한다.
GuardDuty를 처음 활성화할 때 AWS 계정이 30일 동안 자동적으로 등록됩니다
https://aws.amazon.com/ko/guardduty/pricing/
무료 평가판 종료 후 예상 일일 비용이 산정된다.
Usage
S3 데이터 이벤트도 추가 됨.
Findings
GuardDuty 종료하기
Setting > 맨아래 Disable
GuardDuty 결과
https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_findings.html
GuardDuty : 보호 의무
https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/what-is-guardduty.html
<5> Inspector
Inspector agent는 AWS리소스 동작을 분석해 보안 문제를 식별하는 서비스이다.
Inspector agent 설치법 https://brunch.co.kr/@topasvga/633
별도로 Inspector agent로 감시하여 알람을 받으면 된다.
네트워크 도달만 agent less 방식.
모범 사례 https://docs.aws.amazon.com/ko_kr/inspector/latest/userguide/inspector_security-best-practices.html
<6> VPC Flow log 알아보기
https://brunch.co.kr/@topasvga/662
감사합니다.
