brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Apr 08. 2020

220.인증된 보안 테스트 알람을 줄이기

<1>  요청사항

인증되지 않는 VPC에서 EC2로  네트워크 포트 스캔 시 알람을 받고자 한다.

GuardDuty 알람 받는다.

보안팀은 인증된 스캐너로 내부적으로 점검한다. 

보안팀은 인증된 테스트의 알람은 적게 받고 싶어 한다.

인증되지 않은 시스템 활동은 알람은 계속 받아야 한다.



<2>  조치법

보안팀에서 사용하는 EC2에  Inspector agent를 설치하고 사용한다.



<3> 확인

1. GuardDuty는 인증된 VPC에서 스캔하는 것은 White IP로 등록하면 불필요한 알람은 안 올 것이다.

2. 알람 필요 건은 별도로 Inspector agent로 감시하여 알람을 받으면 된다.


White IP 등록




<4>  GuardDuty 알아보기 


1.  주요 기능

AWS 계정과 워크로드 보호

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_policy.html


ROOT 계정 API 사용에 대해서도 감지가 된다.



2.  GuardDuty 점검항목

- VPC흐름 로그 

DNS로그 분석

- AWS CloudTrail 이벤트 분석

결과를 S3로 보낸다.


- Root  사용시 감지가 된다.

 GuardDuty에서 확인한다.




3.  30일 무료

개별 리전 별로 활성화한다.

GuardDuty를 처음 활성화할 때 AWS 계정이 30일 동안 자동적으로 등록됩니다

https://aws.amazon.com/ko/guardduty/pricing/



무료 평가판 종료 후  예상 일일 비용이 산정된다.


Usage

S3 데이터 이벤트도 추가 됨.



Findings



GuardDuty 종료하기

Setting > 맨아래 Disable 



GuardDuty 결과

https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_findings.html


GuardDuty  : 보호 의무

https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/what-is-guardduty.html





<5> Inspector 

Inspector  agent는 AWS리소스 동작을 분석해 보안 문제를 식별하는 서비스이다.

Inspector agent 설치법 https://brunch.co.kr/@topasvga/633

별도로 Inspector agent로 감시하여 알람을 받으면 된다.

네트워크 도달만  agent less 방식.

모범 사례 https://docs.aws.amazon.com/ko_kr/inspector/latest/userguide/inspector_security-best-practices.html




<6>  VPC Flow log 알아보기

https://brunch.co.kr/@topasvga/662

감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari