220.인증된 보안 테스트 알람을 줄이기

<1> 요청사항

인증되지 않는 VPC에서 EC2로 네트워크 포트 스캔 시 알람을 받고자 한다.

GuardDuty 알람 받는다.

보안팀은 인증된 스캐너로 내부적으로 점검한다.

보안팀은 인증된 테스트의 알람은 적게 받고 싶어 한다.

인증되지 않은 시스템 활동은 알람은 계속 받아야 한다.

<2> 조치법

보안팀에서 사용하는 EC2에 Inspector agent를 설치하고 사용한다.

<3> 확인

1. GuardDuty는 인증된 VPC에서 스캔하는 것은 White IP로 등록하면 불필요한 알람은 안 올 것이다.

2. 알람 필요 건은 별도로 Inspector agent로 감시하여 알람을 받으면 된다.

# White IP 등록

<4> GuardDuty 알아보기

1. 주요 기능

AWS 계정과 워크로드 보호

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_policy.html

ROOT 계정 API 사용에 대해서도 감지가 된다.

2. GuardDuty 점검항목

- VPC흐름 로그

- DNS로그 분석

- AWS CloudTrail 이벤트 분석

결과를 S3로 보낸다.

- Root 사용시 감지가 된다.

GuardDuty에서 확인한다.

3. 30일 무료

개별 리전 별로 활성화한다.

GuardDuty를 처음 활성화할 때 AWS 계정이 30일 동안 자동적으로 등록됩니다

https://aws.amazon.com/ko/guardduty/pricing/

무료 평가판 종료 후 예상 일일 비용이 산정된다.

Usage

S3 데이터 이벤트도 추가 됨.

Findings

GuardDuty 종료하기

Setting > 맨아래 Disable

GuardDuty 결과

https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_findings.html

GuardDuty : 보호 의무

https://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/what-is-guardduty.html

<5> Inspector

Inspector agent는 AWS리소스 동작을 분석해 보안 문제를 식별하는 서비스이다.

Inspector agent 설치법 https://brunch.co.kr/@topasvga/633

별도로 Inspector agent로 감시하여 알람을 받으면 된다.

네트워크 도달만 agent less 방식.

모범 사례 https://docs.aws.amazon.com/ko_kr/inspector/latest/userguide/inspector_security-best-practices.html

<6> VPC Flow log 알아보기

https://brunch.co.kr/@topasvga/662

145.VPC Flow log 남겨 문제 확인하기

감사합니다.