여기서 다루는 내용
· Amazon GuardDuty 서비스 개념
· Amazon GuardDuty 서비스 상세
· WiseN's GuardDuty Event Dashboard
GuardDuty 서비스가 뭐지?
안녕하십니까, GS네오텍 최준승입니다.
오늘은 지난 Reinvent 2017에서 발표된 신규 서비스 중 하나를 소개해 드리려고 합니다.
소개드릴 서비스는 "Amazon GuardDuty"입니다. GuardDuty가 "보초"라는 뜻이라는데.. 보안 관련 서비스인가 봅니다.
AWS의 용어 정의는 이렇습니다.
"Amazon GuardDuty offers threat detection
that enables you to continuously monitor and protect your AWS accounts and workloads."
- 침입 탐지.. IDS인가?
- 연속적인 감시와 보호? 보호? 뭔가 차단하는 로직이 있나?
- your AWS account? 계정 단위로 설정하는 건가? 여러 계정도 되나?
이 중 어느 얘기가 맞는건지 살펴보기 이전에.
이 서비스를 활성화했을때 뿌려주는 이벤트도 한번 살펴보시죠.
어느정도 감이 오시나요?
보다 상세한 내용은 다음 장에서 확인해 보겠습니다.
Q&A로 알아보는 Amazon GuardDuty 서비스 상세
물론 AWS에도 서비스별 FAQ 페이지가 있고 설명도 잘되어 있습니다만.
완전 초심자 입장에서 궁금할 만한 내용을 Q&A 형태로 재배열하여 정리해 보겠습니다.
▣ 무슨 이벤트를 탐지하나요?
→ 보안 이벤트를 탐지합니다. 일례로, 내 계정의 EC2 인스턴스에서 잘 알려진(well-known) C&C 주소를 질의하면 탐지.
▣ 무엇을 분석하나요? 즉, 분석 대상이 되는 Data Source는?
→ VPC Flow Logs, DNS Logs, CloudTrail Logs
▣ 그럼 GuardDuty를 사용하려면 VPC Flow logs나 CloudTrail을 Enable 해야 하나요?
→ 하지 않아도 됩니다. 활성화하지 않아도 AWS에서 따로 로그 스트림을 관리하고 분석한 후 폐기합니다.
▣ GuardDuty 서비스를 사용하기 위해 EC2에 Agent를 설치하거나 하는 작업은 필요없나요?
→ 필요 없습니다. 모두 외부에 생성되는 AWS 로그 기반이라.. 기존 인프라에는 손댈 것이 없습니다.
▣ GuardDuty 서비스가 탐지에 사용하는 방법론은 무엇인가요? 패턴 매칭? 시그니처 기반? Anomaly Detection?
→ 모두 해당됩니다. 이상 행동 탐지(Anomaly Detection)의 경우에는 일정 시간동안 학습을 거쳐 임계점을 설정한다고 하네요.
▣ 그래서 결국 어떤 이벤트를 탐지한다는 건지 이해가 잘 안갑니다.
→ 정보가 계속 업데이트 되니 정리하는게 의미가 없을 것 같습니다. 링크를 참조하세요.
▣ 이벤트의 심각성을 판단할만한 보조 지표가 있나요?
→ 있습니다. Severity 수준을 Low/Medium/High로 나눠서 보여 줍니다.
▣ 이벤트 탐지 내역을 실시간으로 보여주나요?
→ 아닙니다. 실제 이벤트가 발생한 시간. 로그가 떨어지는 시간. 분석한 시간. 이벤트로 띄우는 시간. 이 필요하므로 실시간은 아닙니다.
▣ 이벤트에 따라 뭔가를 차단하는 로직이 있나요?
→ 없습니다. 별도 구현해야 합니다.
▣ 서울 리전 지원하나요?
→ 지원합니다. 그리고 덧붙이면 한 계정안에서도 해당 서비스는 Region별로 활성화해야 합니다.
▣ 복수의 계정을 한곳에서 관리할 수 있나요?
→ 하나의 마스터 어카운트를 설정하고, 복수의 멤버 어카운트에서 승인하면 한곳에서 이벤트를 관리할 수 있습니다.
▣ 비용은 얼마인가요?
→ 분석하는 raw data의 양에 따라 과금됩니다. 링크를 참조하세요.
제가 두줄로 요약해 드리겠습니다.
▲ 장점: 관리형 위협 탐지 서비스다. 기존 인프라에 손댈것이 없다. 탐지 방법, 설정, 관리 다 알아서 해준다.
▼ 단점: 관리형 위협 탐지 서비스다. 탐지 단계에서 커스터마이징 할 것이 없다. 할수도 없다. 그냥 뿌려주는 이벤트나 열심히 보자.
WiseN's Amazon GuardDuty Event Dashboard
Amazon GuardDuty 서비스는 여타 AWS 서비스와 동일하게.
"우리가 데이터는 API로 줄테니. 2차 가공이나 자동화는 직접 만들어 활용하세요." 라는 컨셉이라
이벤트를 시각화해서 보는 부분에 일정 부분 제약사항을 느낄 수도 있습니다.
이런 분들을 위해서 저희가 별도의 시각화 대시보드를 만들어 필요한 고객사에 한해 제공해 드리고 있습니다.
※ 새탭으로 열면 커짐
세부 기능은 수시로 업데이트 되고 있습니다.
최근엔 이벤트 알림 기능을 추가했네요. 이메일로 이벤트가 발생할때마다 알림을 받을 수도 있다고 하니 참고하세요.
그럼 GuardDuty 소개를 마치겠습니다. 끝!