내 환경에서 GuardDuty를 활성화한 후 GuardDuty에서 조사 결과 유형을 생성하지 않는 이유는 무엇입니까?
Amazon GuardDuty 계정을 활성화했지만 조사 결과 유형을 받지 못했습니다.
해결 방법
GuardDuty 상태 확인
GuardDuty를 활성화했는지 확인하십시오. GuardDuty를 일시 중지하거나 비활성화한 경우 GuardDuty는 조사 결과 유형을 생성하지 않습니다. 지원되는 AWS 리전에서 모두 GuardDuty를 활성화하는 것이 좋습니다. 이를 통해 GuardDuty는 활발하게 사용하지 않는 리전에서도 무단 또는 비정상적 활동에 대한 조사 결과 유형을 생성할 수 있습니다.
참고: GuardDuty가 보안 위협을 탐지하지 못하면 조사 결과 유형을 생성하지 않습니다.
데이터 소스 활성화
GuardDuty는 데이터 소스를 사용하여 일부 AWS 서비스의 리소스 유형을 통한 무단 및 예상치 못한 활동을 탐지합니다. 모든 데이터 소스를 활성화했는지 확인합니다.
다음 보호 기능을 활성화하는 것이 좋습니다.
- Amazon Elastic Kubernetes Service(Amazon EKS) 보호
- Amazon Simple Storage Service(Amazon) S3 보호
- Amazon Elastic Compute Cloud(Amazon EC2)용 맬웨어 보호
GuardDuty가 악성 파일을 맬웨어로 탐지하지 못하면 필요한 보호 기능을 활성화했는지 확인하십시오. 파일의 맬웨어 상태를 확인합니다.
참고: GuardDuty는 기본 가상 프라이빗 클라우드(VPC) DNS 확인자를 사용할 때만 DNS 로그를 처리합니다. 다른 유형의 DNS 확인자는 DNS 기반 조사 결과를 생성하지 않습니다.
신뢰할 수 있는 IP 주소 목록에서 표시되지 않은 조사 결과 검토
신뢰할 수 있는 IP 주소 목록을 설정하면 신뢰할 수 있는 IP 주소에서 발생하는 이벤트의 조사 결과 유형이 생성되지 않을 수 있습니다.
환경에서 탐지된 문제를 파악하려면 신뢰할 수 있는 IP 주소 목록 대신 금지 규칙을 사용하는 것이 좋습니다. 조사 결과 보기 메뉴를 현재에서 보관됨으로 변경하여 GuardDuty 콘솔에서 표시되지 않은 조사 결과를 검토할 수 있습니다.
테스트 샘플 조사 결과
테스트할 샘플 GuardDuty 조사 결과를 만들려면 다음 작업 중 하나를 수행하십시오.
- GuardDuty 콘솔 또는 API에서 샘플 조사 결과를 만듭니다.
- 테스터 스크립트를 실행하여 조사 결과를 생성합니다.
관련 정보
- 언어
- 한국어
