내 환경에서 GuardDuty를 활성화했지만 GuardDuty가 결과 유형을 생성하지 않았습니다.

2분 분량

Amazon GuardDuty 계정을 활성화했지만 결과 유형을 받지 못했습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

GuardDuty를 활성화하면 즉시 보안 위협을 모니터링하기 시작합니다. GuardDuty가 보안 문제를 발견하면 결과 유형이 생성됩니다. GuardDuty가 보안 위협을 탐지하지 못하면 결과 유형이 생성되지 않습니다.

해결 방법

GuardDuty가 결과 유형을 생성하지 않은 문제를 해결하려면 다음 구성을 확인합니다.

데이터 소스

GuardDuty는 데이터 소스를 사용하여 일부 AWS 서비스의 리소스 유형에 대한 무단 또는 예상치 못한 활동을 탐지합니다. 데이터 소스는 다음과 같습니다.

AWS CloudTrail 관리 이벤트 로그.
Virtual Private Cloud(Amazon VPC) 흐름 로그.
DNS 로그.
Amazon Simple Storage Service(S3)에 대한 CloudTrail 데이터 이벤트
Kubernetes 감사 로그
Amazon Elastic Block Store(Amazon EBS) 볼륨 데이터

기본적으로 활성화되지 않는 GuardDuty Kubernetes Protection, Amazon S3 Protection, Malware Protection을 활성화하는 것이 가장 좋습니다.

참고: GuardDuty는 기본 VPC DNS 해석기를 사용하는 경우에만 DNS 로그를 처리합니다. 다른 모든 유형의 DNS 해석기는 DNS 기반 결과를 생성하지 않습니다.

GuardDuty 상태

생성할 유형을 찾으려면 GuardDuty를 활성화해야 합니다. GuardDuty가 일시 중단되거나 비활성화되면 결과 유형이 생성되지 않습니다. 지원되는 모든 AWS 리전에서 GuardDuty를 활성화하는 것이 좋습니다. 이렇게 하면 적극적으로 사용하지 않는 리전에서도 GuardDuty가 승인되지 않은 활동이나 비정상적인 활동에 대한 결과 유형을 생성할 수 있습니다.

신뢰할 수 있는 IP 목록

AWS 환경에서의 통신에서 신뢰할 수 있는 IP 주소를 신뢰할 수 있는 IP 목록에 추가할 수 있습니다. 신뢰할 수 있는 IP 목록을 사용하면 GuardDuty가 신뢰할 수 있는 IP 주소에서 발생한 이벤트에 대한 결과 유형을 생성할 수 없습니다.

환경에서 감지된 문제를 인식하려면 신뢰할 수 있는 IP 목록 대신 금지 규칙을 사용하는 것이 좋습니다. 금지 규칙은 결과 유형에서 알림을 줄입니다. 금지 규칙은 GuardDuty에서 생성한 결과 중 특정 기준과 일치하는 새로운 결과를 자동으로 아카이브합니다. 결과(Findings) 보기 드롭다운 메뉴를 **현재(Current)**에서 **아카이브됨(Archived)**으로 변경하여 GuardDuty 콘솔에서 금지된 결과를 검토할 수 있습니다.

테스트를 위해 GuardDuty 결과를 생성하려면 다음 중 하나를 수행합니다.

GuardDuty 콘솔 또는 API에서 샘플 결과를 생성합니다.
guardduty_tester.sh 스크립트를 사용하여 일반적인 GuardDuty 결과를 자동으로 생성합니다.

자세한 내용은 GuardDuty에 대해 신뢰할 수 있는 IP 주소 목록을 설정하려면 어떻게 하나요?를 참조하세요.