AWS 가드듀티에서 DockerAPIRequest 관련 로그 출력하는 법

AWS GuardDuty에서 DockerAPIRequest 관련 로그를 발생시키는 테스트 방법에 대해 직접적인 정보를 제공하기는 어렵습니다. GuardDuty는 AWS 환경에서 잠재적인 보안 위협을 탐지하는 서비스이며, DockerAPIRequest 위협은 일반적으로 비정상적인 Docker API 요청을 감지했을 때 발생합니다.

테스트를 위해 다음과 같은 접근 방법을 고려해볼 수 있습니다:

1. AWS 환경 내에서 Docker를 실행하는 EC2 인스턴스를 설정합니다.

2. 해당 인스턴스에서 비정상적인 Docker API 요청을 시뮬레이션합니다. 예를 들어, 권한이 없는 사용자로 Docker 명령을 실행하거나, 의심스러운 이미지를 pull하는 등의 작업을 수행할 수 있습니다.

3. GuardDuty의 탐지 설정을 확인하고, 필요한 경우 민감도를 조정합니다.

4. CloudTrail 로그를 활성화하여 Docker 관련 API 호출을 모니터링합니다.

5. 테스트 활동 후 GuardDuty 콘솔에서 발견 결과를 주기적으로 확인합니다.

실제 위협 시나리오를 시뮬레이션하는 것은 복잡하고 위험할 수 있으므로, AWS 공식 문서나 지원 채널을 통해 안전한 테스트 방법에 대한 추가 지침을 구하는 것이 좋습니다. 또한, 테스트 환경은 실제 운영 환경과 분리하여 구성하는 것이 중요합니다.
Sources
Simplify firewall deployments using centralized inspection architecture with Gateway Load Balancer | AWS Public Sector Blog