1. GuardDuty 개요
- Amazon GuardDuty
AWS 계정, 네트워크, 워크로드를 대상으로 지속적인 위협 탐지(Threat Detection)를 수행하는 보안 서비스 - 기능
- 비정상 API 호출, 의심스러운 IAM 활동, 악성 IP 접속 등을 자동 분석
- AWS 로그 데이터(CloudTrail, VPC Flow Logs, DNS Logs)를 기반으로 이상 행위 탐지
- 머신러닝 및 위협 인텔리전스를 활용하여 실시간 탐지 수행
2. GuardDuty 결과 내보내기 (Findings Export Options)
- 탐지된 보안 이벤트(Findings)를 주기적으로 외부로 내보낼 수 있음
- 결과 내보내기 주기: 약 15분마다 EventBridge 및 S3로 업데이트
- 내보내기 대상
- EventBridge: 실시간 이벤트 스트리밍 및 경보 자동화
- S3 버킷: 탐지 결과의 장기 저장 및 분석
- 보안 설정
- S3 버킷 ARN 명시
- 암호화를 위해 KMS 키 ARN 등록 및 확인
3. GuardDuty 세팅 확인 항목
- 데이터 보호 설정
- Findings 저장 시 KMS 암호화 활성화 여부 확인
- EventBridge 연동
- GuardDuty 탐지 이벤트를 EventBridge 규칙으로 연결해 Lambda 또는 SNS 알림 트리거 구성
- S3 내보내기 설정
- Findings Export가 활성화되어 있는지, S3 버킷 정책이 GuardDuty 서비스 접근을 허용하는지 점검
- KMS Key ARN 확인
- S3 내보내기 시 암호화를 위한 키가 올바르게 연결되었는지 확인
4. GuardDuty + SIEM 통합 활용
- OpenSearch / SIEM 연동
- S3로 내보낸 GuardDuty Findings를 Kinesis Firehose를 통해 OpenSearch로 전달
- SIEM 대시보드에서 탐지 결과 시각화 및 상관분석 수행
- 활용 예시
- 비정상 IP 접근 로그 자동 알림
- IAM 권한 오용 탐지 이벤트 실시간 모니터링
- GuardDuty + WAF + CloudTrail 로그 통합 분석
5. GuardDuty 보안 운영 포인트
- 탐지된 Findings는 즉시 대응 프로세스로 연결되어야 함
- CloudWatch Alarm 또는 EventBridge 규칙을 통해 자동 차단 워크플로우 구성 가능
- AWS Config, Security Hub와 연계해 보안 거버넌스 자동화 가능
