Download as PDF, PPTX
![Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential
http://www.bespinglobal.com
11
AWS GuardDuty 보안관제 서비스
Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential
http://www.bespinglobal.com
AWS Service Role ETC
GuardDuty - 위협 탐지
CloudWatch
- 자동 차단 기능 Lambda 호출
- 위협 이벤트 알림을 위한 AWS SNS 호출
Lambda
- 위협 이벤트에 대한 NACL 정책 추가
- Memory 256 Mb 사용- 위협 이벤트 S3 저장
- 위협 이벤트 파싱 및 Elastic Search 전달
- S3 저장되어 있는 위협 IP 해제
- Memory 256 Mb 사용
- 5분 후 자동 해제(Default)
Elastic Search - 위협 이벤트 데이터 저장 및 Kibana 연동
- M4.large
- EBS 10G 사용(유동적)
Kibana - 위협 이벤트 모니터링 대시보드
S3
- Lambda 소스 보관
- 위협 이벤트 저장
- Allow, Black List IP 관리
- Elastic Search index 저장
Network ACL - 위협 이벤트 차단 - NACL 정책 Limit : 20개
SNS - 위협 이벤트 정보 E-mail 발송
IAM
- Lambda Access 역할 생성
(Access 대상 : Cloudwatch log, lambda, Elastic Search, S3, NACL)
[첨부] 서비스 필요 사양 및 구성 요소](https://image.slidesharecdn.com/awsguarddutysecuritymonitoringservice-200406002522/75/Aws-guard-duty-security-monitoring-service-11-2048.jpg)
![Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential
http://www.bespinglobal.com
12
AWS GuardDuty 보안관제 서비스
Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential
http://www.bespinglobal.com
[첨부] AWS GuardDuty 위협 탐지 유형
정찰 인스턴스 침해 어카운트 침해
Port Probe/Accepted Comm C&C Activity Malicious API Call (bad IP)
Port Scan (intra-VPC) Malicious Domain Request Tor API Call (accepted)
Brute Force Attack (IP) EC2 on Threat List CloudTrail Disabled
Drop Point (IP) Drop Point IP Password Policy Change
Tor Communications Malicious Comms (ASIS) Instance Launch Unusual
Bitcoin Mining Region Activity Unusual
Outbound DDoS Suspicious Console Login
Spambot Activity Unusual ISP Caller
Outbound SSH Brute Force Mutating API Calls (create, update, delete)
Unusual Network Port High Volume of Describe calls
Unusual Traffic Volume/Direction Unusual IAM User Added
Unusual DNS Requests
Domain Generated Algorithms](https://image.slidesharecdn.com/awsguarddutysecuritymonitoringservice-200406002522/75/Aws-guard-duty-security-monitoring-service-12-2048.jpg)
More Related Content
![[AWS Builders] AWS상의 보안 위협 탐지 및 대응](https://cdn.slidesharecdn.com/ss_thumbnails/awsbuilders300security-190611112644-thumbnail.jpg?width=640&height=640&fit=bounds)
![[JAWS-UG Tokyo 32] AWS Client VPNの特徴](https://cdn.slidesharecdn.com/ss_thumbnails/jaws-ugtokyonw-190925163728-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to Aws guard duty security monitoring service
![[AWSome Day온라인 컨퍼런스] 강의 4: 클라우드 애플리케이션 보호 - 장기웅, AWS 테크니컬 트레이너](https://cdn.slidesharecdn.com/ss_thumbnails/awsomedayonlinekr-module4-191106012337-thumbnail.jpg?width=640&height=640&fit=bounds)
![[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안](https://cdn.slidesharecdn.com/ss_thumbnails/biohealthcareseminarsession04-180614105811-thumbnail.jpg?width=640&height=640&fit=bounds)
![[AWSxBespin Startup Webinar] AWS, 스타트업의 비즈니스에 날개를 달다.](https://cdn.slidesharecdn.com/ss_thumbnails/wellarchitedtedreview-200907051223-thumbnail.jpg?width=640&height=640&fit=bounds)
![[웨비나] 다중 AWS 계정에서의 CI/CD 구축](https://cdn.slidesharecdn.com/ss_thumbnails/200617-aws-webinar-200622035651-thumbnail.jpg?width=640&height=640&fit=bounds)
![[웨비나] 교육, 클라우드로 혁신하다](https://cdn.slidesharecdn.com/ss_thumbnails/aws-webinar-0611-200612080331-thumbnail.jpg?width=640&height=640&fit=bounds)
![[VDI on Azure] DaaS 구축과 운영, 신화와 현실](https://cdn.slidesharecdn.com/ss_thumbnails/daasseminar-200410015013-thumbnail.jpg?width=640&height=640&fit=bounds)
Aws guard duty security monitoring service
- 1. Sub Title (부제가없을 경우 날짜 : 2017.05.26) BESPIN GLOBAL OVERVIEWAWS GuardDuty 보안관제 서비스 베스핀글로벌은 클라우드 도입-운영-관리를 돕는 최고의 동반자입니다.
- 2. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 2 AWS GuardDuty 보안관제 서비스 AWS 환경에서의 보안 위협 Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com AWS 클라우드 환경에서 다양한 보안 위협 중 가장 강력한 기능을 가지고 있는 Account 위협 탐지, 대부분의 서비스를 구성하는 EC2 에 대한 침입 시도, 비즈니스 영위를 위한 보안 컴플라이언스 준수가 AWS Cloud 환경에서의 보안 Key-Point AWS Account Protect EC2 Intrusion Detect Compliance ▪ 비정상 콘솔 로그인 감지 ▪ 악의적인 IP에서의 API 호출 ▪ SG, ACL 호출 감사 ▪ IAM 정책 변경 감사 ▪ Malware IP 통신 탐지 ▪ 악의적인 원격 호스트 통신 탐지 ▪ 포트 스캔 탐지 ▪ DNS 쿼리 데이터 유출 탐지 ▪ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조 ▪ ISMS 2.11.3 이상행위 분석 및 모니터 링 준수 • ISMS-P 2.10.2 클라우드 보안 준수
- 3. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 3 AWS GuardDuty 보안관제 서비스 CloudTrail Log VPC Flow Log DNS Log Reconnaissance Instance Threat Account Threat GuardDuty 서비스에 대한 포트스캔등의 정 찰 행위, 운영중인 인스턴스에 대한 침해, 계정에 대한 침해 각 서비스들의 API호출 정보, 네 트워크 로그 분석, DNS 호출 내 역 분석 각 로그 정보를 기반으로 머신 러닝 기반을 통해 이상 행동 탐 지 위협 분석 탐지 유형 로그 수집 Intelligent Threat Detection AWS GuardDuty ? GuardDuty 아키텍처 변경이나, 성능저하 없이 위협 탐지 “No Agents, No Sensors, No Network Appliances” AWS Account 및 리소스에 대한 상시모니터링
- 4. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 4 AWS GuardDuty 보안관제 서비스 AWS GuardDuty 차별점 Web Application Firewall Intrusion Prevention System Next-Generation Firewall AWS GuardDuty Multiprotocol Security IP Reputation Web Attack Signatures Web Vulnerabilities signatures Automatic Policy Learning URL, Parameter, Cookie and Form Protection Leverage Vulnerability scan result Account(IAM) threat detect Unauthorized Access below average Good to very good Average or fair 기존 3rd-party 보안 솔루션에서 탐지할 수 없는 영역에 대한 탐지, Brute Force Attack, VPC Port Scan, C&C IP 등 기존 IPS의 기 능 수행
- 5. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 5 AWS GuardDuty 보안관제 서비스 BSP GuardDuty 보안관제 서비스 DetectAnalyze FindingsMonitoring Response Report AWS GuardDuty BSP Security Monitoring Service ✔VPC Flow Logs ✔DNS Logs ✔CloudTrail Events ✔대규모의 네트워크 및 계정(Account) 활 동을 자동으로 분석 하여 광범위하고 지 속적인 모니터링 수 행 ✔IP 평판 분석 ✔DNS Query Log 분석 ✔API 호출 분석 ✔포트 스캔 ✔비정상 활동 패턴 탐 지 ✔침입탐지 도구 탐지 ✔비인가 사용자의 행 위 탐지 ✔C&C 통신 탐지 ✔AWS Lambda + ElasticSerch + Kibana 를 통한 공격 현황 확인 ✔위협 이벤트 발생 현 황 ✔공격 대상, 공격 시도, 공격 국가에 대한 통 계 현황 ✔발생 공격에 대한 자 동 차단 ✔침해시도 Tracking 을 위한 로그 자동 저장 ✔침해시도에 대한 E- mail 알림 ✔침해시도 발생건에 대한 월간 통계 정보 제공 ✔주요 Target 시스템에 대한 가이드 제공 AWS GuardDuty 서비스가 제공해주지 않는 “공격 현황에 대한 가시성 제공”, “공격에 대한 자동 대응”, “침해시도에 대한 현황 레 포트 제공”
- 6. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 6 AWS GuardDuty 보안관제 서비스 Configuration Process 1. 서비스 구성을 위한 관리자 계정 생성(IAM) 2. GuardDuty 서비스 활성화 3. ElasticSearch Service Domain 생성 4. NACL 자동 차단, 대시보드 연동, 로그 자동 저장 Lambda 생성 5. NACL 차단 해제 Lambda 생성 6. AWS SNS 설정 7. Guardduty 이벤트 발생시 Cloudwatch Lambda, SNS 자동 호출 설정 8. VPC 설정, 도메인 설정에 따른 Lambda 설정 수정 9. Kibana 대시 보드 구성 10. GuardDuty 탐지 모드 설정 ■ Configuration Process
- 7. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 7 AWS GuardDuty 보안관제 서비스 Service Process 탐지(AWS) 검증 보고 대응 GuardDuty 부정행위탐지 부정행위 검토 고객사 인터뷰 진행 정책 수립 (위험 분류) 정책 적용 부정행위 보고 대응 예외대상 분류 정책 업데이트 요청에 따른 예외처리 예외처리 검토 후속 조치 구축 프로세스 운영 프로세스 고객사 검토 • 부정행위탐지 유형 - 정찰 - 인스턴스 침해 - 계정 침해 • 부정행위탐지 방법 - 대쉬보드 - E-mail 알림 탐지 검증 • 부정행위탐지 검토 - IAM, CloudTrail, NACL 로그 검토 • 정책수립 - 고객사 환경에 따른 심각도 분류 - 심각도를 기반 자동차단 항목 선정 대응 • 후속 조치 - 위협 계정 사용자 인터뷰 수행 - 권한 재검토 정탐 Service Process
- 8. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 8 AWS GuardDuty 보안관제 서비스 Dashboard
- 9. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 9 AWS GuardDuty 보안관제 서비스 Alert Email
- 10. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 10 AWS GuardDuty 보안관제 서비스 Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 서비스영역 상세 제공 서비스 (Offering) Basic Premium 비고 GuardDuty 보안관제 서비스 모니터링 위협 24x365 모니터링 ● ● - 24X365 Hot Line 지원 정책관리 정책 수립 ● ● - 자동차단 정책 설정 위협 이벤트 관리 ● - 오탐, 신뢰 IP 예외처리 (최적화) 차단 로그 자동 저장 Elastic Search 인덱스 관리 ● - 설정(config) 관리 탐지 위협 알림 ● ● - 고객 담당자 E-mail 통보 분석 보안 이벤트 통계 정보 분석 ● - 이상 징후 분석 대응 위협 수동 차단 ● ● - 보안 침해 시 공격자 IP/Port 차단 수행 위협 자동 차단 ● 위협 차단 IP 자동 해제 ● - 차단된 IP/Port 자동 해제 View 위협 통계 DashBoard 제공 ● - 보안 위협에 대한 가시화 보고서 월간 위협 보고서 제공 ● - 침해 대응/분석 결과 리포트 서비스 상품 구성
- 11. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 11 AWS GuardDuty 보안관제 서비스 Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com AWS Service Role ETC GuardDuty - 위협 탐지 CloudWatch - 자동 차단 기능 Lambda 호출 - 위협 이벤트 알림을 위한 AWS SNS 호출 Lambda - 위협 이벤트에 대한 NACL 정책 추가 - Memory 256 Mb 사용- 위협 이벤트 S3 저장 - 위협 이벤트 파싱 및 Elastic Search 전달 - S3 저장되어 있는 위협 IP 해제 - Memory 256 Mb 사용 - 5분 후 자동 해제(Default) Elastic Search - 위협 이벤트 데이터 저장 및 Kibana 연동 - M4.large - EBS 10G 사용(유동적) Kibana - 위협 이벤트 모니터링 대시보드 S3 - Lambda 소스 보관 - 위협 이벤트 저장 - Allow, Black List IP 관리 - Elastic Search index 저장 Network ACL - 위협 이벤트 차단 - NACL 정책 Limit : 20개 SNS - 위협 이벤트 정보 E-mail 발송 IAM - Lambda Access 역할 생성 (Access 대상 : Cloudwatch log, lambda, Elastic Search, S3, NACL) [첨부] 서비스 필요 사양 및 구성 요소
- 12. Copyright © 2018Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com 12 AWS GuardDuty 보안관제 서비스 Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential http://www.bespinglobal.com [첨부] AWS GuardDuty 위협 탐지 유형 정찰 인스턴스 침해 어카운트 침해 Port Probe/Accepted Comm C&C Activity Malicious API Call (bad IP) Port Scan (intra-VPC) Malicious Domain Request Tor API Call (accepted) Brute Force Attack (IP) EC2 on Threat List CloudTrail Disabled Drop Point (IP) Drop Point IP Password Policy Change Tor Communications Malicious Comms (ASIS) Instance Launch Unusual Bitcoin Mining Region Activity Unusual Outbound DDoS Suspicious Console Login Spambot Activity Unusual ISP Caller Outbound SSH Brute Force Mutating API Calls (create, update, delete) Unusual Network Port High Volume of Describe calls Unusual Traffic Volume/Direction Unusual IAM User Added Unusual DNS Requests Domain Generated Algorithms
- 13.