🛡️ Amazon GuardDuty 정리¶
1️⃣ Amazon GuardDuty란?¶
Amazon GuardDuty는 AWS 계정과 워크로드에서 발생하는 보안 위협을 탐지하는 위협 탐지(Threat Detection) 서비스입니다.
👉 쉽게 말해, “AWS 환경에서 수상한 행동을 자동으로 잡아내는 보안 감시 서비스” 입니다.
2️⃣ 주요 기능¶
🔍 이상 행동 탐지 (Anomaly Detection)¶
비정상적인 API 호출, 의심스러운 IAM 활동, 예상치 못한 네트워크 트래픽 탐지
📡 데이터 소스 분석¶
VPC Flow Logs, AWS CloudTrail, DNS Logs 분석
🤖 ML 기반 분석¶
머신러닝과 위협 인텔리전스 피드 기반 탐지
🔔 알림/대응 자동화¶
EventBridge, Security Hub, Lambda와 연동해 자동 대응
3️⃣ 아키텍처 시각화¶
flowchart TD
A["AWS Logs (CloudTrail, VPC Flow, DNS)"] --> B["Amazon GuardDuty"]
B --> C["Threat Detection (ML + Threat Intelligence)"]
C --> D["Findings (보안 탐지 결과)"]
D --> E["Amazon EventBridge"]
E --> F["자동 대응 (Lambda, SNS, Security Hub)"]
¶
flowchart TD
A["AWS Logs (CloudTrail, VPC Flow, DNS)"] --> B["Amazon GuardDuty"]
B --> C["Threat Detection (ML + Threat Intelligence)"]
C --> D["Findings (보안 탐지 결과)"]
D --> E["Amazon EventBridge"]
E --> F["자동 대응 (Lambda, SNS, Security Hub)"]
4️⃣ GuardDuty 탐지 예시¶
🔑 IAM: Root 계정으로 의심스러운 API 호출¶
🌍 네트워크: 비정상적인 IP 주소와의 통신 (예: Botnet, 악성 서버)¶
📦 S3: S3 버킷에 비정상적인 접근 시도¶
🕵 계정 활동: 짧은 시간 내 다수의 실패한 로그인 시도¶
5️⃣ 현업 활용 사례¶
🏦 금융사 → 해외 IP에서 비정상 접근 감지 → 자동 차단¶
🛒 이커머스 → 의심스러운 API 호출 탐지 후 보안팀 알림¶
🏢 기업 내부 보안팀 → GuardDuty Findings를 Security Hub에 통합 관리¶
⚡ 자동 대응 → EventBridge + Lambda 연계, 이상 징후 발생 시 계정 차단/알림¶
✅ 정리¶
Amazon GuardDuty = AWS 위협 탐지 서비스
데이터 소스: CloudTrail, VPC Flow Logs, DNS Logs
활용: 이상행동 탐지, 보안 경보, 자동 대응
연동: EventBridge, Security Hub, Lambda, SNS