기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty 조사(미리 보기)
GuardDuty 조사는 GuardDuty 조사 결과 및 계정에 대한 AI 기반 보안 분석을 제공합니다. 조사를 생성하면 GuardDuty는 지식 그래프를 사용하여 조사 결과 컨텍스트, 지난 90일간의 관련 활동, 영향을 받은 리소스, 위협 인텔리전스 및 위협 지표를 검사합니다. 각 조사는 신뢰도 점수, MITRE ATT&CK® 기법 분류, 지원 증거 및 실행 가능한 권장 사항이 포함된 위협 처리 평가를 제공합니다.
각 조사는 다음과 같은 인사이트를 생성합니다.
-
위험 수준 - 전체 위험 평가: 정보, 낮음, 중간, 높음 또는 중요.
-
신뢰도 - 평가의 신뢰도 수준: 알 수 없음, 낮음, 중간 또는 높음.
-
요약 - 조사 결과 및 주요 관찰 결과에 대한 설명입니다.
-
조사 세부 정보 - 조사와 관련된 추가 정보 및 컨텍스트입니다.
-
권장 작업 - CLI 명령을 비롯한 세부 작업을 수행하여 식별된 문제를 해결할 수 있습니다.
GuardDuty 조사는 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 캐나다(중부), 유럽(프랑크푸르트), 유럽(아일랜드), 유럽(런던), 유럽(파리), 유럽(스톡홀름), 아시아 태평양(도쿄)의 10개 상용 AWS 리전에서만 사용할 수 있습니다.
분석 유형
GuardDuty 조사는 다음 세 가지 유형의 분석을 지원합니다.
-
결과 분석 - 결과 ID(32자 16진수)를 지정할 때 특정 GuardDuty 결과를 분석합니다. 미리 보기의 경우 GuardDuty 조사는 모든 XTD(Extended Threat Detection) 조사 결과를 지원하고 기본, S3 및 런타임 계획에서 조사 결과를 선택합니다.
-
계정 분석 - 12자리 AWS 계정 ID를 제공할 때 AWS 계정의 위협 태세를 분석합니다.
-
조직 분석 - 조직의 위협 태세를 분석합니다. 미리 보기의 경우 최대 100개의 계정을 분석합니다.
교차 리전 추론
GuardDuty 조사는 리전 간 추론 서비스(CRIS)를 활용하여 지리 AWS 리전 내에서 최적의를 자동으로 선택하여 조사 분석을 처리하고 조사 보고서를 생성합니다. 이렇게 하면 사용 가능한 컴퓨팅 리소스와 모델 가용성이 극대화되고 최상의 고객 경험이 제공됩니다.
데이터는 조사 요청이 시작된 리전에만 저장됩니다. 그러나 조사 데이터 및 요약 결과는 해당 리전 외부에서 처리될 수 있습니다. 모든 데이터는 Amazon의 보안 네트워크를 통해 암호화되어 전송됩니다.
GuardDuty 조사는 다음 표와 같이 요청이 시작된 지리적 영역 내의 사용 가능한 컴퓨팅 리소스로 추론 요청을 안전하게 라우팅합니다.
리전 간 추론 라우팅
| 지원되는 지리 |
GuardDuty 리전 |
추론 리전 |
| 미국 |
미국 동부(버지니아 북부) |
미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오리건) |
| 미국 |
미국 동부(오하이오) |
미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오리건) |
| 미국 |
미국 서부(오리건) |
미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오리건) |
| 미국 |
캐나다(중부) |
캐나다(중부), 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤) |
| 유럽 |
유럽(프랑크푸르트) |
유럽(프랑크푸르트), 유럽(스톡홀름), 유럽(밀라노), 유럽(스페인), 유럽(아일랜드), 유럽(파리) |
| 유럽 |
유럽(아일랜드) |
유럽(프랑크푸르트), 유럽(스톡홀름), 유럽(밀라노), 유럽(스페인), 유럽(아일랜드), 유럽(파리) |
| 유럽 |
유럽(런던) |
유럽(프랑크푸르트), 유럽(스톡홀름), 유럽(밀라노), 유럽(스페인), 유럽(아일랜드), 유럽(런던), 유럽(파리) |
| 유럽 |
유럽(파리) |
유럽(프랑크푸르트), 유럽(스톡홀름), 유럽(밀라노), 유럽(스페인), 유럽(아일랜드), 유럽(파리) |
| 유럽 |
유럽(스톡홀름) |
유럽(프랑크푸르트), 유럽(스톡홀름), 유럽(밀라노), 유럽(스페인), 유럽(아일랜드), 유럽(파리) |
| 일본 |
아시아 태평양(도쿄) |
아시아 태평양(도쿄), 아시아 태평양(오사카) |
사전 조건
GuardDuty 조사를 사용하려면 먼저 다음 사전 조건을 충족해야 합니다.
-
조사를 생성하려는에 활성 GuardDuty 탐지 AWS 리전 기가 있어야 합니다. GuardDuty 활성화에 대한 자세한 내용은 GuardDuty 시작하기 섹션을 참조하세요.
-
감지기에서 GuardDuty 조사 기능을 활성화해야 합니다.
- Console
-
GuardDuty 콘솔을 엽니다.
탐색 창에서 설정을 선택합니다.
AI 기반 조사 - 미리 보기에서 활성화를 선택합니다.
- API/CLI
-
UpdateDetector API를 호출하고 감지기에서 AI_ANALYST 기능을 활성화합니다.
aws guardduty update-detector \
--detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
--features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
-
IAM 자격 증명에는 조사 작업을 수행하는 데 필요한 권한이 있어야 합니다. 다음 IAM 작업이 필요합니다.
-
guardduty:CreateInvestigation - 새 조사를 생성하는 데 필요합니다.
-
guardduty:GetInvestigation - 조사 결과를 검색하는 데 필요합니다.
-
guardduty:ListInvestigations - 탐지기에 대한 조사를 나열하는 데 필요합니다.
다음 예제 IAM 정책은 모든 GuardDuty 조사 작업을 사용할 수 있는 권한을 부여합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:CreateInvestigation",
"guardduty:GetInvestigation",
"guardduty:ListInvestigations"
],
"Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
}
]
}
관리자 및 멤버 계정용 액세스 모델
관리자 계정을 사용하는지 멤버 계정을 사용하는지에 따라 GuardDuty 조사에 다음 액세스 규칙이 적용됩니다.
-
관리자 계정 - 자신과 멤버 계정에 대한 조사를 생성, 가져오기 및 나열할 수 있습니다.
-
멤버 계정 - 자신의 계정에 대한 조사만 가져오고 나열할 수 있습니다. 멤버 계정은 조사를 생성할 수 없으며 다른 계정 또는 관리자 계정에 속한 조사에 액세스할 수 없습니다.
조사 생성
조사를 생성하여 환경의 GuardDuty 조사 결과 및 계정을 분석할 수 있습니다 AWS . 조사는 백그라운드에서 비동기적으로 실행됩니다. 조사를 생성한 후 조사 ID를 사용하여 상태를 확인하고 결과를 검색합니다.
미리 보기 중에 계정당 하루에 최대 10건의 조사를 시작할 수 있으며 계정당 총 100건의 조사가 제한됩니다. 실패한 조사는 이러한 할당량에 포함되지 않습니다. API/CLI를 사용하는 경우 트리거 프롬프트는 최대 2,048자일 수 있습니다.
선호하는 액세스 방법을 선택하여 조사를 생성합니다.
- Console
-
GuardDuty 콘솔을 열고 왼쪽 탐색에서 조사로 이동합니다.
조사 시작을 선택합니다.
조사 범위를 선택합니다.
특정 조사 결과 - 분석하려는 조사 결과 ID를 입력합니다.
내 계정(독립 실행형만 해당) - 추가 입력이 필요하지 않습니다. GuardDuty가 계정을 분석합니다.
특정 계정(관리자만 해당) - 12자리 AWS 계정 ID를 입력합니다.
조직의 모든 계정(관리자만 해당) - 추가 입력이 필요하지 않습니다.
조사 시작을 선택하여 분석을 시작합니다.
- API/CLI
-
CreateInvestigation API 작업을 실행하여 새 조사를 시작합니다. 탐지기 ID와 조사 대상을 설명하는 트리거 프롬프트를 제공해야 합니다.
계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.
aws guardduty create-investigation \
--detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
--trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"
앞의 명령에서 detector-id를 자체 감지기 ID로 바꾸고 trigger-prompt를 조사하려는 항목에 대한 설명으로 바꿉니다.
선택적으로 멱등성을 위한 --client-token 파라미터를 포함할 수 있습니다. 동일한 클라이언트 토큰으로 요청을 재시도하면 GuardDuty는 중복을 생성하는 대신 기존 조사를 반환합니다.
출력 예시:
{
"InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
트리거 프롬프트 요구 사항
트리거 프롬프트는 조사 대상을 설명해야 합니다. GuardDuty는 프롬프트의 내용을 기반으로 분석 유형을 결정합니다.
-
결과 분석 - 프롬프트에 정확히 하나의 결과 ID(32자 16진수 문자열)를 포함합니다. 조사 결과가 존재하고 호출자의 계정 또는 멤버 계정에 속해야 합니다. 단일 프롬프트에는 여러 결과 IDs를 포함할 수 없습니다.
-
계정 분석 - 프롬프트에 정확히 하나의 12자리 AWS 계정 ID를 포함합니다. 호출자는 해당 계정의 관리자여야 합니다. 단일 프롬프트에는 여러 계정 IDs를 포함할 수 없습니다.
-
조직 분석 - 프롬프트에 조직 전체의 보안 문제를 설명합니다. 조사는 조직 전체(최대 100개 계정)의 신호를 분석합니다.
GuardDuty는 AI를 사용하여 자유 형식 프롬프트를 해석하고 적절한 분석 범위를 결정합니다. 조사 결과 ID를 포함하면 조사 결과 분석이 수행됩니다. 계정 ID를 포함하면 계정 분석이 수행됩니다. 프롬프트가 조직 전체의 문제를 설명하는 경우 조직 분석을 수행합니다. 프롬프트가 특정 분석 유형과 일치하지 않는 경우 조사는 기본적으로 호출자의 자체 계정을 분석합니다.
다음은 각 분석 유형에 대한 트리거 프롬프트의 예입니다.
-
결과 분석 - "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"
-
계정 분석 - "Analyze findings in account with id 123456789012"
-
조직 분석 - "Analyze findings in my organization"
멤버 계정에 대한 조사 생성
관리자 계정인 경우 트리거 프롬프트에 멤버 계정 ID를 포함하여 멤버 계정에 대한 조사를 생성할 수 있습니다. 명령에서 관리자 계정의 감지기 ID를 사용합니다. 조사 결과에는 지정된 멤버 계정의 조사 결과가 포함됩니다.
aws guardduty create-investigation \
--detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
--trigger-prompt "Analyze findings in account with id 111122223333"
앞의 명령에서 detector-id를 관리자 계정의 감지기 ID로 바꿉니다. 트리거 프롬프트의 12자리 계정 ID는 조사할 멤버 계정을 식별합니다.
조사 결과 보기
조사를 생성한 후 요약, 조사 세부 정보, 신뢰도 수준 및 권장 사항을 포함한 결과를 검색할 수 있습니다. 조사는 다음 상태 중 하나를 가질 수 있습니다.
선호하는 액세스 방법을 선택하여 조사 결과를 봅니다.
AI 생성 분석 및 권장 사항에는 오류 또는 불완전한 평가가 포함될 수 있습니다. 인적 검토가 권장됩니다.
- Console
-
GuardDuty 콘솔을 열고 왼쪽 탐색에서 조사로 이동합니다.
조사 테이블에서 검토하려는 완료된 조사를 찾습니다.
조사 제목 링크를 선택하여 세부 정보 페이지를 엽니다.
조사 제목은 상태가 완료됨인 경우에만 클릭할 수 있습니다.
- API/CLI
-
GetInvestigation API 작업을 실행하여 완료된 조사의 전체 세부 정보를 검색합니다.
계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.
aws guardduty get-investigation \
--detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
--investigation-id a1b2c3d4-5678-90ab-cdef-ef1234567890
완료된 조사의 출력 예제:
{
"Investigation": {
"InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
"Status": "COMPLETED",
"TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
"TriggeredBy": "123456789012",
"RiskLevel": "Critical",
"Risk": "Detection logic is valid but no live resources are compromised.",
"Confidence": "High",
"Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
"Cloud": {
"Provider": "AWS",
"Region": "us-east-1",
"Account": "123456789012"
},
"Metadata": {
"Product": {
"Name": "Amazon GuardDuty AI Analyst",
"Feature": "Investigation"
},
"Version": "1.0.0"
},
"StartTime": 1705319400.0,
"EndTime": 1705319700.0
}
}
Summary 필드에는 주요 관찰, CLI 명령을 사용한 대응, MITRE ATT&CK® 위협 평가를 포함한 전체 조사 결과가 포함된 JSON 문자열이 포함되어 있습니다.
조사 결과 해석
다음 표에서는 조사에서 반환할 수 있는 위험 수준을 설명합니다.
조사 위험 수준
| 위험 수준 |
설명 |
| 정보 |
환경에 대한 즉각적인 위험이 없는 정보 조사 결과입니다. |
| 낮음 |
즉각적인 조치가 필요할 가능성이 낮은 사소한 위험. |
| 중간 |
검토해야 하고 수정이 필요할 수 있는 중간 정도의 위험. |
| 높음 |
신속한 조사 및 수정이 필요한 상당한 위험. |
| 심각 |
추가 손상을 방지하기 위해 즉각적인 조치가 필요한 심각한 위험. |
다음 표에서는 신뢰도 수준을 설명합니다.
조사 신뢰도 수준
| 신뢰도 수준 |
설명 |
| 알 수 없음 |
평가에 대한 신뢰도를 결정하기에 데이터가 충분하지 않습니다. |
| 낮음 |
제한된 증거가 평가를 지원합니다. |
| 중간 |
중간 수준의 증거가 평가를 지원합니다. |
| 높음 |
강력한 증거는 평가를 지원합니다. |
조사 나열
선택적 정렬 및 페이지 매김을 사용하여 감지기에 대한 모든 조사를 나열할 수 있습니다. 이를 통해 여러 조사의 상태를 검토하고 추적할 수 있습니다.
선호하는 액세스 방법을 선택하여 조사를 나열합니다.
- Console
-
GuardDuty 콘솔을 열고 왼쪽 탐색에서 조사로 이동합니다.
조사 테이블에는 현재 탐지기에 대한 모든 조사가 상태, 위험 수준 및 타임스탬프와 함께 표시됩니다.
- API/CLI
-
ListInvestigations API 작업을 실행하여 탐지기에 대한 조사 요약을 나열합니다.
계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.
aws guardduty list-investigations \
--detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
--max-results 10
--sort-criteria 파라미터를 지정하여 결과를 정렬할 수 있습니다. 다음 예제에서는 시작 시간을 기준으로 정렬된 조사를 내림차순으로 나열합니다.
aws guardduty list-investigations \
--detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \
--sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
--max-results 10
사용 가능한 정렬 속성은 START_TIME, END_TIME, STATUS, RISK_LEVEL및 입니다CONFIDENCE. ASC (오름차순) 또는 DESC (내림차순) 순서로 정렬할 수 있습니다.
출력 예시:
{
"Investigations": [
{
"InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
"Status": "COMPLETED",
"TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
"RiskLevel": "Critical",
"Confidence": "High",
"StartTime": 1705319400.0,
"EndTime": 1705319700.0,
"AccountId": "123456789012"
},
{
"InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
"Status": "COMPLETED",
"TriggerPrompt": "Analyze findings in account with id 123456789012",
"RiskLevel": "High",
"Confidence": "High",
"StartTime": 1705315800.0,
"EndTime": 1705316100.0,
"AccountId": "123456789012"
},
{
"InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
"Status": "COMPLETED",
"TriggerPrompt": "Analyze findings in my organization",
"RiskLevel": "Medium",
"Confidence": "Medium",
"StartTime": 1705312200.0,
"EndTime": 1705312500.0,
"AccountId": "123456789012"
}
]
}
응답에 NextToken 값이 포함된 경우 후속 요청에 전달하여 결과의 다음 페이지를 검색합니다. 페이지당 최대 50개의 결과를 검색할 수 있습니다.