기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# GuardDuty 결과 유형
조사 결과는 GuardDuty가 귀하의 AWS 계정에서 의심스럽거나 악의적인 활동의 징후를 감지했을 때 생성하는 알림입니다. GuardDuty는 GuardDuty를 활성화한 계정에서 조사 결과를 생성합니다.
새로 추가되었거나 수명 종료된 결과 유형을 포함하여 GuardDuty 결과 유형에 대한 중요한 변화에 대한 내용은 [Amazon GuardDuty 문서 기록](doc-history.md)을 참조하십시오.
현재는 사용 중지된 결과 유형에 대한 자세한 내용은 [사용 중지된 결과 유형](guardduty_finding-types-retired.md) 섹션을 참조하세요.
# GuardDuty EC2 결과 유형
다음 결과는 Amazon EC2 리소스에만 해당되며 항상 리소스 유형이 `Instance`입니다. 결과의 심각도 및 세부 정보는 EC2 인스턴스가 의심스러운 활동의 대상인지 또는 작업자가 해당 활동을 수행 중인지 여부를 나타내는 리소스 역할에 따라 다릅니다.
여기에 나열된 결과에는 해당 결과 유형을 생성하는 데 사용된 데이터 소스 및 모델이 포함됩니다. 데이터 소스 및 모델에 대한 자세한 내용은 [GuardDuty 기본 데이터 소스](guardduty_data-sources.md) 섹션을 참조하세요.
**참고**
해당 인스턴스가 이미 종료되었거나 기본 API 직접 호출이 다른 리전의 EC2 인스턴스에서 발생한 경우 EC2 조사 결과 인스턴스 세부 정보가 누락될 수 있습니다.
VPC 흐름 로그를 데이터 소스로 사용하는 EC2 조사 결과는 IPv6 트래픽을 지원하지 않습니다.
모든 EC2 결과의 경우 해당 리소스를 검토하여 예상대로 작동하는지 확인하는 것이 좋습니다. 활동이 승인된 경우 억제 규칙 또는 신뢰할 수 있는 IP 목록을 사용하여 해당 리소스에 대한 오탐지 알림을 방지할 수 있습니다. 활동이 예기치 않게 발생한 경우, 보안을 유지하는 가장 좋은 방법은 인스턴스가 손상되었다고 가정하고 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md)에 설명된 작업을 수행하는 것입니다.
**Topics**
+ [Backdoor:EC2/C&CActivity.B](#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](#backdoor-ec2-spambot)
+ [Behavior:EC2/NetworkPortUnusual](#behavior-ec2-networkportunusual)
+ [Behavior:EC2/TrafficVolumeUnusual](#behavior-ec2-trafficvolumeunusual)
+ [CryptoCurrency:EC2/BitcoinTool.B](#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:EC2/UnusualDNSResolver](#defenseevasion-ec2-unusualdnsresolver)
+ [DefenseEvasion:EC2/UnusualDoHActivity](#defenseevasion-ec2-unsualdohactivity)
+ [DefenseEvasion:EC2/UnusualDoTActivity](#defenseevasion-ec2-unusualdotactivity)
+ [Impact:EC2/AbusedDomainRequest.Reputation](#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Custom](#impact-ec2-maliciousdomainrequest-custom)
+ [Impact:EC2/PortSweep](#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](#impact-ec2-winrmbruteforce)
+ [Recon:EC2/PortProbeEMRUnprotectedPort](#recon-ec2-portprobeemrunprotectedport)
+ [Recon:EC2/PortProbeUnprotectedPort](#recon-ec2-portprobeunprotectedport)
+ [Recon:EC2/Portscan](#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/MetadataDNSRebind](#unauthorizedaccess-ec2-metadatadnsrebind)
+ [UnauthorizedAccess:EC2/RDPBruteForce](#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](#unauthorizedaccess-ec2-sshbruteforce)
+ [UnauthorizedAccess:EC2/TorClient](#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](#unauthorizedaccess-ec2-torrelay)
## Backdoor:EC2/C&CActivity.B
### EC2 인스턴스가 알려진 명령 및 제어 서버와 연결된 IP를 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경 내에 알려진 명령 및 제어(C&C) 서버와 연결된 IP를 쿼리하는 인스턴스가 있음을 알립니다. 나열된 인스턴스는 손상되었을 수 있습니다. 명령 및 제어(C&C) 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.
봇넷은 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스(PC, 서버, 모바일 디바이스 및 사물 인터넷 디바이스 포함)의 모음입니다. 일반적으로 봇넷은 멀웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 용도와 구조에 따라 C&C 서버가 분산 서비스 거부(DDoS) 공격을 시작하는 명령을 실행할 수도 있습니다.
**참고**
쿼리된 IP가 log4j와 관련된 경우 관련 결과의 필드에 다음 값이 포함됩니다.
service.additionalInfo.threatListName = Amazon
service.additionalInfo.threatName = Log4j Related
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/C&CActivity.B\$1DNS
### EC2 인스턴스가 알려진 명령 및 제어 서버와 연결된 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경 내에 알려진 명령 및 제어(C&C) 서버와 연결된 도메인 이름을 쿼리하는 인스턴스가 있음을 알립니다. 나열된 인스턴스는 손상되었을 수 있습니다. 명령 및 제어(C&C) 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.
봇넷은 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스(PC, 서버, 모바일 디바이스 및 사물 인터넷 디바이스 포함)의 모음입니다. 일반적으로 봇넷은 멀웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 용도와 구조에 따라 C&C 서버가 분산 서비스 거부(DDoS) 공격을 시작하는 명령을 실행할 수도 있습니다.
**참고**
쿼리된 도메인 이름이 log4j와 관련된 경우 관련 결과의 필드에 다음 값이 포함됩니다.
service.additionalInfo.threatListName = Amazon
service.additionalInfo.threatName = Log4j Related
**참고**
GuardDuty에서 이 결과 유형을 생성하는 방법을 테스트하려면 인스턴스(Linux용 `dig` 또는 Windows용 `nslookup` 사용)에서 테스트 도메인 `guarddutyc2activityb.com`에 대해 DNS 요청을 생성할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/DenialOfService.Dns
### EC2 인스턴스가 DNS 프로토콜을 통한 DoS(Denial of Service) 공격 수행에 사용 중이라고 볼 수 있는 방식으로 동작하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 대용량의 아웃바운드 DNS 트래픽을 생성 중인 나열된 EC2 인스턴스가 있음을 알립니다. 이는 나열된 인스턴스가 손상되어 DNS 프로토콜을 통한 서비스 거부(DoS) 공격 수행에 사용 중임을 나타냅니다.
**참고**
이 조사 결과는 DoS 공격의 주요 대상인 공개적으로 라우팅이 가능한 IP 주소에 대한 DoS 공격만 감지합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/DenialOfService.Tcp
### EC2 인스턴스가 TCP 프로토콜을 통한 DoS(Denial of Service) 공격 수행에 사용 중이라고 볼 수 있는 방식으로 동작하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 대용량의 아웃바운드 TCP 트래픽을 생성 중인 나열된 EC2 인스턴스가 있음을 알립니다. 이는 인스턴스가 손상되어 TCP 프로토콜을 통한 서비스 거부(DoS) 공격 수행에 사용 중임을 나타냅니다.
**참고**
이 조사 결과는 DoS 공격의 주요 대상인 공개적으로 라우팅이 가능한 IP 주소에 대한 DoS 공격만 감지합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/DenialOfService.Udp
### EC2 인스턴스가 UDP 프로토콜을 통한 DoS(Denial of Service) 공격 수행에 사용 중이라고 볼 수 있는 방식으로 동작하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 대용량의 아웃바운드 UDP 트래픽을 생성 중인 나열된 EC2 인스턴스가 있음을 알립니다. 이는 나열된 인스턴스가 손상되어 UDP 프로토콜을 통한 서비스 거부(DoS) 공격 수행에 사용 중임을 나타냅니다.
**참고**
이 조사 결과는 DoS 공격의 주요 대상인 공개적으로 라우팅이 가능한 IP 주소에 대한 DoS 공격만 감지합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/DenialOfService.UdpOnTcpPorts
### EC2 인스턴스가 TCP 포트에서 UDP 프로토콜을 통한 DoS(Denial of Service) 공격 수행에 사용 중이라고 볼 수 있는 방식으로 동작하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 일반적으로 TCP 통신에 사용되는 포트를 대상으로 대량의 아웃바운드 UDP 트래픽을 생성 중인 나열된 EC2 인스턴스가 있음을 알립니다. 이는 나열된 인스턴스가 손상되어 TCP 포트에서 UDP 프로토콜을 통한 서비스 거부(DoS) 공격 수행에 사용 중임을 나타냅니다.
**참고**
이 조사 결과는 DoS 공격의 주요 대상인 공개적으로 라우팅이 가능한 IP 주소에 대한 DoS 공격만 감지합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/DenialOfService.UnusualProtocol
### EC2 인스턴스가 특이한 프로토콜을 통한 DoS(Denial of Service) 공격 수행에 사용 중이라고 볼 수 있는 방식으로 동작하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 일반적으로 EC2 인스턴스에서 사용하지 않는 특이한 프로토콜 유형의 대량 아웃바운드 트래픽을 생성 중인 나열된 EC2 인스턴스가 있음을 알립니다(예: Internet Group Management Protocol). 이는 인스턴스가 손상되어 특이한 프로토콜을 통한 서비스 거부(DoS) 공격 수행에 사용 중임을 나타냅니다. 이 조사 결과는 DoS 공격의 주요 대상인 공개적으로 라우팅이 가능한 IP 주소에 대한 DoS 공격만 감지합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/Spambot
### EC2 인스턴스가 포트 25의 원격 호스트와 통신하여 비정상적인 동작을 보이고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 나열된 EC2 인스턴스가 포트 25의 원격 호스트와 통신하고 있음을 알립니다. EC2 인스턴스에 포트 25에서의 이전 통신 내역이 없기 때문에 이 동작은 비정상적입니다. 포트 25는 일반적으로 메일 서버에서 SMTP 통신을 위해 사용합니다. 이 결과는 EC2 인스턴스가 스팸 발송에 사용됨으로 인해 손상되었을 수 있음을 나타냅니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Behavior:EC2/NetworkPortUnusual
### EC2 인스턴스가 비정상적인 서버 포트의 원격 호스트와 통신하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 나열된 EC2 인스턴스가 설정된 기준과 다른 방식으로 동작하고 있음을 알립니다. 이 EC2 인스턴스에는 해당 원격 포트에서 통신한 이전 내역이 없습니다.
**참고**
EC2 인스턴스가 포트 389 또는 포트 1389에서 통신한 경우 관련 결과 심각도가 높음으로 수정되고, 결과 필드에 다음 값이 포함됩니다.
service.additionalInfo.context = Possible log4j callback
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Behavior:EC2/TrafficVolumeUnusual
### EC2 인스턴스가 원격 호스트에 대해 비정상적으로 큰 네트워크 트래픽을 생성하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 나열된 EC2 인스턴스가 설정된 기준과 다른 방식으로 동작하고 있음을 알립니다. 이 EC2 인스턴스에는 해당 원격 호스트로 이렇게 많은 양의 트래픽을 보낸 이전 내역이 없습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## CryptoCurrency:EC2/BitcoinTool.B
### EC2 인스턴스가 암호 화폐 관련 활동과 연결된 IP 주소를 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 비트코인 또는 기타 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하는 나열된 EC2 인스턴스가 있음을 알립니다. 비트코인은 다른 통화, 제품, 서비스와 교환할 수 있는 세계적인 암호화폐 및 디지털 결제 시스템입니다. 비트코인은 비트코인 채굴에 따른 보상으로, 공격자들의 많은 관심을 받고 있습니다.
**해결 권장 사항:**
이 EC2 인스턴스를 사용하여 암호화폐를 채굴 또는 관리하거나 이 인스턴스가 블록체인 활동에 관여한 경우, 이 결과는 환경에 대한 예상된 활동일 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `CryptoCurrency:EC2/BitcoinTool.B` 값을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동에 관여한 인스턴스의 **인스턴스 ID**여야 합니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## CryptoCurrency:EC2/BitcoinTool.B\$1DNS
### EC2 인스턴스가 암호 화폐 관련 활동과 연결된 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경에 비트코인 또는 기타 암호화폐 관련 활동과 연결된 도메인 이름을 쿼리하는 나열된 EC2 인스턴스가 있음을 알립니다. 비트코인은 다른 통화, 제품, 서비스와 교환할 수 있는 세계적인 암호화폐 및 디지털 결제 시스템입니다. 비트코인은 비트코인 채굴에 따른 보상으로, 공격자들의 많은 관심을 받고 있습니다.
**해결 권장 사항:**
이 EC2 인스턴스를 사용하여 암호화폐를 채굴 또는 관리하거나 이 인스턴스가 블록체인 활동에 관여한 경우, 이 결과는 환경에 대한 예상된 활동일 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `CryptoCurrency:EC2/BitcoinTool.B!DNS` 값을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동에 관여한 인스턴스의 **인스턴스 ID**여야 합니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## DefenseEvasion:EC2/UnusualDNSResolver
### Amazon EC2 인스턴스가 비정상적인 퍼블릭 DNS 해석기와 통신하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 Amazon EC2 인스턴스가 기준 동작과 다른 방식으로 동작하고 있음을 알립니다. 이 EC2 인스턴스에는 최근에 이 퍼블릭 DNS 해석기와 통신한 기록이 없습니다. GuardDuty 콘솔의 결과 세부 정보 패널의 **비정상적** 필드는 쿼리된 DNS 해석기에 관한 정보를 제공할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## DefenseEvasion:EC2/UnusualDoHActivity
### Amazon EC2 인스턴스가 비정상적인 HTTPS를 통한 DNS(DoH) 통신을 수행하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 Amazon EC2 인스턴스가 설정된 기준과 다른 방식으로 동작하고 있음을 알립니다. 이 EC2 인스턴스에는 이 퍼블릭 DoH 서버와의 최근 HTTPS를 통한 DNS(DoH) 통신 기록이 없습니다. 결과 세부 정보의 **비정상적** 필드는 쿼리된 DoH 서버에 관한 정보를 제공할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## DefenseEvasion:EC2/UnusualDoTActivity
### Amazon EC2 인스턴스가 비정상적인 TLS를 통한 DNS(DoT) 통신을 수행하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 나열된 EC2 인스턴스가 설정된 기준과 다른 방식으로 동작하고 있음을 알립니다. 이 EC2 인스턴스에는 이 퍼블릭 DoT 서버와의 최근 DNS over TLS(DoT) 통신 기록이 없습니다. 결과 세부 정보 패널의 **비정상적** 필드는 쿼리된 DoT 서버에 관한 정보를 제공할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/AbusedDomainRequest.Reputation
### EC2 인스턴스가 알려진 악용된 도메인과 연결된 평판이 낮은 도메인 이름을 쿼리하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경 내에 나열된 Amazon EC2 인스턴스가 알려진 악용된 도메인 또는 IP 주소와 연결된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알립니다. 악용된 도메인의 예로는 동적 DNS 공급자뿐 아니라 무료 하위 도메인 등록을 제공하는 최상위 도메인 이름(TLD) 및 2단계 도메인 이름(2LD) 등이 있습니다. 위협 행위자는 이러한 서비스를 활용하여 무료로 또는 저렴한 비용으로 도메인을 등록하는 경향이 있습니다. 이 범주에서 평판이 낮은 도메인은 등록 기관의 파킹 IP 주소로 확인되는 만료된 도메인일 수도 있으며, 그에 따라 더 이상 활성화되지 않을 수도 있습니다. 파킹 IP에서 등록 기관은 어떤 서비스와도 연결되지 않은 도메인의 트래픽을 전달합니다. 위협 작업자가 일반적으로 이러한 등록 기관 또는 서비스를 C&C 및 맬웨어 배포에 사용하기 때문에 나열된 Amazon EC2 인스턴스가 손상될 수 있습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/BitcoinDomainRequest.Reputation
### EC2 인스턴스가 암호화폐 관련 활동과 연결된 평판이 낮은 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경에 비트코인 또는 기타 암호화폐 관련 활동과 연결된 평판이 낮은 도메인 이름을 쿼리하는 Amazon EC2 인스턴스가 있음을 알립니다. 비트코인은 다른 통화, 제품, 서비스와 교환할 수 있는 세계적인 암호화폐 및 디지털 결제 시스템입니다. 비트코인은 비트코인 채굴에 따른 보상으로, 공격자들의 많은 관심을 받고 있습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
**해결 권장 사항:**
이 EC2 인스턴스를 사용하여 암호화폐를 채굴 또는 관리하거나 이 인스턴스가 블록체인 활동에 관여한 경우, 이 결과는 환경에 대한 예상된 활동을 나타낼 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Impact:EC2/BitcoinDomainRequest.Reputation` 값을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동에 관여한 인스턴스의 **인스턴스 ID**여야 합니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/MaliciousDomainRequest.Reputation
### EC2 인스턴스가 알려진 악성 도메인과 연결된 평판이 낮은 도메인 이름을 쿼리하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경 내에 나열된 Amazon EC2 인스턴스가 알려진 악성 도메인 또는 IP 주소와 연결된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알립니다. 예를 들어 도메인이 알려진 싱크홀 IP 주소와 연결되어 있을 수 있습니다. 싱크홀 도메인은 이전에 위협 작업자가 통제한 도메인으로, 이러한 도메인에 대한 요청은 인스턴스 손상을 나타낼 수 있습니다. 이러한 도메인은 알려진 악성 캠페인 또는 도메인 생성 알고리즘과도 상관관계가 있을 수 있습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/MaliciousDomainRequest.Custom
### EC2 인스턴스가 사용자 지정 위협 엔터티 목록의 도메인을 쿼리하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **DNS 로그
이 조사 결과는 AWS 환경 내에 나열된 Amazon EC2 인스턴스가 업로드하고 활성화한 위협 엔터티 목록에 포함된 도메인 이름을 쿼리하고 있음을 알려줍니다. GuardDuty에서 위협 엔터티 목록은 알려진 악성 도메인 이름 및 IP 주소로 구성됩니다. GuardDuty는 업로드된 위협 엔터티 목록과 연결된 활동을 기반으로 조사 결과를 생성합니다. 조사 결과 세부 정보에서 이 위협 엔터티 목록의 이름을 볼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/PortSweep
### EC2 인스턴스가 다수의 IP 주소에서 포트를 탐색하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 나열된 EC2 인스턴스가 공개적으로 라우팅 가능한 많은 IP 주소의 포트를 탐색하고 있음을 알려줍니다. 이러한 유형의 활동은 일반적으로 악용할 취약한 호스트를 찾는 데 사용됩니다. GuardDuty 콘솔의 결과 세부 정보 패널에는 가장 최근의 원격 IP 주소만 표시됩니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/SuspiciousDomainRequest.Reputation
### EC2 인스턴스의 수명 또는 적은 사용으로 인해 의심스러운 평판이 낮은 도메인 이름을 쿼리하고 있습니다.
**기본 심각도: 낮음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경 내에 나열된 Amazon EC2 인스턴스가 악성인 것으로 의심되는 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 이 도메인의 특성은 이전에 관찰된 악성 도메인과 일치했지만, 당사의 평판 모델에서는 알려진 위협과 확실한 상관관계를 파악할 수 없었습니다. 이러한 도메인은 대체로 새로 관찰되었거나 트래픽이 적습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Impact:EC2/WinRMBruteForce
### EC2 인스턴스가 아웃바운드 Windows 원격 관리 무차별 암호 대입 공격을 수행하고 있습니다.
**기본 심각도: 낮음\$1**
**참고**
EC2 인스턴스가 무차별 암호 대입 공격 대상인 경우 이 결과는 심각도가 낮습니다. 무차별 암호 대입 공격을 수행하는 데 작업자가 EC2 인스턴스를 사용하고 있다면 이 결과는 심각도가 높습니다.
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에서 나열된 EC2 인스턴스가 Windows 기반 시스템의 Windows 원격 관리 서비스 액세스하고자 Windows 원격 관리(WinRM) 무차별 암호 대입 공격을 수행하고 있음을 알려줍니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Recon:EC2/PortProbeEMRUnprotectedPort
### 알려진 악의적 호스트에서 탐색 중인 보호되지 않는 EMR 관련 포트가 EC2 인스턴스에 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 있는 클러스터의 일부인 나열된 EC2 인스턴스의 EMR 관련 민감한 포트가 보안 그룹, 액세스 제어 목록(ACL) 또는 Linux IPTables와 같은 온 호스트 방화벽에 의해 차단되지 않음을 알려줍니다. 이 발견은 또한 인터넷에서 알려진 스캐너가 이 포트를 적극적으로 조사하고 있음을 알려줍니다. 포트 8088(YARN 웹 UI 포트)과 같이이 결과를 트리거할 수 있는 포트는 잠재적으로 원격 코드 실행에 사용할 수 있습니다.
**해결 권장 사항:**
클러스터의 포트에 대한 인터넷으로부터의 개방 액세스를 차단하고, 액세스 범위를 이러한 포트에 대한 액세스를 요구하는 특정 IP 주소로만 제한하는 것을 고려해야 합니다. 자세한 내용은 [EMR 클러스터의 보안 그룹](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html)을 참조하십시오.
## Recon:EC2/PortProbeUnprotectedPort
### 알려진 악의적 호스트에서 탐색 중인 보호되지 않는 포트가 EC2 인스턴스에 있습니다.
**기본 심각도: 낮음\$1**
**참고**
이 결과의 기본 심각도는 낮음입니다. 그러나 탐색 중인 포트가 Elasticsearch(9200 또는 9300)에서 사용되는 경우, 발견의 심각도는 높습니다.
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경 내에 나열된 EC2 인스턴스가 보안 그룹, 액세스 제어 목록(ACL) 또는 호스트상의 방화벽(예: Linux IPTables)으로 차단되지 않고 있으며 인터넷에서 알려진 스캐너가 해당 포트를 적극적으로 탐색하고 있음을 나타냅니다.
보호되지 않은 것으로 식별된 포트가 22 또는 3389인데 이러한 포트를 사용하여 인스턴스에 연결하는 경우에도 회사 네트워크 IP 주소 공간의 IP 주소에 대해서만 이러한 포트에 액세스할 수 있도록 허용하여 노출을 제한할 수 있습니다. Linux의 포트 22에 대한 액세스를 제한하려면 [Linux 인스턴스의 인바운드 트래픽 권한 부여](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html) 단원을 참조하십시오. Windows의 포트 3389에 대한 액세스를 제한하려면 [Windows 인스턴스의 인바운드 트래픽 권한 부여](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html) 단원을 참조하십시오.
GuardDuty는 포트 443 및 80에 대해서는 이 검색 결과를 생성하지 않습니다.
**해결 권장 사항:**
인스턴스가 웹 서버를 호스팅하는 경우와 같이 의도적으로 노출되는 경우가 있을 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Recon:EC2/PortProbeUnprotectedPort` 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **인스턴스 이미지 ID** 속성 또는 **태그** 값 속성을 사용할 수 있습니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 섹션을 참조하세요.
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Recon:EC2/Portscan
### EC2 인스턴스가 원격 호스트에 대한 아웃바운드 포트 스캔을 수행하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 단기간에 여러 포트에 대한 연결을 시도하는 가능한 포트 스캔 공격과 관련된 나열된 EC2 인스턴스가 있음을 알려줍니다. 포트 스캔 공격의 목적은 개방 포트를 찾아 머신이 실행 중인 서비스를 파악하고 해당 머신의 운영 체제를 식별하는 것입니다.
**해결 권장 사항:**
이러한 결과는 환경의 EC2 인스턴스에 취약성 평가 애플리케이션이 배포된 경우 오탐지일 수 있습니다. 이러한 애플리케이션은 포트 스캔을 수행하여 잘못 구성된 열린 포트에 대해 알리기 때문입니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `Recon:EC2/Portscan` 값을 사용해야 합니다. 두 번째 필터 기준은 이러한 취약성 평가 도구를 호스팅하는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **Instance image ID** 속성 또는 **Tag** 값 속성을 사용할 수 있습니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 섹션을 참조하세요.
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/BlackholeTraffic
### EC2 인스턴스가 블랙홀로 알려진 원격 호스트의 IP 주소와 통신을 시도하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경에 나열된 EC2 인스턴스가 블랙홀(또는 싱크홀)의 IP 주소와 통신하려고 하기 때문에 손상되었을 수 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다. 블랙홀 IP 주소는 실행되고 있지 않은 호스트 머신 또는 호스트가 할당되지 않은 주소를 지정합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/BlackholeTraffic\$1DNS
### EC2 인스턴스가 블랙홀 IP 주소로 리디렉션 중인 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 중간**
+ **데이터 소스: **DNS 로그
이 결과는 블랙홀 IP 주소로 리디렉션되는 도메인 이름을 쿼리하기 때문에 AWS 환경에 나열된 EC2 인스턴스가 손상되었을 수 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/DGADomainRequest.B
### EC2 인스턴스가 알고리즘을 통해 생성된 도메인을 쿼리하는 중입니다. 이러한 도메인은 일반적으로 맬웨어에서 사용되며 손상된 EC2 인스턴스의 표시일 수 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경에 도메인 생성 알고리즘(DGA) 도메인을 쿼리하려고 하는 나열된 EC2 인스턴스가 있음을 알려줍니다. 이 EC2 인스턴스는 손상되었을 수 있습니다.
DGA는 C&C(명령 및 제어) 서버와의 랑데부 지점으로 사용할 수 있는 많은 수의 도메인 이름을 정기적으로 생성하는 데 사용됩니다. 명령 및 제어(C&C) 서버는 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스 모음인 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다. 감염된 컴퓨터가 업데이트 또는 명령을 수신하기 위해 매일 도메인 이름 중 일부에 접속을 시도하기 때문에 잠재적인 랑데부 지점이 많으면 봇넷을 효율적으로 종료하기가 어렵습니다.
**참고**
이 결과는 고급 휴리스틱을 통한 도메인 이름 분석을 토대로 하며, 따라서 위협 인텔리전스 피드에 포함되지 않은 새로운 DGA 도메인이 발견될 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/DGADomainRequest.C\$1DNS
### EC2 인스턴스가 알고리즘을 통해 생성된 도메인을 쿼리하는 중입니다. 이러한 도메인은 일반적으로 맬웨어에서 사용되며 손상된 EC2 인스턴스의 표시일 수 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경에 도메인 생성 알고리즘(DGA) 도메인을 쿼리하려고 하는 나열된 EC2 인스턴스가 있음을 알려줍니다. 이 EC2 인스턴스는 손상되었을 수 있습니다.
DGA는 C&C(명령 및 제어) 서버와의 랑데부 지점으로 사용할 수 있는 많은 수의 도메인 이름을 정기적으로 생성하는 데 사용됩니다. 명령 및 제어(C&C) 서버는 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스 모음인 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다. 감염된 컴퓨터가 업데이트 또는 명령을 수신하기 위해 매일 도메인 이름 중 일부에 접속을 시도하기 때문에 잠재적인 랑데부 지점이 많으면 봇넷을 효율적으로 종료하기가 어렵습니다.
**참고**
이 결과는 GuardDuty'의 위협 인텔리전스 피드에서 얻은 알려진 DGA 도메인을 토대로 합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/DNSDataExfiltration
### EC2 인스턴스가 DNS 쿼리를 통해 데이터를 유출시키고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경에 아웃바운드 데이터 전송에 DNS 쿼리를 사용하는 맬웨어를 실행 중인 나열된 EC2 인스턴스가 있음을 알려줍니다. 이러한 유형의 데이터 전송은 인스턴스 손상을 나타내며 데이터 유출로 이어질 수 있습니다. DNS 트래픽은 일반적으로 방화벽으로 차단되지 않습니다. 예를 들어, 손상된 EC2 인스턴스에 있는 멀웨어는 데이터(예: 신용카드 번호)를 DNS 쿼리로 인코딩해 공격자가 제어하는 원격 DNS 서버로 전송할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/DriveBySourceTraffic\$1DNS
### EC2 인스턴스가 드라이브 바이(Drive-By) 다운로드 공격의 알려진 소스인 원격 호스트의 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경의 나열된 EC2 인스턴스가 드라이브 바이 다운로드 공격의 알려진 소스인 원격 호스트의 도메인 이름을 쿼리하기 때문에 손상되었을 수 있음을 알려줍니다. 인터넷에서 이러한 컴퓨터 소프트웨어의 의도치 않은 다운로드로 인해 바이러스, 스파이웨어 또는 맬웨어가 자동으로 설치될 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/DropPoint
### EC2 인스턴스가 맬웨어를 통해 캡처된 자격 증명 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하는 중입니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 EC2 인스턴스가 맬웨어로 캡처된 자격 증명 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하고 있음을 알려줍니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/DropPoint\$1DNS
### EC2 인스턴스가 맬웨어를 통해 캡처된 자격 증명 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 중간**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경의 EC2 인스턴스가 맬웨어로 캡처된 자격 증명 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 도메인 이름을 쿼리하고 있음을 알려줍니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Trojan:EC2/PhishingDomainRequest\$1DNS
### EC2 인스턴스가 피싱 공격과 관련된 도메인을 쿼리하는 중입니다. 이 EC2 인스턴스는 손상되었을 수 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경에 피싱 공격과 관련된 도메인을 쿼리하려고 하는 EC2 인스턴스가 있음을 알려줍니다. 피싱 도메인은 개인이 개인 식별 정보, 은행 및 신용 카드 세부 정보, 암호 등의 중요한 데이터 제공을 유도하기 위해 합법적인 기관으로 위장한 사람이 설정한 도메인입니다. EC2 인스턴스에서 피싱 웹 사이트에 저장된 민감한 데이터를 검색하려고 하거나 피싱 웹 사이트를 설정하려고 할 수 있습니다. 이 EC2 인스턴스는 손상되었을 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
### EC2 인스턴스가 사용자 지정 위협 목록에 있는 IP 주소에 연결하고 있습니다.
**기본 심각도: 중간**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 EC2 인스턴스가 업로드한 위협 목록에 포함된 IP 주소와 통신하고 있음을 알려줍니다. GuardDuty에서 위협 목록은 알려진 악성 IP 주소로 구성됩니다. GuardDuty는 업로드된 위협 목록을 기반으로 결과를 생성합니다. 이 결과를 생성하는 데 사용된 위협 목록은 결과의 세부 정보에 나열됩니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## UnauthorizedAccess:EC2/MetadataDNSRebind
### EC2 인스턴스가 인스턴스 메타데이터 서비스로 확인되는 DNS 조회를 수행하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **DNS 로그
이 결과는 AWS 환경의 EC2 인스턴스가 EC2 메타데이터 IP 주소(169.254.169.254)로 확인되는 도메인을 쿼리하고 있음을 알려줍니다. 이러한 종류의 DNS 쿼리는 인스턴스가 DNS 리바인딩 기술의 대상임을 나타낼 수 있습니다. 이 기술은 인스턴스와 연결된 IAM 보안 인증 정보를 포함하여 EC2 인스턴스의 메타데이터를 가져오는 데 사용할 수 있습니다.
DNS 리바인딩은 URL의 도메인 이름이 EC2 메타데이터 IP 주소(169.254.169.254)로 확인되는 URL의 리턴 데이터를 로드하도록 EC2 인스턴스에서 실행 중인 애플리케이션을 속이는 작업이 포함됩니다. 이렇게 하면 애플리케이션에서 EC2 메타데이터에 액세스하여 공격자가 사용 가능하도록 만듭니다.
EC2 인스턴스가 URL을 삽입할 수 있도록 취약한 애플리케이션을 실행 중인 경우 또는 다른 누군가가 EC2 인스턴스에서 실행 중인 웹 브라우저에서 URL에 액세스하는 경우에만 DNS 리바인딩을 사용하여 EC2 메타데이터에 액세스할 수 있습니다.
**해결 권장 사항:**
이 결과에 대한 응답으로, EC2 인스턴스에서 실행 중인 취약한 애플리케이션이 있는지 여부 또는 다른 누군가가 브라우저를 사용하여 결과에서 확인된 도메인에 액세스했는지 여부를 평가해야 합니다. 근본 원인이 취약한 애플리케이션인 경우, 취약성을 수정해야 합니다. 누군가 식별된 도메인을 검색한 경우 도메인을 차단하거나 사용자 액세스를 방지해야 합니다. 결과가 위의 경우 중 하나와 관련된 것으로 확인된다면 [EC2 인스턴스와 연결된 세션을 취소](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)하세요.
일부 AWS 고객은 의도적으로 메타데이터 IP 주소를 신뢰할 수 있는 DNS 서버의 도메인 이름에 매핑합니다. 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `UnauthorizedAccess:EC2/MetaDataDNSRebind` 값을 사용해야 합니다. 두 번째 필터 조건은 **DNS request domain(DNS 요청 도메인)**이어야 하며 값은 메타데이터 IP 주소(169.254.169.254)에 매핑한 도메인과 일치해야 합니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
## UnauthorizedAccess:EC2/RDPBruteForce
### EC2 인스턴스가 RDP 무차별 암호 대입 공격에 관여했습니다.
**기본 심각도: 낮음\$1**
**참고**
EC2 인스턴스가 무차별 암호 대입 공격 대상인 경우 이 결과는 심각도가 낮습니다. 무차별 암호 대입 공격을 수행하는 데 작업자가 EC2 인스턴스를 사용하고 있다면 이 결과는 심각도가 높습니다.
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 EC2 인스턴스가 Windows 기반 시스템의 RDP 서비스에 대한 암호를 얻기 위한 무차별 대입 공격에 관여했음을 알려줍니다. 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
인스턴스의 **리소스 역할**이 `ACTOR`인 경우, 인스턴스가 RDP 무차별 암호 대입 공격을 수행하는 데 사용되었음을 나타냅니다. 이 인스턴스가 `Target`으로 나열된 IP 주소에 접속해야 하는 정당한 이유가 없는 경우, 인스턴스가 손상되었다고 가정하고 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 섹션의 작업을 수행하는 것이 좋습니다.
인스턴스의 **리소스 역할**이 `TARGET`인 경우에는 보안 그룹, ACL 또는 방화벽을 통해 신뢰할 수 있는 IP에 대해서만 RDP 포트를 보호하여 이 결과에 명시된 문제를 해결할 수 있습니다. 자세한 내용은 [Tips for securing your EC2 instances(Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)를 참조하세요.
## UnauthorizedAccess:EC2/SSHBruteForce
### EC2 인스턴스가 SSH 무차별 암호 대입 공격에 관여했습니다.
**기본 심각도: 낮음\$1**
**참고**
무차별 암호 대입 공격이 EC2 인스턴스 중 하나를 표적으로 할 경우 이 결과는 심각도가 낮습니다. EC2 인스턴스가 무차별 암호 대입 공격을 수행하는 데 사용되고 있다면 이 결과는 심각도가 높습니다.
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 EC2 인스턴스가 Linux 기반 시스템의 SSH 서비스에 대한 암호를 얻기 위한 무차별 대입 공격에 관여했음을 알려줍니다. 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**참고**
이 조사 결과는 포트 22에서 트래픽을 모니터링 중인 만을 통해 생성된 것입니다. 다른 포트를 사용하도록 SSH 서비스를 구성한 경우, 이 조사 결과는 생성되지 않습니다.
**해결 권장 사항:**
무차별 대입 시도의 대상이 접속 호스트인 경우 환경에 대한 예상 동작을 나타낼 수 있습니다 AWS . 이 경우 이 결과에 대해 금지 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `UnauthorizedAccess:EC2/SSHBruteForce` 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 **인스턴스 이미지 ID** 속성 또는 **태그** 값 속성을 사용할 수 있습니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 섹션을 참조하세요.
이 활동이 환경에서 예기치 않게 발생했고 인스턴스의 **인스턴스 역할**이 `TARGET`인 경우에는 보안 그룹, ACL 또는 방화벽을 통해 신뢰할 수 있는 IP에 대해서만 SSH 포트를 보호하여 이 결과에 명시된 문제를 해결할 수 있습니다. 자세한 내용은 [Tips for securing your EC2 instances(Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)를 참조하세요.
인스턴스의 **리소스 역할**이 `ACTOR`인 경우, 인스턴스가 SSH 무차별 암호 대입 공격을 수행하는 데 사용되었음을 나타냅니다. 이 인스턴스가 `Target`으로 나열된 IP 주소에 접속해야 하는 정당한 이유가 없는 경우, 인스턴스가 손상되었다고 가정하고 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 섹션의 작업을 수행하는 것이 좋습니다.
## UnauthorizedAccess:EC2/TorClient
### EC2 인스턴스가 Tor Guard 또는 Authority 노드에 연결하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 EC2 인스턴스가 Tor Guard 또는 Authority 노드에 연결 중임을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor Guards 및 Authority 노드는 Tor 네트워크의 첫 번째 게이트웨이 역할을 합니다. 이 트래픽은 EC2 인스턴스가 손상되어 Tor 네트워크에서 클라이언트 역할을 하고 있음을 나타냅니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## UnauthorizedAccess:EC2/TorRelay
### EC2 인스턴스가 Tor 릴레이로 Tor 네트워크에 연결하고 있습니다.
**기본 심각도: 높음**
+ **데이터 소스: **VPC 흐름 로그
이 결과는 AWS 환경의 EC2 인스턴스가 Tor 릴레이 역할을 하는 방식으로 Tor 네트워크에 연결 중임을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor는 한 Tor 릴레이에서 다른 릴레이로 클라이언트의 불법 가능성이 있는 트래픽을 전달함으로써 통신의 익명성을 높입니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
# GuardDuty IAM 결과 유형
다음 결과는 IAM 엔터티 및 액세스 키에만 해당되며 항상 **리소스 유형**이 `AccessKey`입니다. 결과의 심각도 및 세부 정보는 결과 유형에 따라 다릅니다.
여기에 나열된 결과에는 해당 결과 유형을 생성하는 데 사용된 데이터 소스 및 모델이 포함됩니다. 자세한 내용은 [GuardDuty 기본 데이터 소스](guardduty_data-sources.md) 단원을 참조하십시오.
모든 IAM 관련 결과에 대해서는 해당 엔터티를 검사하여 엔터티의 권한이 최소 권한 모범 사례를 따르는지 확인하는 것이 좋습니다. 예상하지 못한 활동인 경우 보안 인증 정보가 손상되었을 수 있습니다. 결과 해결에 대한 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 섹션을 참조하세요.
**Topics**
+ [CredentialAccess:IAMUser/AnomalousBehavior](#credentialaccess-iam-anomalousbehavior)
+ [CredentialAccess:IAMUser/CompromisedCredentials](#credentialaccess-iam-compromisedcredentials)
+ [DefenseEvasion:IAMUser/AnomalousBehavior](#defenseevasion-iam-anomalousbehavior)
+ [DefenseEvasion:IAMUser/BedrockLoggingDisabled](#defenseevasion-iam-bedrockloggingdisabled)
+ [Discovery:IAMUser/AnomalousBehavior](#discovery-iam-anomalousbehavior)
+ [Exfiltration:IAMUser/AnomalousBehavior](#exfiltration-iam-anomalousbehavior)
+ [Impact:IAMUser/AnomalousBehavior](#impact-iam-anomalousbehavior)
+ [InitialAccess:IAMUser/AnomalousBehavior](#initialaccess-iam-anomalousbehavior)
+ [PenTest:IAMUser/KaliLinux](#pentest-iam-kalilinux)
+ [PenTest:IAMUser/ParrotLinux](#pentest-iam-parrotlinux)
+ [PenTest:IAMUser/PentooLinux](#pentest-iam-pentoolinux)
+ [Persistence:IAMUser/AnomalousBehavior](#persistence-iam-anomalousbehavior)
+ [Policy:IAMUser/RootCredentialUsage](#policy-iam-rootcredentialusage)
+ [Policy:IAMUser/ShortTermRootCredentialUsage](#policy-iam-user-short-term-root-credential-usage)
+ [PrivilegeEscalation:IAMUser/AnomalousBehavior](#privilegeescalation-iam-anomalousbehavior)
+ [Recon:IAMUser/MaliciousIPCaller](#recon-iam-maliciousipcaller)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](#unauthorizedaccess-iam-consoleloginsuccessb)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller](#unauthorizedaccess-iam-maliciousipcaller)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](#unauthorizedaccess-iam-toripcaller)
## CredentialAccess:IAMUser/AnomalousBehavior
### AWS 환경에 대한 액세스 권한을 얻는 데 사용되는 API가 변칙적인 방식으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 결과에는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) 근처에서 이루어진 단일 API 또는 일련의 관련 API 요청이 포함될 수 있습니다. 관찰되는 API는 일반적으로 공격자가 환경의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 단계와 관련이 있습니다. 이 범주의 API는 `GetPasswordData`, `GetSecretValue` `BatchGetSecretValue`및 `GenerateDbAuthToken`입니다.
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## CredentialAccess:IAMUser/CompromisedCredentials
### IAM 액세스 키가 Amazon 위협 인텔리전스에 의해 잠재적으로 손상된 것으로 식별되었습니다.
**기본 심각도: 높음**
+ **기능: **기본 데이터 소스 보호에 포함
**전체 설명:**
이 결과는 AWS 계정과 연결된 IAM 액세스 키가 Amazon 위협 인텔리전스에 의해 잠재적으로 손상된 것으로 식별되었음을 알려줍니다. 그런 다음 손상된 자격 증명이 AWS 환경에서 API 작업을 호출하는 데 사용되었습니다. 손상된 자격 증명을 사용하여 수행된 API 호출 목록과 각 호출의 수 및 타임스탬프, 관련된 액세스 키 및 소스 IP 주소가 결과 세부 정보에 포함됩니다.
이 조사 결과의 자격 증명 손상은 Amazon 위협 인텔리전스에 의해 식별됩니다.는 사용 패턴을 통해 잠재적으로 손상된 자격 증명을 AWS 모니터링하고 이러한 자격 증명이 사용되는 것으로 관찰되면이 조사 결과를 생성합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## DefenseEvasion:IAMUser/AnomalousBehavior
### 방어 조치를 우회하는 데 사용된 API가 변칙적인 방식으로 간접 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 관찰된 API는 일반적으로 공격자가 자신의 흔적을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다. 이 범주의 API는 일반적으로 delete, disable 또는 stop 작업입니다(예: `DeleteFlowLogs`, `DisableAlarmActions` 또는 `StopLogging`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## DefenseEvasion:IAMUser/BedrockLoggingDisabled
### Amazon Bedrock에 대한 로깅이 비활성화되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 조사 결과는 계정에서 Bedrock 모델 간접 호출에 대한 로깅이 비활성화되었음을 알려줍니다. 이는 데이터 유출 또는 AI 모델 악용과 같은 악의적인 활동을 숨기려는 공격자의 시도일 수 있습니다. 로깅을 비활성화하면 모델로 전송되는 데이터와 모델 사용 방식에 대한 가시성이 확보되지 않습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Discovery:IAMUser/AnomalousBehavior
### 리소스를 검색하는 데 일반적으로 사용되는 API가 변칙적인 방식으로 간접 호출되었습니다.
**기본 심각도: 낮음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 관찰된 API는 일반적으로 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인할 때 공격의 검색 단계와 관련이 있습니다. 이 범주의 API는 일반적으로 get, describe 또는 list 작업입니다(예: `DescribeInstances`, `GetRolePolicy` 또는 `ListAccessKeys`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Exfiltration:IAMUser/AnomalousBehavior
### AWS 환경에서 데이터를 수집하는 데 일반적으로 사용되는 API가 변칙적인 방식으로 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 관찰된 API는 일반적으로 공격자가 탐지를 피하기 위해 패키징 및 암호화를 사용하여 네트워크에서 데이터를 수집하려는 유출 전략과 관련이 있습니다. 이 결과 유형의 API는 management(control-plane) 작업만 있으며, 대체로 S3, 스냅샷 및 데이터베이스와 관련이 있습니다(예: `PutBucketReplication`, `CreateSnapshot` 또는 `RestoreDBInstanceFromDBSnapshot`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Impact:IAMUser/AnomalousBehavior
### AWS 환경에서 데이터 또는 프로세스를 변조하는 데 일반적으로 사용되는 API가 변칙적인 방식으로 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 관찰된 API는 일반적으로 공격자가 운영을 방해하고 계정의 데이터를 조작, 방해 또는 파괴하려는 공격 전략과 관련이 있습니다. 이 결과 유형의 API는 일반적으로 delete, update 또는 put 작업입니다(예: `DeleteSecurityGroup`, `UpdateUser` 또는 `PutBucketPolicy`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## InitialAccess:IAMUser/AnomalousBehavior
### AWS 환경에 대한 무단 액세스를 얻는 데 일반적으로 사용되는 API가 변칙적인 방식으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 관찰되는 API는 일반적으로 공격자가 환경의 액세스 설정을 시도하는 공격의 초기 액세스 단계와 관련이 있습니다. 이 범주의 API는 일반적으로 get token 또는 session 작업입니다(예: `GetAuthorizationToken` 또는 `StartSession`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## PenTest:IAMUser/KaliLinux
### Kali Linux 머신에서 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 Kali Linux를 실행하는 머신이 환경의 나열된 AWS 계정에 속하는 자격 증명을 사용하여 API를 호출하고 있음을 알려줍니다. Kali Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## PenTest:IAMUser/ParrotLinux
### Parrot Security Linux 머신에서 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 Parrot Security Linux를 실행하는 머신이 환경의 나열된 AWS 계정에 속하는 자격 증명을 사용하여 API를 호출하고 있음을 알려줍니다. Parrot Security Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## PenTest:IAMUser/PentooLinux
### Pentoo Linux 머신에서 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 Pentoo Linux를 실행하는 머신이 환경의 나열된 AWS 계정에 속하는 자격 증명을 사용하여 API를 호출하고 있음을 알려줍니다. Pentoo Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Persistence:IAMUser/AnomalousBehavior
### AWS 환경에 대한 무단 액세스를 유지하는 데 일반적으로 사용되는 API가 변칙적인 방식으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 일반적으로 관찰되는 API는 공격자가 환경에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다. 이 범주의 API는 일반적으로 create, import 또는 modify 작업입니다(예: `CreateAccessKey`, `ImportKeyPair` 또는 `ModifyInstanceAttribute`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Policy:IAMUser/RootCredentialUsage
### 루트 사용자 보안 인증 정보를 사용하여 API가 간접적으로 호출되었습니다.
**기본 심각도: 낮음**
+ **데이터 소스: **S3용 CloudTrail 관리 이벤트 또는 CloudTrail 데이터 이벤트
이 결과는 환경에서 나열된 AWS 계정 의 루트 사용자 로그인 보안 인증 정보가 AWS 서비스 요청에 사용되고 있음을 알려줍니다. 사용자는 루트 사용자 로그인 자격 증명을 사용하여 AWS 서비스에 액세스하지 않는 것이 좋습니다. 대신 AWS Security Token Service (STS)의 최소 권한 임시 자격 증명을 사용하여 AWS 서비스에 액세스해야 합니다. AWS STS 가 지원되지 않는 상황에서는 IAM 사용자 보안 인증 정보가 권장됩니다. 자세한 내용은 [IAM 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 단원을 참조하십시오.
**참고**
계정에 대해 S3 보호가 사용 설정되어 있는 경우, 이 발견은 AWS 계정의 루트 사용자 로그인 자격 증명을 사용하여 Amazon S3 리소스에서 S3 데이터 플레인 작업을 실행하려는 시도에 대한 응답으로 생성될 수 있습니다. 사용된 API 호출은 결과 세부 정보에 나열됩니다. S3 보호가 활성화되어 있지 않은 경우 이 발견은 이벤트 로그 API에 의해서만 트리거될 수 있습니다. S3 보호에 대한 자세한 내용은 [S3 보호](s3-protection.md)를 참조하세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Policy:IAMUser/ShortTermRootCredentialUsage
### 제한된 루트 사용자 자격 증명을 사용하여 API가 간접적으로 호출되었습니다.
**기본 심각도: 낮음**
+ **데이터 소스: **AWS CloudTrail S3에 대한 관리 이벤트 또는 AWS CloudTrail 데이터 이벤트
이 결과는 환경에 나열된 AWS 계정 에 대해 생성된 제한된 사용자 자격 증명이 요청을 하는 데 사용되고 있음을 알려줍니다 AWS 서비스. [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행할 때만 루트 사용자 자격 증명을 사용하는 것이 좋습니다.
가능하면 AWS Security Token Service ()의 임시 자격 증명 AWS 서비스 과 함께 최소 권한 IAM 역할을 사용하여에 액세스합니다AWS STS. AWS STS 가 지원되지 않는 시나리오의 경우 IAM 사용자 자격 증명을 사용하는 것이 가장 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 및 [AWS 계정에 대한 루트 사용자 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)를 참조하세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## PrivilegeEscalation:IAMUser/AnomalousBehavior
### AWS 환경에 대한 상위 수준 권한을 얻는 데 일반적으로 사용되는 API가 변칙적인 방식으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 계정에서 변칙적인 API 요청이 관찰되었음을 알려줍니다. 이 검색에는 단일 API 또는 단일 [사용자 자격 증명](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)에 의해 근접하게 만들어진 일련의 관련 API 요청이 포함될 수 있습니다. 관찰된 API는 일반적으로 공격자가 환경에 대해 더 높은 수준의 권한을 얻으려고 시도하는 권한 상승 전략과 관련이 있습니다. 이 범주의 API에는 일반적으로 IAM 정책, 역할 및 사용자를 변경하는 작업이 포함됩니다(예: `AssociateIamInstanceProfile`, `AddUserToGroup` 또는 `PutUserPolicy`).
이 API 요청은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Recon:IAMUser/MaliciousIPCaller
### 알려진 악의적인 IP 주소에서 API가 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 환경 내 계정의 AWS 리소스를 나열 또는 설명할 수 있는 API 작업이 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 공격자는 도난된 자격 증명을 사용하여 더 중요한 자격 증명을 찾거나 이미 보유한 자격 증명의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Recon:IAMUser/MaliciousIPCaller.Custom
### 알려진 악의적인 IP 주소에서 API가 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 환경 내 계정의 AWS 리소스를 나열 또는 설명할 수 있는 API 작업이 사용자 지정 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 사용된 위협 목록은 결과의 세부 정보에 나열됩니다. 공격자는 도용된 자격 증명을 사용하여 더 중요한 자격 증명을 찾거나 이미 보유한 자격 증명의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Recon:IAMUser/TorIPCaller
### Tor 출구 노드(Tor exit node) IP 주소에서 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 환경 내 계정의 AWS 리소스를 나열 또는 설명할 수 있는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 공격자는 Tor를 사용하여 자신의 실제 정체를 숨길 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Stealth:IAMUser/CloudTrailLoggingDisabled
### AWS CloudTrail 로깅이 비활성화되었습니다.
**기본 심각도: 낮음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 AWS 환경 내의 CloudTrail 추적이 비활성화되었음을 알려줍니다. 이는 공격자가 악의적인 의도로 AWS 리소스에 대한 액세스 권한을 얻으려고 하는 동시에 자신의 활동 흔적을 덮어 없애기 위해 로깅을 비활성화한 시도일 수 있습니다. 이 조사 결과는 추적이 성공적으로 삭제되거나 업데이트되었을 때 트리거될 수 있습니다. 또한 이 결과는 GuardDuty와 연결된 추적에서 로그를 저장하는 S3 버킷을 성공적으로 삭제하여 트리거될 수도 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Stealth:IAMUser/PasswordPolicyChange
### 계정 암호 정책이 취약합니다.
**기본 심각도: 낮음\$1**
**참고**
이 결과의 심각도는 암호 정책 변경의 심각도에 따라 낮음, 보통 또는 높음일 수 있습니다.
+ **데이터 소스:** CloudTrail 관리 이벤트
AWS 환경 내 나열된 AWS 계정에서 계정 암호 정책이 약화되었습니다. 예를 들어, 정책이 삭제되었거나, 문자를 몇 개만 요구하거나, 기호 및 숫자를 요구하지 않거나, 암호 만료 기간 연장을 요구하도록 수정되었습니다. 이 결과는 AWS 계정 암호 정책을 업데이트하거나 삭제하려는 시도로 트리거될 수도 있습니다. AWS 계정 암호 정책은 IAM 사용자에게 설정할 수 있는 암호 종류를 관리하는 규칙을 정의합니다. 암호 정책이 약할수록 기억하기 쉽고 추측하기 쉬워 보안 위험을 일으킬 수 있는 암호 생성을 허용합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
### 전 세계에서 여러 번의 성공적인 콘솔 로그인이 관찰되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 조사 결과는 다양한 지역에서 동시에 동일한 IAM 사용자에 대한 여러 번의 성공적인 콘솔 로그인이 관찰되었음을 알려 줍니다. 이러한 변칙적이고 위험한 액세스 위치 패턴은 AWS 리소스에 대한 무단 액세스 가능성을 나타냅니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
### 인스턴스 시작 역할을 통해 EC2 인스턴스에 대해 단독으로 생성된 보안 인증 정보가 AWS내 다른 계정에서 사용 중입니다.
**기본 심각도: 높음\$1**
**참고**
이 결과의 기본 심각도는 높음입니다. 그러나 AWS 환경과 연결된 계정에서 API를 호출한 경우 심각도는 중간입니다.
+ **데이터 소스: **S3용 CloudTrail 관리 이벤트 또는 CloudTrail 데이터 이벤트
이 발견은 Amazon EC2 인스턴스 자격 증명이 연결된 Amazon EC2 인스턴스가 실행 중인 계정과 다른 AWS 계정이 소유한 IP 주소 또는 Amazon VPC 엔드포인트에서 API를 호출하는 데 사용되는 경우 알려줍니다. VPC 엔드포인트 탐지는 VPC 엔드포인트에 대한 네트워크 활동 이벤트를 지원하는 서비스에서만 사용할 수 있습니다. VPC 엔드포인트에 대한 네트워크 활동 이벤트를 지원하는 서비스에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [네트워크 활동 이벤트 로깅](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)을 참조하세요.
AWS 에서는 임시 자격 증명을 생성한 엔터티(예: AWS 애플리케이션, Amazon EC2 또는 ) 외부에 임시 자격 증명을 재배포하는 것을 권장하지 않습니다 AWS Lambda. 하지만 권한이 있는 사용자는 Amazon EC2 인스턴스에서 자격 증명을 내보내 합법적으로 API를 호출할 수 있습니다. `remoteAccountDetails.Affiliated` 필드가 `True`인 경우 API가 동일한 관리자 계정과 연결된 계정에서 간접적으로 호출되었습니다. 잠재적 공격을 배제하고 활동의 합법성을 확인하려면 이러한 자격 증명이 할당된 AWS 계정 소유자 또는 IAM 보안 주체에게 문의하십시오.
**참고**
GuardDuty가 원격 계정에서 지속적인 활동을 관찰한 경우 기계 학습(ML) 모델이 이를 예상되는 동작으로 식별합니다. 따라서 GuardDuty는 해당 원격 계정에서의 활동에 대해 이 결과의 생성을 중지합니다. GuardDuty는 계속해서 다른 원격 계정의 새로운 동작에 대한 결과를 생성하고 시간이 지남에 따라 동작이 변하면 학습한 원격 계정을 재평가할 것입니다.
**해결 권장 사항:**
이 결과는 Amazon EC2 인스턴스의 세션 자격 증명을 사용하여 외부의 Amazon Amazon EC2 인스턴스를 AWS 통해 내부 AWS 계정에서 API 요청을 수행할 때 AWS 생성됩니다. [허브 및 스포크](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-vpc-solution.html) 구성의 Transit Gateway 아키텍처와 같이 AWS 서비스 엔드포인트가 있는 단일 허브 송신 VPC를 통해 트래픽을 라우팅하는 것이 관례일 수 있습니다. 이 동작이 예상되는 경우 GuardDuty는 [억제 규칙](findings_suppression-rule.md)를 사용하고 두 개의 필터 기준이 있는 규칙을 생성할 것을 권장합니다. 첫 번째 기준은 결과 유형으로, 이 경우에는 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS입니다. 두 번째 필터 기준은 원격 계정 세부정보의 원격 계정 ID입니다.
이 결과에 따라 다음 워크플로를 사용하여 어떤 방법을 사용할지 결정할 수 있습니다.
1. `service.action.awsApiCallAction.remoteAccountDetails.accountId` 필드에서 관련된 원격 계정을 식별합니다.
1. `service.action.awsApiCallAction.remoteAccountDetails.affiliated` 필드에서 해당 계정이 GuardDuty 환경과 연결되어 있는지 확인합니다.
1. 계정이 **연결된 경우** 원격 계정 소유자 및 Amazon EC2 인스턴스 자격 증명 소유자에게 연락하여 조사하세요.
계정이 **연결되어 있지 않은 경우** 첫 번째 단계는 해당 계정이 조직과 연결되어 있지만 GuardDuty 다중 계정 환경 설정의 일부가 아닌지 또는 이 계정에서 아직 GuardDuty가 사용 설정되지 않았는지 평가하는 것입니다. 다음으로 Amazon EC2 인스턴스 자격 증명의 소유자에게 연락하여 원격 계정에서 이러한 자격 증명을 사용할 수 있는 사용 사례가 있는지 확인합니다.
1. 보안 인증 정보의 소유자가 원격 계정을 알지 못하는 경우 AWS내에서 활동하는 위협 작업자가 보안 인증 정보를 침해했을 수 있습니다. [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md)에서 권장하는 단계를 통해 환경을 보호해야 합니다.
또한 AWS 신뢰 및 안전 팀에 [침해 보고서를 제출하여](https://support.aws.amazon.com/#/contacts/report-abuse) 원격 계정에 대한 조사를 시작할 수 있습니다. AWS Trust and Safety에 신고를 제출할 때는 결과의 전체 JSON 세부 정보를 포함해야 합니다.
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
### 인스턴스 시작 역할을 통해 EC2 인스턴스에 대해 단독으로 생성된 자격 증명이 외부 IP 주소에서 사용 중입니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3용 CloudTrail 관리 이벤트 또는 CloudTrail 데이터 이벤트
이 결과는 외부의 호스트 AWS 가 AWS 환경의 EC2 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 AWS API 작업을 실행하려고 시도했음을 알려줍니다. 나열된 EC2 인스턴스가 손상되었을 수 있으며이 인스턴스의 임시 자격 증명이 외부의 원격 호스트로 유출되었을 수 있습니다 AWS. AWS 는 임시 자격 증명을 생성한 엔터티(예: AWS 애플리케이션, EC2 또는 Lambda) 외부에 재분산하는 것을 권장하지 않습니다. 하지만 권한이 있는 사용자는 EC2 인스턴스에서 자격 증명을 내보내 합법적으로 API를 호출할 수 있습니다. 잠재적 공격을 배제하고 활동의 적법성을 확인하려면 결과에 있는 원격 IP의 인스턴스 보안 인증 정보의 사용이 예상된 것인지 검증하세요.
**참고**
GuardDuty가 원격 호스트에서 지속적인 활동을 관찰한 경우 기계 학습(ML) 모델이 이를 예상되는 동작으로 식별합니다. 따라서 GuardDuty는 해당 원격 호스트에서의 활동에 대해 이 조사 결과의 생성을 중지합니다. GuardDuty는 계속해서 다른 원격 호스트의 새로운 동작에 대한 조사 결과를 생성하고 시간이 지남에 따라 동작이 변하면 학습한 원격 호스트를 재평가합니다.
**해결 권장 사항:**
이 결과는 네트워킹이 인터넷 트래픽을 라우팅하도록 구성되어 VPC 인터넷 게이트웨이(IGW)가 아닌 온프레미스 게이트웨이에서 나가는 경우에 생성됩니다. [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 또는 VPC VPN 연결을 사용하는 것과 같은 일반적인 구성으로 인해 트래픽이 이러한 방식으로 라우팅될 수 있습니다. 예상된 동작인 경우 억제 규칙을 사용하고 두 개의 필터 기준으로 구성된 규칙을 만드는 것이 좋습니다. 첫 번째 기준은 **결과 유형**으로 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`이어야 합니다. 두 번째 필터 기준은 온프레미스 인터넷 게이트웨이의 IP 주소 또는 CIDR 범위를 포함하는 **API 호출자 IPv4 주소**입니다. 억제 규칙 작성에 대한 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
**참고**
GuardDuty가 외부 소스로부터 지속적인 활동을 관찰하는 경우 기계 학습 모델은 이를 예상된 동작으로 식별하고 해당 소스의 활동에 대한 결과 생성을 중지합니다. GuardDuty는 계속해서 다른 소스의 새로운 동작에 대한 결과를 생성하고 시간이 지남에 따라 동작이 변하면 학습한 소스를 재평가할 것입니다.
이 활동이 예기치 않게 발생한 경우 자격 증명이 손상되었을 수 있습니다. [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/MaliciousIPCaller
### 알려진 악의적인 IP 주소에서 API가 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 알려진 악성 IP 주소에서 API 작업(예: EC2 인스턴스를 시작, 새 IAM 사용자를 생성 또는 AWS 권한을 수정하려는 시도)이 간접적으로 호출되었음을 알려줍니다. 이는 환경 내 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
### 사용자 지정 위협 목록의 IP 주소에서 API를 호출했습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 업로드한 위협 목록에 포함된 IP 주소에서 API 작업(예: EC2 인스턴스 시작, 새 IAM 사용자 생성 또는 AWS 권한 수정 시도)이 호출되었음을 알려줍니다. GuardDuty에서 위협 목록은 알려진 악성 IP 주소로 구성됩니다. 이는 환경 내 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS
### AWS Lambda 리소스에 대해서만 생성된 자격 증명은 외부의 IP 주소에서 사용됩니다 AWS.
**기본 심각도: 높음**
+ **데이터 소스: **S3용 CloudTrail 관리 이벤트 또는 CloudTrail 데이터 이벤트
이 결과는 외부의 호스트가 AWS 환경의 AWS Lambda 리소스에서 생성된 임시 AWS 자격 증명을 사용하여 AWS API 작업을 실행하려고 AWS 시도했음을 알려줍니다. 나열된 Lambda 리소스가 손상되었을 수 있으며이 Lambda의 임시 자격 증명이 외부의 원격 호스트로 유출되었을 수 있습니다 AWS.
AWS 에서는 임시 자격 증명을 생성한 엔터티(예: Amazon Elastic Compute Cloud(Amazon EC2) 또는 같은 AWS 애플리케이션) 외부에 임시 자격 증명을 재배포하는 것을 권장하지 않습니다 AWS Lambda. 하지만 권한이 있는 사용자는 Lambda 리소스에서 자격 증명을 내보내 합법적으로 API를 직접적으로 호출할 수 있습니다. 잠재적 공격을 배제하고 활동의 적법성을 확인하려면 결과에 있는 원격 IP의 인스턴스 보안 인증 정보의 사용이 예상된 것인지 검증하세요.
**참고**
GuardDuty가 원격 호스트에서 지속적인 활동을 관찰한 경우 기계 학습(ML) 모델이 이를 예상되는 동작으로 식별합니다. 따라서 GuardDuty는 해당 원격 호스트에서의 활동에 대해 이 조사 결과의 생성을 중지합니다. GuardDuty는 계속해서 다른 원격 호스트의 새로운 동작에 대한 조사 결과를 생성하고 시간이 지남에 따라 동작이 변하면 학습한 원격 호스트를 재평가합니다.
**해결 권장 사항:**
이 조사 결과는 네트워킹이 인터넷 트래픽을 라우팅하도록 구성되어 VPC 인터넷 게이트웨이(IGW)가 아닌 온프레미스 게이트웨이에서 나가는 경우에 생성됩니다. [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 또는 VPC VPN 연결을 사용하는 것과 같은 일반적인 구성으로 인해 트래픽이 이러한 방식으로 라우팅될 수 있습니다. 예상되는 동작인 경우 GuardDuty는 [억제 규칙](findings_suppression-rule.md)를 사용하여 2필터 기준의 규칙을 생성할 것을 권장합니다. 첫 번째 기준은 **결과 유형**으로 `UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS`이어야 합니다. 두 번째 필터 기준은 온프레미스 인터넷 게이트웨이의 IP 주소 또는 CIDR 범위를 포함하는 **API 호출자 IPv4 주소**입니다.
이것이 예상치 않은 활동인 경우 자격 증명이 손상되었을 수 있습니다. 이 결과 유형을 해결하는 단계에 대한 자세한 내용은 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
## UnauthorizedAccess:IAMUser/TorIPCaller
### Tor 출구 노드(Tor exit node) IP 주소에서 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 Tor 출구 노드 IP 주소에서 API 작업(예: EC2 인스턴스를 시작, 새 IAM 사용자를 생성 또는 AWS 권한을 수정하려는 시도)이 간접적으로 호출되었음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 AWS 리소스에 무단으로 액세스하려 함을 나타낼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
# GuardDuty 공격 시퀀스 조사 결과 유형
GuardDuty는 여러 작업의 특정 시퀀스가 잠재적으로 의심스러운 활동과 일치할 때 공격 시퀀스를 감지합니다. 공격 시퀀스에는 API 활동 및 GuardDuty 조사 결과와 같은 **신호**가 포함됩니다. GuardDuty가 진행 중, 진행 중 또는 최근 보안 위협을 나타내는 특정 시퀀스의 신호 그룹을 관찰하면 GuardDuty는 공격 시퀀스 조사 결과를 생성합니다. GuardDuty는 개별 API 활동을 잠재적 위협으로 보이지 않기 때문에 [weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence)로 간주합니다.
공격 시퀀스 탐지는 Amazon S3 데이터의 잠재적 손상(더 광범위한 랜섬웨어 공격의 일부일 수 있음), 보안 AWS 인증 정보 손상, Amazon EKS 클러스터 손상, Amazon ECS 클러스터 손상, Amazon EC2 인스턴스 그룹 손상에 중점을 둡니다. 다음 섹션에서는 각 공격 시퀀스에 대한 세부 정보를 제공합니다.
**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)
## AttackSequence:EKS/CompromisedCluster
### 잠재적으로 손상된 Amazon EKS 클러스터에서 수행하는 일련의 의심스러운 작업입니다.
+ 기본 심각도: 심각
+ 데이터 소스:
+ [EKS 감사 로그 이벤트](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
+ [Amazon EKS용 Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
+ [Amazon EC2용 Amazon EKS 맬웨어 탐지](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [AWS CloudTrail S3에 대한 데이터 이벤트](s3-protection.md#guardduty_s3dataplane)
+ [AWS CloudTrail 관리 이벤트](guardduty_data-sources.md#guardduty_controlplane)
+ [VPC 흐름 로그](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 확인자 DNS 쿼리 로그](guardduty_data-sources.md#guardduty_dns)
이 조사 결과는 GuardDuty가 환경에서 잠재적으로 손상된 Amazon EKS 클러스터를 나타내는 일련의 의심스러운 작업을 탐지했음을 알려줍니다. 악성 프로세스 또는 악성 엔드포인트와의 연결과 같은 여러 의심스럽고 변칙적인 공격 동작이 동일한 Amazon EKS 클러스터에서 관찰되었습니다.
GuardDuty는 독점 상관 알고리즘을 사용하여 IAM 자격 증명을 사용하여 수행되는 작업 순서를 관찰하고 식별합니다. GuardDuty는 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적인 공격 패턴과 새로운 공격 패턴을 식별합니다. GuardDuty는 IP 평판, API 시퀀스, 사용자 구성 및 잠재적으로 영향을 받는 리소스와 같은 여러 요소를 사용하여 위협을 표시합니다.
**해결 작업**: 환경에서이 동작이 예기치 않은 경우 Amazon EKS 클러스터가 손상될 수 있습니다. 포괄적인 문제 해결 지침은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 및 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 섹션을 참조하세요.
또한 EKS 클러스터를 통해 AWS 자격 증명이 손상되었을 수 있으므로 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md). 잠재적으로 영향을 받을 수 있는 다른 리소스를 해결하는 단계는 [탐지된 GuardDuty 보안 조사 결과 해결](guardduty_remediate.md) 섹션을 참조하세요.
## AttackSequence:ECS/CompromisedCluster
### 잠재적으로 손상된 Amazon ECS 클러스터에서 수행한 일련의 의심스러운 작업입니다.
+ 기본 심각도: 심각
+ 데이터 소스:
+ [Amazon ECS Fargate에 대한 런타임 모니터링](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
+ [Amazon ECS의 EC2 인스턴스에 대한 런타임 모니터링](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ Amazon EC2용 GuardDuty 맬웨어 보호](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
이 결과는 GuardDuty가 환경에서 잠재적으로 손상된 Amazon ECS 클러스터를 나타내는 일련의 의심스러운 신호를 감지했음을 알려줍니다. 이러한 신호에는 악성 프로세스, 악성 엔드포인트와의 통신 또는 암호화폐 마이닝 동작이 포함될 수 있습니다.
GuardDuty는 독점 상관 알고리즘과 여러 탐지 요소를 사용하여 Amazon ECS 클러스터 내에서 의심스러운 작업의 시퀀스를 식별합니다. 보호 계획 및 다양한 신호 소스에 대한 분석을 통해 GuardDuty는 일반적인 공격 패턴과 새로운 공격 패턴을 식별하여 잠재적 침해에 대한 높은 신뢰도의 탐지를 제공합니다.
**해결 작업**: 환경에서이 동작이 예기치 않은 경우 Amazon ECS 클러스터가 손상될 수 있습니다. 위협 억제 권장 사항은 섹션을 참조하세요[잠재적으로 손상된 ECS 클러스터 해결](compromised-ecs.md). 손상은 AWS 리소스를 생성하거나 수정하는 데 사용되었을 수 있는 하나 이상의 ECS 작업 또는 컨테이너 워크로드로 확장될 수 있습니다. 잠재적으로 영향을 받을 수 있는 리소스에 대한 포괄적인 문제 해결 지침은 섹션을 참조하세요[탐지된 GuardDuty 보안 조사 결과 해결](guardduty_remediate.md).
## AttackSequence:EC2/CompromisedInstanceGroup
### 잠재적으로 손상된 Amazon EC2 인스턴스를 나타내는 일련의 의심스러운 작업입니다.
+ 기본 심각도: 심각
+ 데이터 소스:
+ [Amazon EC2에 대한 런타임 모니터링](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ Amazon EC2에 대한 맬웨어 탐지](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [VPC 흐름 로그](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 확인자 DNS 쿼리 로그](guardduty_data-sources.md#guardduty_dns)
이 결과는 GuardDuty가 환경의 Amazon EC2 인스턴스 그룹에서 잠재적 손상을 암시하는 일련의 의심스러운 행동을 탐지했음을 나타냅니다. 인스턴스 그룹은 일반적으로 infrastructure-as-code 통해 관리되는 애플리케이션을 나타내며 Auto-scaling 그룹, IAM 인스턴스 프로파일 역할, AWS CloudFormation 스택, Amazon EC2 시작 템플릿, AMI 또는 VPC ID와 같은 유사한 구성을 공유합니다. GuardDuty는 다음을 포함하여 하나 이상의 인스턴스에서 여러 의심스러운 동작을 관찰했습니다.
+ 악성 프로세스
+ 악성 파일
+ 의심스러운 네트워크 연결
+ 암호화폐 채굴 활동
+ Amazon EC2 인스턴스 자격 증명의 의심스러운 사용
**탐지 방법**: GuardDuty는 독점 상관 알고리즘을 사용하여 Amazon EC2 인스턴스 내에서 의심스러운 작업 시퀀스를 식별합니다. GuardDuty는 보호 계획 및 다양한 신호 소스에서 조사 결과를 평가하여 IP 및 도메인 평판, 의심스러운 실행 프로세스와 같은 여러 요소를 사용하여 공격 패턴을 식별합니다.
**해결 작업**: 환경에서이 동작이 예기치 않은 경우 Amazon EC2 인스턴스가 손상될 수 있습니다. 손상에는 다음이 포함될 수 있습니다.
+ 여러 프로세스
+ Amazon EC2 인스턴스 또는 기타 AWS 리소스를 수정하는 데 사용되었을 수 있는 인스턴스 자격 증명
위협 억제 권장 사항은 섹션을 참조하세요[잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md). 손상은 하나 이상의 Amazon EC2 인스턴스로 확장될 수 있으며 Amazon EC2 인스턴스 또는 기타 AWS 리소스를 생성하거나 수정하는 데 사용되었을 수 있는 손상된 프로세스 또는 인스턴스 자격 증명과 관련이 있을 수 있습니다. 잠재적으로 영향을 받을 수 있는 리소스에 대한 포괄적인 수정 지침은 섹션을 참조하세요[탐지된 GuardDuty 보안 조사 결과 해결](guardduty_remediate.md).
## AttackSequence:IAM/CompromisedCredentials
### 잠재적으로 손상된 AWS 자격 증명을 사용하여 호출된 API 요청의 시퀀스입니다.
+ 기본 심각도: 심각
+ 데이터 소스: [AWS CloudTrail 관리 이벤트](guardduty_data-sources.md#guardduty_controlplane)
이 조사 결과는 GuardDuty가 환경의 하나 이상의 리소스에 영향을 미치는 AWS 자격 증명을 사용하여 수행된 일련의 의심스러운 작업을 감지했음을 알려줍니다. 동일한 자격 증명에서 의심스럽고 변칙적인 공격 동작이 여러 개 관찰되어 자격 증명이 오용되고 있다는 신뢰도가 높아집니다.
GuardDuty는 독점 상관 알고리즘을 사용하여 IAM 자격 증명을 사용하여 수행되는 작업 순서를 관찰하고 식별합니다. GuardDuty는 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적인 공격 패턴과 새로운 공격 패턴을 식별합니다. GuardDuty는 IP 평판, API 시퀀스, 사용자 구성 및 잠재적으로 영향을 받는 리소스와 같은 여러 요소를 사용하여 위협을 표시합니다.
**해결 작업**: 환경에서이 동작이 예기치 않은 경우 자격 AWS 증명이 손상되었을 수 있습니다. 문제 해결 단계는 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 섹션을 참조하세요. 손상된 자격 증명은 사용자 환경에서 Amazon S3 버킷, AWS Lambda 함수 또는 Amazon EC2 인스턴스와 같은 추가 리소스를 생성하거나 수정하는 데 사용되었을 수 있습니다. 잠재적으로 영향을 받을 수 있는 다른 리소스를 해결하는 단계는 [탐지된 GuardDuty 보안 조사 결과 해결](guardduty_remediate.md) 섹션을 참조하세요.
## AttackSequence:S3/CompromisedData
### Amazon S3에서 데이터를 유출하거나 파괴하려는 잠재적 시도로 일련의 API 요청이 호출되었습니다.
+ 기본 심각도: 심각
+ 데이터 소스: [AWS CloudTrail S3에 대한 데이터 이벤트](s3-protection.md#guardduty_s3dataplane) 및 [AWS CloudTrail 관리 이벤트](guardduty_data-sources.md#guardduty_controlplane)
이 조사 결과는 GuardDuty가 잠재적으로 손상된 AWS 자격 증명을 사용하여 하나 이상의 Amazon Simple Storage Service(Amazon S3) 버킷에서 데이터 손상을 나타내는 일련의 의심스러운 작업을 탐지했음을 알려줍니다. 의심스러운 공격 동작(API 요청)이 여러 번 관찰되어 자격 증명이 오용되고 있다는 신뢰도가 높아집니다.
GuardDuty는 상관 알고리즘을 사용하여 IAM 자격 증명을 사용하여 수행되는 작업 시퀀스를 관찰하고 식별합니다. 그런 다음 GuardDuty는 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적인 공격 패턴과 새로운 공격 패턴을 식별합니다. GuardDuty는 IP 평판, API 시퀀스, 사용자 구성 및 잠재적으로 영향을 받는 리소스와 같은 여러 요소를 사용하여 위협을 표시합니다.
**해결 작업**: 환경에서이 활동이 예기치 않은 경우 자격 AWS 증명 또는 Amazon S3 데이터가 유출되거나 파괴되었을 수 있습니다. 문제 해결 단계는 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 및 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 섹션을 참조하세요.
# GuardDuty S3 보호 조사 결과 유형
다음 결과는 Amazon S3 리소스에만 해당되고 데이터 소스가 S3에 대한 **CloudTrail 데이터 이벤트**인 경우 **리소스 유형**이 `S3Bucket` 또는 데이터 소스가 **CloudTrail 관리 이벤트**인 경우 `AccessKey`입니다. 결과의 심각도 및 세부 정보는 결과 유형 및 버킷과 연결된 권한에 따라 다릅니다.
여기에 나열된 결과에는 해당 결과 유형을 생성하는 데 사용된 데이터 소스 및 모델이 포함됩니다. 데이터 소스 및 모델에 대한 자세한 내용은 [GuardDuty 기본 데이터 소스](guardduty_data-sources.md) 섹션을 참조하세요.
**중요**
**S3용 CloudTrail 데이터 이벤트**의 데이터 소스를 사용한 조사 결과는 S3 보호를 사용하도록 설정한 경우에만 생성됩니다. 기본적으로 2020년 7월 31일 이후에는 계정에서 처음으로 GuardDuty를 사용 설정하거나 위임된 GuardDuty 관리자 계정이 기존 회원 계정에서 GuardDuty를 사용 설정하는 경우 S3 보호가 사용 설정됩니다. 그러나 새 멤버가 GuardDuty 조직에 가입하면 조직의 자동 활성화 기본 설정이 적용됩니다. 기본 설정 자동 활성화에 대한 자세한 내용은 [조직 자동 활성화 기본 설정 지정](set-guardduty-auto-enable-preferences.md)을 참조하세요. S3 보호 활성화 방법에 대한 내용은 [GuardDuty S3 보호](s3-protection.md)을 참조하세요.
모든 `S3Bucket` 유형 결과의 경우 해당 버킷에 대한 권한과 결과에 관련된 모든 사용자의 권한을 검사하는 것이 좋습니다. 예기치 않은 활동인 경우 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md)에서 설명하는 해결 권장 사항을 참조하세요.
**Topics**
+ [Discovery:S3/AnomalousBehavior](#discovery-s3-anomalousbehavior)
+ [Discovery:S3/MaliciousIPCaller](#discovery-s3-maliciousipcaller)
+ [Discovery:S3/MaliciousIPCaller.Custom](#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](#discovery-s3-toripcaller)
+ [Exfiltration:S3/AnomalousBehavior](#exfiltration-s3-anomalousbehavior)
+ [Exfiltration:S3/MaliciousIPCaller](#exfiltration-s3-maliciousipcaller)
+ [Impact:S3/AnomalousBehavior.Delete](#impact-s3-anomalousbehavior-delete)
+ [Impact:S3/AnomalousBehavior.Permission](#impact-s3-anomalousbehavior-permission)
+ [Impact:S3/AnomalousBehavior.Write](#impact-s3-anomalousbehavior-write)
+ [Impact:S3/MaliciousIPCaller](#impact-s3-maliciousipcaller)
+ [PenTest:S3/KaliLinux](#pentest-s3-kalilinux)
+ [PenTest:S3/ParrotLinux](#pentest-s3-parrotlinux)
+ [PenTest:S3/PentooLinux](#pentest-s3-pentoolinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](#unauthorizedaccess-s3-toripcaller)
## Discovery:S3/AnomalousBehavior
### S3 객체를 검색하는 데 일반적으로 사용되는 API가 변칙적인 방식으로 간접 호출되었습니다.
**기본 심각도: 낮음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 IAM 엔터티가 환경에서 S3 버킷을 검색하기 위한 S3 API(예: `ListObjects`)를 간접적으로 호출했음을 알려줍니다. 이러한 유형의 활동은 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인하는 공격의 검색 단계와 연결됩니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.
이 API는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Discovery:S3/MaliciousIPCaller
### AWS 환경에서 리소스를 검색하는 데 일반적으로 사용되는 S3 API가 알려진 악성 IP 주소에서 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 S3 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 AWS 환경에 대한 정보를 수집할 때 공격의 검색 단계와 연결됩니다. 예를 들면 `GetObjectAcl`나 `ListObjects`와 같습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Discovery:S3/MaliciousIPCaller.Custom
### 사용자 지정 위협 목록의 IP 주소에서 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 S3 API(예: `GetObjectAcl` 또는 `ListObjects`)가 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다. 이 활동 유형은 일반적으로 공격자가 AWS 환경이 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계와 관련이 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Discovery:S3/TorIPCaller
### Tor 출구 노드 IP 주소에서 S3 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 S3 API(예: `GetObjectAcl` 또는 `ListObjects`)가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이러한 유형의 활동은 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인하는 공격의 검색 단계와 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Exfiltration:S3/AnomalousBehavior
### IAM 엔터티가 의심스러운 방식으로 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 IAM 엔터티가 S3 버킷과 관련되고 해당 엔터티의 설정된 기준과 다른 활동임을 알려줍니다. 이 활동에 사용되는 API 호출은 공격자가 데이터 수집을 시도하는 공격의 유출 단계와 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.
이 API는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Exfiltration:S3/MaliciousIPCaller
### AWS 환경에서 데이터를 수집하는 데 일반적으로 사용되는 S3 API가 알려진 악성 IP 주소에서 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 S3 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 네트워크에서 데이터를 수집하려는 유출 전략과 관련이 있습니다. 예를 들면 `GetObject`나 `CopyObject`와 같습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Impact:S3/AnomalousBehavior.Delete
### IAM 엔터티가 의심스러운 방식으로 데이터를 삭제하는 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 AWS 환경의 IAM 엔터티가 S3 버킷과 관련된 API 호출을 수행하고 있으며이 동작이 해당 엔터티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용된 API 호출은 데이터 삭제를 시도하는 공격과 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.
이 API는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
S3 버킷의 콘텐츠를 감사하여 이전 객체 버전을 복원할 수 있는지 또는 복원해야 하는지 판단하는 것이 좋습니다.
## Impact:S3/AnomalousBehavior.Permission
### 액세스 제어 목록(ACL) 권한을 설정할 때 일반적으로 사용되는 API가 변칙적인 방식으로 간접 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 AWS 환경의 IAM 엔터티가 나열된 S3 버킷에서 버킷 정책 또는 ACL을 업데이트했음을 알려줍니다. 이 변경으로 인해 인증된 모든 AWS 사용자에게 S3 버킷이 공개적으로 노출될 수 있습니다.
이 API는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
S3 버킷의 콘텐츠를 감사하여 예기치 않게 공개 액세스가 허용된 객체가 없는지 확인하는 것이 좋습니다.
## Impact:S3/AnomalousBehavior.Write
### IAM 엔터티가 의심스러운 방식으로 데이터를 쓰는 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 중간**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 AWS 환경의 IAM 엔터티가 S3 버킷과 관련된 API 호출을 수행하고 있으며이 동작이 해당 엔터티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용된 API 호출은 데이터 쓰기를 시도하는 공격과 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.
이 API는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 [결과 세부 정보](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)에서 확인할 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
S3 버킷의 콘텐츠를 감사하여 이 API 호출로 악의적이거나 승인되지 않은 데이터를 쓰지 않았는지 확인하는 것이 좋습니다.
## Impact:S3/MaliciousIPCaller
### AWS 환경에서 데이터 또는 프로세스를 변조하는 데 일반적으로 사용되는 S3 API가 알려진 악성 IP 주소에서 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 S3 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 AWS 환경 내에서 데이터를 조작, 중단 또는 파괴하려는 영향 전략과 관련이 있습니다. 예를 들면 `PutObject`나 `PutObjectAcl`와 같습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## PenTest:S3/KaliLinux
### Kali Linux 머신에서 S3 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 Kali Linux를 실행하는 머신이 AWS 계정에 속한 자격 증명을 사용하여 S3 API를 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Kali Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## PenTest:S3/ParrotLinux
### Parrot Security Linux 머신에서 S3 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 Parrot Security Linux를 실행하는 머신이 AWS 계정에 속한 자격 증명을 사용하여 S3 API를 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Parrot Security Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자가 이 도구를 사용하여 EC2 구성의 약점을 찾아 AWS 환경에 대한 무단 액세스 권한을 얻기도 합니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## PenTest:S3/PentooLinux
### Pentoo Linux 머신에서 S3 API가 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 Pentoo Linux를 실행하는 머신이 AWS 계정에 속한 자격 증명을 사용하여 S3 API를 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Pentoo Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Policy:S3/AccountBlockPublicAccessDisabled
### IAM 엔터티가 계정에서 S3 퍼블릭 액세스 차단을 비활성화하는 데 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 낮음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 Amazon S3 블럭 퍼블릭 액세스 차단이 계정 수준에서 비활성화되었음을 알려줍니다. S3 블럭 퍼블릭 액세스 차단이 활성화된 경우 데이터의 우발적인 공개 노출을 방지하기 위한 보안 조치로 버킷의 정책 또는 액세스 제어 목록(ACL)을 필터링하는 데 사용됩니다.
일반적으로 버킷 또는 버킷의 객체에 대한 퍼블릭 액세스를 허용하기 위해 계정에서 S3 블럭 퍼블릭 액세스 차단이 해제됩니다. 계정에 대해 S3 블럭 퍼블릭 액세스 차단이 비활성화되면 버킷에 대한 액세스는 개별 버킷에 적용된 정책, ACL 또는 버킷 수준의 퍼블릭 액세스 차단 설정에 의해 제어됩니다. 버킷이 반드시 공개적으로 공유되는 것은 아니지만 버킷에 적용된 권한을 감사하여 적절한 액세스 수준을 제공하는지 확인해야 합니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Policy:S3/BucketAnonymousAccessGranted
### IAM 보안 주체가 버킷 정책 또는 ACL을 변경하여 인터넷에 S3 버킷에 대한 액세스 권한을 부여했습니다.
**기본 심각도: 높음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 IAM 엔터티가 해당 버킷의 버킷 정책 또는 ACL을 변경했기 때문에 나열된 S3 버킷이 인터넷에서 공개적으로 액세스할 수 있게 되었음을 알려줍니다.
정책 또는 ACL 변경을 감지하면 GuardDuty가 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/)에서 제공하는 자동 추론을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.
**참고**
버킷의 ACL 또는 버킷 정책이 명시적 거부 또는 모두 거부로 구성된 경우 이 결과는 버킷의 현재 상태를 반영하지 않을 수 있습니다. 이 결과에는 S3 버킷에 대해 활성화되었을 수 있는 [S3 퍼블릭 액세스 차단](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) 설정이 반영되지 않습니다. 이 경우 결과의 `effectivePermission` 값은 `UNKNOWN`으로 표시됩니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Policy:S3/BucketBlockPublicAccessDisabled
### IAM 엔터티가 버킷에서 S3 퍼블릭 액세스 차단을 비활성화하는 데 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 낮음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 퍼블릭 액세스 차단이 나열된 S3 버킷에서 비활성화되었음을 알려줍니다. 활성화된 경우 S3 퍼블릭 액세스 차단은 데이터의 우발적인 공개 노출을 방지하기 위한 보안 조치로 버킷에 적용된 정책 또는 액세스 제어 목록(ACL)을 필터링하는 데 사용됩니다.
일반적으로 버킷 또는 버킷 내 객체에 대한 퍼블릭 액세스를 허용하기 위해 S3 퍼블릭 액세스 차단이 해제됩니다. S3 퍼블릭 액세스 차단이 버킷에서 비활성화되면 버킷에 대한 액세스는 여기에 적용된 정책 또는 ACL에서 제어합니다. 즉, 버킷이 공개적으로 공유되는 것이 아니라, 버킷에 적용된 정책 및 ACL을 감사하여 해당 권한이 적용되었는지 확인해야 합니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Policy:S3/BucketPublicAccessGranted
### IAM 보안 주체는 버킷 정책 또는 ACL을 변경하여 모든 AWS 사용자에게 S3 버킷에 대한 퍼블릭 액세스 권한을 부여했습니다. ACLs
**기본 심각도: 높음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 IAM 엔터티가 해당 S3 버킷의 버킷 정책 또는 ACL을 변경했기 때문에 나열된 S3 버킷이 모든 인증된 AWS 사용자에게 공개적으로 노출되었음을 알려줍니다.
정책 또는 ACL 변경을 감지하면 GuardDuty가 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/)에서 제공하는 자동 추론을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.
**참고**
버킷의 ACL 또는 버킷 정책이 명시적 거부 또는 모두 거부로 구성된 경우 이 결과는 버킷의 현재 상태를 반영하지 않을 수 있습니다. 이 결과에는 S3 버킷에 대해 활성화되었을 수 있는 [S3 퍼블릭 액세스 차단](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) 설정이 반영되지 않습니다. 이 경우 결과의 `effectivePermission` 값은 `UNKNOWN`으로 표시됩니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Stealth:S3/ServerAccessLoggingDisabled
### S3 서버 액세스 로깅이 버킷에 대해 비활성화되었습니다.
**기본 심각도: 낮음**
+ **데이터 소스:** CloudTrail 관리 이벤트
이 결과는 AWS 환경 내 버킷에 대해 S3 서버 액세스 로깅이 비활성화되었음을 알려줍니다. 비활성화된 경우 식별된 S3 버킷에 액세스하려는 시도에 대한 웹 요청 로그가 생성되지 않지만 버킷에 대한 S3 관리 API 호출(예: [DeleteBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html))은 계속 추적됩니다. 이 버킷에 대해 CloudTrail을 통해 S3 데이터 이벤트 로깅이 활성화된 경우 버킷 내 객체에 대한 웹 요청은 계속 추적됩니다. 로깅 비활성화는 탐지를 우회하기 위해 권한이 없는 사용자가 사용하는 기법입니다. S3 로그에 대한 자세한 내용은 [S3 서버 액세스 로깅](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) 및 [S3 로깅 옵션](https://docs.aws.amazon.com/AmazonS3/latest/userguide/logging-with-S3.html)을 참조하세요.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## UnauthorizedAccess:S3/MaliciousIPCaller.Custom
### 사용자 지정 위협 목록의 IP 주소에서 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 S3 API 작업(예: `PutObject` 또는 `PutObjectAcl`)이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## UnauthorizedAccess:S3/TorIPCaller
### Tor 출구 노드 IP 주소에서 S3 API가 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 S3 API 작업(예: `PutObject` 또는 `PutObjectAcl`)이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
# EKS 보호 결과 유형
다음 조사 결과는 Amazon EKS 리소스에만 해당되며 항상 **resource\$1type**이 `EKSCluster`입니다. 결과의 심각도 및 세부 정보는 결과 유형에 따라 다릅니다.
모든 EKS 감사 로그 유형 조사 결과에 대해 해당 리소스를 검토하여 활동이 예상된 것인지 또는 잠재적으로 악의적일 수 있는지 확인하는 것이 좋습니다. GuardDuty 결과로 식별된 손상된 EKS 감사 로그 리소스 문제를 해결하는 방법에 대한 지침은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 섹션을 참조하세요.
**참고**
이러한 결과 생성의 원인이 된 활동이 예상된 활동일 경우 향후 알림을 방지하기 위해 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 추가를 고려해 보세요.
**Topics**
+ [CredentialAccess:Kubernetes/MaliciousIPCaller](#credentialaccess-kubernetes-maliciousipcaller)
+ [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](#credentialaccess-kubernetes-maliciousipcallercustom)
+ [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](#credentialaccess-kubernetes-successfulanonymousaccess)
+ [CredentialAccess:Kubernetes/TorIPCaller](#credentialaccess-kubernetes-toripcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller](#defenseevasion-kubernetes-maliciousipcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](#defenseevasion-kubernetes-maliciousipcallercustom)
+ [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](#defenseevasion-kubernetes-successfulanonymousaccess)
+ [DefenseEvasion:Kubernetes/TorIPCaller](#defenseevasion-kubernetes-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller](#discovery-kubernetes-maliciousipcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller](#impact-kubernetes-maliciousipcaller)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](#impact-kubernetes-maliciousipcallercustom)
+ [Impact:Kubernetes/SuccessfulAnonymousAccess](#impact-kubernetes-successfulanonymousaccess)
+ [Impact:Kubernetes/TorIPCaller](#impact-kubernetes-toripcaller)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](#persistence-kubernetes-containerwithsensitivemount)
+ [Persistence:Kubernetes/MaliciousIPCaller](#persistence-kubernetes-maliciousipcaller)
+ [Persistence:Kubernetes/MaliciousIPCaller.Custom](#persistence-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/SuccessfulAnonymousAccess](#persistence-kubernetes-successfulanonymousaccess)
+ [Persistence:Kubernetes/TorIPCaller](#persistence-kubernetes-toripcaller)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/KubeflowDashboardExposed](#policy-kubernetes-kubeflowdashboardexposed)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](#privilegeescalation-kubernetes-privilegedcontainer)
+ [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](#credaccess-kubernetes-anomalousbehavior-secretsaccessed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](#privesc-kubernetes-anomalousbehavior-rolebindingcreated)
+ [Execution:Kubernetes/AnomalousBehavior.ExecInPod](#execution-kubernetes-anomalousbehvaior-execinprod)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)
+ [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)
+ [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](#exec-kubernetes-anomalousbehavior-workloaddeployed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](#privesc-kubernetes-anomalousbehavior-rolecreated)
+ [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](#discovery-kubernetes-anomalousbehavrior-permissionchecked)
**참고**
Kubernetes 1.14 이하 버전에서는 `system:unauthenticated` 그룹이 기본적으로 `system:discovery` 및 `system:basic-user` **ClusterRoles**에 연결되었습니다. 이 연결로 인해 익명 사용자의 의도하지 않은 액세스가 허용될 수 있습니다. 클러스터 업데이트를 통해 이러한 권한을 철회되지 않습니다. 클러스터를 버전 1.14 이상으로 업데이트한 경우에도 이러한 권한은 계속 활성화될 수 있습니다. `system:unauthenticated` 그룹에서 이러한 권한을 분리하는 것이 좋습니다. 이러한 권한 취소에 대한 지침은 *Amazon EKS 사용 설명서*의 [Amazon EKS에 대한 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요.
## CredentialAccess:Kubernetes/MaliciousIPCaller
### Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
### Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
### 인증되지 않은 사용자가 Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 `system:anonymous` 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. `system:anonymous`의 API 호출이 인증되지 않았습니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
**해결 권장 사항:**
클러스터의 `system:anonymous` 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## CredentialAccess:Kubernetes/TorIPCaller
### Kubernetes 클러스터의 보안 인증 정보나 보안 암호에 액세스하는 데 일반적으로 사용되는 API가 알려진 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰되는 API는 일반적으로 공격자가 Kubernetes 클러스터의 암호, 사용자 이름 및 액세스 키를 수집하려고 시도하는 공격의 보안 인증 정보 액세스 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터 리소스에 무단으로 액세스하려 함을 나타낼 수 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## DefenseEvasion:Kubernetes/MaliciousIPCaller
### 방어 조치를 우회하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
### 방어 조치를 우회하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록의 IP 주소에서 간접 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
### 인증되지 않은 사용자가 방어 조치를 우회하는 데 일반적으로 사용되는 API를 간접 호출했습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 `system:anonymous` 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. `system:anonymous`의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
**해결 권장 사항:**
클러스터의 `system:anonymous` 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## DefenseEvasion:Kubernetes/TorIPCaller
### 방어 조치를 우회하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 자신의 행동을 감추고 탐지를 피하려는 방어 우회 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 종료 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터에 무단으로 액세스하려 함을 나타낼 수 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Discovery:Kubernetes/MaliciousIPCaller
### Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API가 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터가 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계에서 사용됩니다.
**인증되지 않은 액세스의 경우**
인증되지 않은 액세스에 대해서는 MaliciousIPCaller 조사 결과가 생성되지 않습니다.
인증되지 않은 액세스 또는 익명 액세스에 대한 SuccessfulAnonymousAccess 조사 결과가 생성됩니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Discovery:Kubernetes/MaliciousIPCaller.Custom
### Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록의 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 API가 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터가 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계에서 사용됩니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Discovery:Kubernetes/SuccessfulAnonymousAccess
### 인증되지 않은 사용자가 Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 `system:anonymous` 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. `system:anonymous`의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터에 관한 정보를 수집하는 공격의 발견 단계와 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
이 결과 유형은 `/healthz`, `/livez`, `/readyz` 및 `/version`와 같은 상태 확인 API 엔드포인트는 제외됩니다.
**해결 권장 사항:**
클러스터의 `system:anonymous` 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Discovery:Kubernetes/TorIPCaller
### Kubernetes 클러스터에서 리소스를 검색하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 Kubernetes 클러스터가 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계에서 사용됩니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 종료 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터에 무단으로 액세스하려 함을 나타낼 수 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Execution:Kubernetes/ExecInKubeSystemPod
### `kube-system` 네임스페이스 내에 있는 포드 내부에서 명령이 실행되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 **Kubernetes exec API**를 사용하여 `kube-system` 네임스페이스 내의 포드에서 명령이 실행되었음을 알려줍니다. `kube-system` 네임스페이스는 기본 네임스페이스로, 주로 `kube-dns` 및 `kube-proxy`와 같은 시스템 수준 구성 요소에 사용됩니다. `kube-system` 네임스페이스의 포드 또는 컨테이너 내에서 명령을 실행하는 경우는 매우 드물며, 의심스러운 활동을 나타낼 수 있습니다.
**해결 권장 사항:**
이 명령이 예기치 않게 실행된 경우 명령을 실행하는 데 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Impact:Kubernetes/MaliciousIPCaller
### Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 AWS 환경 내에서 데이터를 조작, 중단 또는 파괴하려는 영향 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Impact:Kubernetes/MaliciousIPCaller.Custom
### Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API가 사용자 지정 위협 목록의 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다. 관찰된 API는 일반적으로 공격자가 AWS 환경 내에서 데이터를 조작, 중단 또는 파괴하려는 영향 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Impact:Kubernetes/SuccessfulAnonymousAccess
### 인증되지 않은 사용자가 Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 `system:anonymous` 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. `system:anonymous`의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 클러스터에 있는 리소스를 변조하는 공격의 영향 단계와 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
**해결 권장 사항:**
클러스터의 `system:anonymous` 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Impact:Kubernetes/TorIPCaller
### Kubernetes 클러스터에 있는 리소스를 변조하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 AWS 환경의 데이터를 조작, 방해 또는 파괴하려는 공격 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 종료 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 Kubernetes 클러스터에 무단으로 액세스하려 함을 나타낼 수 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Persistence:Kubernetes/ContainerWithSensitiveMount
### 내부에 탑재된 민감한 외부 호스트 경로에서 컨테이너가 시작되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 `volumeMounts` 섹션에서 쓰기 액세스를 보유한 민감한 호스트 경로를 포함한 구성에서 컨테이너가 시작되었음을 알려줍니다. 이로 인해 민감한 호스트 경로가 컨테이너 내부에서 액세스 및 쓰기가 가능합니다. 이 기법은 공격자가 호스트의 파일 시스템에 대한 액세스 권한을 얻는 데 일반적으로 사용됩니다.
**해결 권장 사항:**
이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
이 컨테이너의 시작이 예상된 동작인 경우 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 `imagePrefix` 필드는 결과에 지정된 `imagePrefix`와 같아야 합니다. 억제 규칙 작성에 대한 자세한 내용은 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule)을 참조하세요.
## Persistence:Kubernetes/MaliciousIPCaller
### Kubernetes 클러스터의 리소스에 대한 영구 액세스를 획득하는 데 일반적으로 사용되는 API가 알려진 악성 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 알려진 악성 활동과 관련된 IP 주소에서 API 작업이 간접적으로 호출되었음을 알려줍니다. 일반적으로 관찰되는 API는 공격자가 Kubernetes 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Persistence:Kubernetes/MaliciousIPCaller.Custom
### Kubernetes 클러스터의 리소스에 대한 영구 액세스를 획득하는 데 일반적으로 사용되는 API가 알려진 사용자 지정 위협 목록의 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 **추가 정보** 섹션에 나열됩니다. 일반적으로 관찰되는 API는 공격자가 Kubernetes 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Persistence:Kubernetes/SuccessfulAnonymousAccess
### 인증되지 않은 사용자가 Kubernetes 클러스터에 대한 상위 수준 권한을 획득하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 `system:anonymous` 사용자가 API 작업을 성공적으로 간접 호출했음을 알려줍니다. `system:anonymous`의 API 호출이 인증되지 않았습니다. 관찰된 API는 일반적으로 공격자가 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다. 이 활동은 결과에 보고된 API 작업에서 익명 또는 인증되지 않은 액세스가 허용되고 다른 작업에서 허용될 수 있음을 나타냅니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
**해결 권장 사항:**
클러스터의 `system:anonymous` 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Persistence:Kubernetes/TorIPCaller
### Kubernetes 클러스터의 리소스에 대한 영구 액세스를 획득하는 데 일반적으로 사용되는 API가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 API 작업이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 일반적으로 관찰되는 API는 공격자가 Kubernetes 클러스터에 대한 액세스 권한을 획득하고 이를 유지하려고 하는 지속성 전략과 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
`KubernetesUserDetails` 섹션의 발견 사항에서 보고된 사용자가 `system:anonymous`인 경우 익명 사용자가 API를 호출하도록 허용된 이유를 조사하고, 필요한 경우 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)에 있는 지침에 따라 권한을 취소합니다. 사용자가 인증된 사용자인 경우 해당 활동이 적법한지 또는 악의적인지 여부를 조사해 확인합니다. 악의적인 활동인 경우 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Policy:Kubernetes/AdminAccessToDefaultServiceAccount
### Kubernetes 클러스터의 관리자 권한이 기본 서비스 계정에 부여되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes 클러스터의 네임스페이스에 대한 기본 서비스 계정에 관리자 권한이 부여되었음을 알려줍니다. Kubernetes는 클러스터의 모든 네임스페이스에 대해 기본 서비스 계정을 생성합니다. 다른 서비스 계정에 명시적으로 연결되지 않은 포드에 기본 서비스 계정을 자격 증명으로 자동 할당합니다. 기본 서비스 계정에 관리자 권한이 있는 경우 의도치 않게 관리자 권한을 사용하여 포드가 시작될 수 있습니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
**해결 권장 사항:**
기본 서비스 계정을 사용하여 포드에 권한을 부여해서는 안 됩니다. 대신 각 워크로드에 전용 서비스 계정을 생성하고 필요에 따라 해당 계정에 권한을 부여해야 합니다. 이 문제를 해결하려면 모든 포드와 워크로드에 전용 서비스 계정을 생성하고 포드와 워크로드를 업데이트하여 기본 서비스 계정에서 전용 계정으로 마이그레이션해야 합니다. 이후 기본 서비스 계정에서 관리자 권한을 제거해야 합니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Policy:Kubernetes/AnonymousAccessGranted
### `system:anonymous` 사용자에게 Kubernetes 클러스터에 대한 API 권한이 부여되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes 클러스터의 사용자가 `ClusterRoleBinding` 또는 `RoleBinding`을 성공적으로 생성하여 사용자 `system:anonymous`에 역할을 바인딩했음을 알려줍니다. 이를 통해 역할에서 허용하는 API 작업에 대해 인증되지 않은 액세스가 가능합니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
**해결 권장 사항:**
클러스터의 `system:anonymous` 사용자 또는 `system:unauthenticated` 그룹에 부여된 권한을 검사하여 불필요한 익명 액세스를 철회해야 합니다. 자세한 내용은 *Amazon EKS 사용 설명서*의 [Amazon EKS 보안 모범 사례](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)를 참조하세요. 권한이 악의적으로 부여된 경우 권한이 부여된 사용자의 액세스를 철회하고 공격자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Policy:Kubernetes/ExposedDashboard
### Kubernetes 클러스터의 대시보드가 인터넷에 노출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 클러스터의 Kubernetes 대시보드가 Load Balancer 서비스에 의해 인터넷에 노출되었음을 알려줍니다. 대시보드가 노출되면 인터넷에서 클러스터의 관리 인터페이스에 액세스할 수 있고 공격자가 존재할 수 있는 인증 및 액세스 제어 허점을 악용할 수 있습니다.
**해결 권장 사항:**
Kubernetes 대시보드에 강력한 인증 및 권한 부여가 시행되도록 해야 합니다. 또한 네트워크 액세스 제어를 구현하여 특정 IP 주소에서의 대시보드 액세스를 제한해야 합니다.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Policy:Kubernetes/KubeflowDashboardExposed
### Kubernetes 클러스터의 **Kubeflow** 대시보드가 인터넷에 노출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 클러스터의 **Kubeflow** 대시보드가 로드 밸런서 서비스에 의해 인터넷에 노출되었음을 알려줍니다. **Kubeflow** 대시보드가 노출되면 인터넷에서 **Kubeflow** 환경의 관리 인터페이스에 액세스할 수 있고 공격자가 존재할 수 있는 인증 및 액세스 제어 허점을 악용할 수 있습니다.
**해결 권장 사항:**
**Kubeflow** 대시보드에 강력한 인증 및 권한 부여가 시행되도록 해야 합니다. 또한 네트워크 액세스 제어를 구현하여 특정 IP 주소에서의 대시보드 액세스를 제한해야 합니다.
자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## PrivilegeEscalation:Kubernetes/PrivilegedContainer
### 루트 수준 액세스 권한이 있는 컨테이너가 Kubernetes 클러스터에서 시작되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes 클러스터에서 권한이 있는 컨테이너가 이전에 클러스터에서 권한이 있는 컨테이너를 시작하는 데 사용된 적이 없는 이미지를 사용하여 Kubernetes 클러스터에서 시작되었음을 알려줍니다. 권한이 있는 컨테이너는 호스트에 대한 루트 수준 액세스 권한을 갖습니다. 공격자는 권한 상승 전략으로 권한이 있는 컨테이너를 시작하여 호스트에 대한 액세스 권한을 획득하고 호스트를 손상시킬 수 있습니다.
**해결 권장 사항:**
이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자의 액세스를 철회하고 클러스터에서 공격자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
### 보안 암호에 액세스하는 데 일반적으로 사용되는 Kubernetes API가 변칙적인 방식으로 간접 호출되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 민감한 클러스터 보안 암호를 검색하는 변칙적인 API 작업을 클러스터의 Kubernetes 사용자가 간접적으로 호출했음을 알려줍니다. 관찰된 API는 일반적으로 클러스터 내에서 권한 상승 및 추가 액세스로 이어질 수 있는 보안 인증 정보 액세스 전략과 관련이 있습니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 AWS 보안 인증 정보가 손상되었기 때문일 수 있습니다.
관찰된 API가 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 활동을 평가하고 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
클러스터의 Kubernetes 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
### 지나치게 허용적인 역할 또는 민감한 네임스페이스에 대해 RoleBinding 또는 ClusterRoleBinding이 Kubernetes 클러스터에서 생성 또는 수정되었습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 하지만 RoleBinding 또는 ClusterRoleBinding에 ClusterRoles `admin` 또는 `cluster-admin`이 포함된 경우 심각도는 높음입니다.
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes 클러스터의 사용자가 `RoleBinding` 또는 `ClusterRoleBinding`을 생성하여 사용자를 관리자 권한이 있는 역할 또는 민감한 네임스페이스에 바인딩했음을 알려줍니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 AWS 보안 인증 정보가 손상되었기 때문일 수 있습니다.
관찰된 API가 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
Kubernetes 사용자에게 부여된 권한을 검사합니다. 이러한 권한은 `RoleBinding` 및 `ClusterRoleBinding`과 관련된 역할 및 주체에 정의되어 있습니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
## Execution:Kubernetes/AnomalousBehavior.ExecInPod
### 포드 내에서 명령이 변칙적으로 실행되었습니다.
**기본 심각도: 중간**
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes exec API를 사용하여 포드에서 명령이 실행되었음을 알려줍니다. Kubernetes exec API를 사용하면 포드에서 임의의 명령을 실행할 수 있습니다. 사용자, 네임스페이스 또는 포드에 대해이 동작이 예상되지 않는 경우 구성 실수 또는 AWS 자격 증명이 손상되었음을 나타낼 수 있습니다.
관찰된 API가 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
이 명령이 예기치 않게 실행된 경우 명령을 실행하는 데 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer
### 권한이 있는 컨테이너를 사용하여 워크로드가 변칙적인 방식으로 시작되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 Amazon EKS 클러스터의 권한이 있는 컨테이너를 사용하여 워크로드가 시작되었음을 알려줍니다. 권한이 있는 컨테이너는 호스트에 대한 루트 수준 액세스 권한을 갖습니다. 승인되지 않은 사용자는 권한 상승 전략으로 권한이 있는 컨테이너를 시작하여 우선 호스트에 대한 액세스 권한을 획득하고 이후 이를 손상시킬 수 있습니다.
관찰된 컨테이너 생성 또는 수정이 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 및 컨테이너 이미지 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
이 컨테이너의 시작이 예상된 동작인 경우 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 `imagePrefix` 필드는 결과에 지정된 `imagePrefix` 필드와 값이 같아야 합니다. 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
## Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount
### 민감한 호스트 경로가 워크로드 내에 탑재된 상태에서 워크로드가 변칙적인 방식으로 배포되었습니다.
**기본 심각도: 높음**
+ **기능: **EKS 감사 로그
이 결과는 `volumeMounts` 섹션에 민감한 호스트 경로가 포함된 컨테이너에서 워크로드가 시작되었음을 알려줍니다. 이로 인해 민감한 호스트 경로가 컨테이너 내부에서 액세스 및 쓰기가 가능할 수 있습니다. 이 기법은 승인되지 않은 사용자가 호스트의 파일 시스템에 대한 액세스 권한을 얻는 데 일반적으로 사용됩니다.
관찰된 컨테이너 생성 또는 수정이 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 및 컨테이너 이미지 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
이 컨테이너의 시작이 예상된 동작인 경우 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 `imagePrefix` 필드는 결과에 지정된 `imagePrefix` 필드와 값이 같아야 합니다. 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
## Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
### 워크로드가 변칙적인 방식으로 시작되었습니다.
**기본 심각도: 낮음\$1**
**참고**
기본 심각도는 낮음입니다. 하지만 워크로드에 알려진 침투 테스트 도구와 같이 잠재적으로 의심스러운 이미지 이름 또는 시작 시 잠재적으로 의심스러운 명령(예: reverse shell 명령)을 실행하는 컨테이너가 포함된 경우 이 결과 유형의 심각도는 중간으로 간주됩니다.
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes 워크로드가 Amazon EKS 클러스터 내에서 API 활동, 새 컨테이너 이미지 또는 위험한 워크로드 구성과 같은 변칙적인 방식으로 생성 또는 수정되었음을 알려줍니다. 승인되지 않은 사용자는 전략적으로 컨테이너를 시작하여 임의 코드를 실행해 우선 호스트에 대한 액세스 권한을 획득하고 이후 이를 손상시킬 수 있습니다.
관찰된 컨테이너 생성 또는 수정이 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 EKS 클러스터 내의 모든 사용자 API 및 컨테이너 이미지 활동을 평가합니다. 또한 이 ML 모델은 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
이 컨테이너의 시작이 예상치 못한 동작인 경우 컨테이너 시작에 사용된 사용자 ID의 보안 인증 정보가 손상되었을 수 있습니다. 사용자 액세스를 철회하고 클러스터에서 승인되지 않은 사용자의 변경 사항을 되돌립니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
이 컨테이너의 시작이 예상된 동작인 경우 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 필드를 기반으로 하는 필터 기준으로 구성된 억제 규칙을 사용하는 것이 좋습니다. 필터 기준에서 `imagePrefix` 필드는 결과에 지정된 `imagePrefix` 필드와 값이 같아야 합니다. 자세한 내용은 [GuardDuty의 억제 규칙](findings_suppression-rule.md) 단원을 참조하십시오.
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
### 과도하게 허용적인 Role 또는 ClusterRole이 변칙적인 방식으로 생성 또는 수정되었습니다.
**기본 심각도: 낮음**
+ **기능: **EKS 감사 로그
이 결과는 Amazon EKS 클러스터의 Kubernetes 사용자가 변칙적인 API 작업을 호출하여 과도한 권한을 가진 `Role` 또는 `ClusterRole`을 생성했음을 알려줍니다. 작업자는 강력한 권한이 있는 역할 생성을 사용하여 관리자와 유사한 기본 역할을 사용하지 않고 탐지를 피할 수 있습니다. 과도한 권한은 권한 상승, 원격 코드 실행, 잠재적으로 네임스페이스나 클러스터에 대한 통제로 이어질 수 있습니다. 이러한 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
관찰된 API가 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 Amazon EKS 클러스터 내의 모든 사용자 API 활동을 평가하고 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 사용한 사용자 에이전트, 계정에서 관찰된 컨테이너 이미지, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
`Role` 또는 `ClusterRole`에 정의된 권한을 검사하여 모든 권한이 필요한지 확인하고 최소 권한 원칙을 준수합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
## Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
### 사용자가 변칙적인 방식으로 액세스 권한을 확인했습니다.
**기본 심각도: 낮음**
+ **기능: **EKS 감사 로그
이 결과는 Kubernetes 클러스터의 사용자가 권한 상승 및 원격 코드 실행으로 이어질 수 있는 알려진 강력한 권한의 허용 여부를 확인했음을 알려줍니다. 예를 들어 사용자의 권한을 확인하는 데 사용되는 일반적인 명령은 `kubectl auth can-i`입니다. 이 동작이 예상된 동작이 아닌 경우 구성 실수이거나 보안 인증 정보가 손상되었기 때문일 수 있습니다.
관찰된 API가 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 Amazon EKS 클러스터 내의 모든 사용자 API 활동을 평가하고 승인되지 않은 사용자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. 또한 ML 모델은 요청을 보낸 사용자, 요청을 보낸 위치, 확인된 권한, 사용자가 작업하는 네임스페이스 등 API 작업의 여러 요소를 추적합니다. GuardDuty 콘솔의 결과 세부 정보 패널에서 비정상적인 API 요청의 세부 정보를 찾아볼 수 있습니다.
**해결 권장 사항:**
Kubernetes 사용자에게 부여된 권한을 검사하고 모든 권한이 필요한지 여부를 확인해야 합니다. 권한이 실수로 또는 악의적으로 부여된 경우 사용자 액세스를 철회하고 승인되지 않은 사용자가 클러스터에 적용한 변경 사항을 되돌려야 합니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
자격 AWS 증명이 손상된 경우 섹션을 참조하세요[잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md).
# GuardDuty 런타임 모니터링 조사 결과 유형
Amazon GuardDuty는 다음과 같은 런타임 모니터링 조사 결과를 생성하여 Amazon EKS 클러스터의 Amazon EC2 호스트 및 컨테이너, Fargate 및 Amazon ECS 워크로드, Amazon EC2 인스턴스의 운영 체제 수준 동작을 기반으로 잠재적 위협을 표시합니다.
**참고**
Runtime Monitoring 결과 유형은 호스트에서 수집된 런타임 로그를 기반으로 합니다. 로그에는 악의적인 작업자가 제어할 수 있는 파일 경로와 같은 필드가 포함되어 있습니다. 이러한 필드는 런타임 컨텍스트를 제공하기 위해 GuardDuty 결과에도 포함됩니다. GuardDuty 콘솔 외부에서 Runtime Monitoring 결과를 처리할 때는 결과 필드를 정리해야 합니다. 예를 들어 웹 페이지에 표시할 때 결과 필드를 HTML로 인코딩할 수 있습니다.
**Topics**
+ [CryptoCurrency:Runtime/BitcoinTool.B](#cryptocurrency-runtime-bitcointoolb)
+ [Backdoor:Runtime/C&CActivity.B](#backdoor-runtime-ccactivityb)
+ [UnauthorizedAccess:Runtime/TorRelay](#unauthorizedaccess-runtime-torrelay)
+ [UnauthorizedAccess:Runtime/TorClient](#unauthorizedaccess-runtime-torclient)
+ [Trojan:Runtime/BlackholeTraffic](#trojan-runtime-blackholetraffic)
+ [Trojan:Runtime/DropPoint](#trojan-runtime-droppoint)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](#cryptocurrency-runtime-bitcointoolbdns)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](#backdoor-runtime-ccactivitybdns)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](#trojan-runtime-droppointdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](#trojan-runtime-phishingdomainrequestdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](#impact-runtime-suspiciousdomainrequestreputation)
+ [UnauthorizedAccess:Runtime/MetadataDNSRebind](#unauthorizedaccess-runtime-metadatadnsrebind)
+ [Execution:Runtime/NewBinaryExecuted](#execution-runtime-newbinaryexecuted)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](#privilegeesc-runtime-dockersocketaccessed)
+ [PrivilegeEscalation:Runtime/RuncContainerEscape](#privilegeesc-runtime-runccontainerescape)
+ [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](#privilegeesc-runtime-cgroupsreleaseagentmodified)
+ [DefenseEvasion:Runtime/ProcessInjection.Proc](#defenseeva-runtime-processinjectionproc)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](#execution-runtime-reverseshell)
+ [DefenseEvasion:Runtime/FilelessExecution](#defenseeva-runtime-filelessexecution)
+ [Impact:Runtime/CryptoMinerExecuted](#impact-runtime-cryptominerexecuted)
+ [Execution:Runtime/NewLibraryLoaded](#execution-runtime-newlibraryloaded)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/UserfaultfdUsage](#privilegeescalation-runtime-userfaultfdusage)
+ [Execution:Runtime/SuspiciousTool](#execution-runtime-suspicioustool)
+ [Execution:Runtime/SuspiciousCommand](#execution-runtime-suspiciouscommand)
+ [DefenseEvasion:Runtime/SuspiciousCommand](#defenseevasion-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](#defenseevasion-runtime-ptrace-anti-debug)
+ [Execution:Runtime/MaliciousFileExecuted](#execution-runtime-malicious-file-executed)
+ [Execution:Runtime/SuspiciousShellCreated](#execution-runtime-suspicious-shell-created)
+ [PrivilegeEscalation:Runtime/ElevationToRoot](#privilegeesc-runtime-elevation-to-root)
+ [Discovery:Runtime/SuspiciousCommand](#discovery-runtime-suspicious-command)
+ [Persistence:Runtime/SuspiciousCommand](#persistence-runtime-suspicious-command)
+ [PrivilegeEscalation:Runtime/SuspiciousCommand](#privilege-escalation-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/KernelModuleLoaded](#defenseevasion-runtime-kernelmoduleloaded)
## CryptoCurrency:Runtime/BitcoinTool.B
### Amazon EC2 인스턴스 또는 컨테이너가 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 암호화폐 관련 활동과 연관된 IP 주소를 쿼리하고 있음을 알립니다. 위협 작업자는 악의적으로 승인되지 않은 암호화폐 채굴로 용도를 변경하기 위해 컴퓨팅 리소스를 제어하려고 할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 EC2 인스턴스 또는 컨테이너를 사용하여 암호화폐를 채굴 또는 관리하거나 이 중 하나가 블록체인 활동에 관여한 경우, CryptoCurrency:Runtime/BitcoinTool.B 결과는 환경에 대한 예상된 활동을 나타낼 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 필터 기준에는 **결과 유형** 속성과 `CryptoCurrency:Runtime/BitcoinTool.B` 값을 사용해야 합니다. 두 번째 필터 기준은 암호화폐 또는 블록체인 관련 활동에 관여한 인스턴스의 **인스턴스 ID** 또는 컨테이너의 **컨테이너 이미지 ID**여야 합니다. 자세한 내용은 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)을 참조하세요.
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Backdoor:Runtime/C&CActivity.B
### Amazon EC2 인스턴스 또는 컨테이너가 알려진 명령 및 제어 서버와 연결된 IP를 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 알려진 명령 및 제어(C&C) 서버와 연결된 IP 주소를 쿼리하는 중임을 알려줍니다. 나열된 인스턴스 또는 컨테이너가 잠재적으로 손상되었을 수 있습니다. 명령 및 제어(C&C) 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.
봇넷은 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스(PC, 서버, 모바일 디바이스 및 사물 인터넷 디바이스 포함)의 모음입니다. 일반적으로 봇넷은 멀웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 용도와 구조에 따라 C&C 서버가 분산 서비스 거부(DDoS) 공격을 시작하는 명령을 실행할 수도 있습니다.
**참고**
쿼리된 IP가 log4j와 관련된 경우 관련 결과의 필드에 다음 값이 포함됩니다.
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## UnauthorizedAccess:Runtime/TorRelay
### Amazon EC2 인스턴스 또는 컨테이너가 Tor 릴레이로 Tor 네트워크에 연결하고 있습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 결과는 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 Tor 릴레이 역할을 하는 방식으로 Tor 네트워크에 AWS 연결함을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor는 한 Tor 릴레이에서 다른 릴레이로 클라이언트의 불법 가능성이 있는 트래픽을 전달함으로써 통신의 익명성을 높입니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## UnauthorizedAccess:Runtime/TorClient
### Amazon EC2 인스턴스 또는 컨테이너가 Tor Guard 또는 Authority 노드에 연결하고 있습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 결과는 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 Tor Guard 또는 Authority 노드에 AWS 연결하고 있음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor Guards 및 Authority 노드는 Tor 네트워크의 첫 번째 게이트웨이 역할을 합니다. 이 트래픽은 잠재적으로 EC2 인스턴스 또는 컨테이너가 손상되어 Tor 네트워크에서 클라이언트 역할을 하고 있음을 나타냅니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/BlackholeTraffic
### Amazon EC2 인스턴스 또는 컨테이너가 블랙홀로 알려진 원격 호스트의 IP 주소와 통신을 시도하고 있습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 AWS 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 블랙홀(또는 싱크홀)의 IP 주소와 통신을 시도하기 때문에 손상되었을 수 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다. 블랙홀 IP 주소는 실행되고 있지 않은 호스트 머신 또는 호스트가 할당되지 않은 주소를 지정합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/DropPoint
### Amazon EC2 인스턴스 또는 컨테이너가 맬웨어를 통해 캡처된 자격 증명 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하는 중입니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 AWS 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 맬웨어로 캡처된 자격 증명 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하고 있음을 알려줍니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## CryptoCurrency:Runtime/BitcoinTool.B\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 암호화폐 활동과 연결된 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 비트코인 또는 기타 암호화폐 관련 활동과 연관된 도메인 이름을 쿼리하고 있음을 알려줍니다. 위협 작업자는 악의적으로 승인되지 않은 암호화폐 채굴로 용도를 변경하기 위해 컴퓨팅 리소스를 제어하려고 할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 EC2 인스턴스 또는 컨테이너를 사용하여 암호화폐를 채굴 또는 관리하거나 이 중 하나가 블록체인 활동에 관여한 경우, CryptoCurrency:Runtime/BitcoinTool.B\$1DNS 결과는 환경에 대한 예상된 활동일 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 **Finding type(결과 유형)** 속성과 `CryptoCurrency:Runtime/BitcoinTool.B!DNS` 값을 사용해야 합니다. 두 번째 필터 기준은 암호화폐 또는 블록체인 활동에 관여한 인스턴스의 **인스턴스 ID** 또는 컨테이너의 **컨테이너 이미지 ID**여야 합니다. 자세한 내용은 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)을 참조하세요.
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Backdoor:Runtime/C&CActivity.B\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 알려진 명령 및 제어 서버와 연결된 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 알려진 명령 및 제어(C&C) 서버와 연관된 도메인 이름을 쿼리하고 있음을 알려줍니다. 나열된 EC2 인스턴스 또는 컨테이너가 손상되었을 수 있습니다. 명령 및 제어(C&C) 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.
봇넷은 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스(PC, 서버, 모바일 디바이스 및 사물 인터넷 디바이스 포함)의 모음입니다. 일반적으로 봇넷은 멀웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 용도와 구조에 따라 C&C 서버가 분산 서비스 거부(DDoS) 공격을 시작하는 명령을 실행할 수도 있습니다.
**참고**
쿼리된 도메인 이름이 log4j와 관련된 경우 관련 결과의 필드에 다음 값이 포함됩니다.
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
**참고**
GuardDuty에서 이 결과 유형을 생성하는 방법을 테스트하려면 인스턴스(Linux용 `dig` 또는 Windows용 `nslookup` 사용)에서 테스트 도메인 `guarddutyc2activityb.com`에 대해 DNS 요청을 생성할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/BlackholeTraffic\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 블랙홀 IP 주소로 리디렉션 중인 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 블랙홀 IP 주소로 리디렉션되는 도메인 이름을 쿼리하고 있어 손상되었을 수 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/DropPoint\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 맬웨어를 통해 캡처된 자격 증명 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 맬웨어로 캡처된 자격 증명 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 도메인 이름을 AWS 쿼리하고 있음을 알려줍니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/DGADomainRequest.C\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 알고리즘을 통해 생성된 도메인을 쿼리하는 중입니다. 이러한 도메인은 일반적으로 맬웨어에서 사용되며 EC2 인스턴스 또는 컨테이너의 손상을 나타낼 수 있습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 도메인 생성 알고리즘(DGA) 도메인을 쿼리하려고 시도하고 있음을 알려줍니다. 리소스가 손상되었을 수 있습니다.
DGA는 C&C(명령 및 제어) 서버와의 랑데부 지점으로 사용할 수 있는 많은 수의 도메인 이름을 정기적으로 생성하는 데 사용됩니다. 명령 및 제어(C&C) 서버는 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스 모음인 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다. 감염된 컴퓨터가 업데이트 또는 명령을 수신하기 위해 매일 도메인 이름 중 일부에 접속을 시도하기 때문에 잠재적인 랑데부 지점이 많으면 봇넷을 효율적으로 종료하기가 어렵습니다.
**참고**
이 결과는 GuardDuty'의 위협 인텔리전스 피드에서 얻은 알려진 DGA 도메인을 토대로 합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/DriveBySourceTraffic\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 드라이브 바이 다운로드 공격의 알려진 소스인 원격 호스트의 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 드라이브 바이 다운로드 공격의 알려진 소스인 원격 호스트의 도메인 이름을 쿼리하고 있어 해당 프로세스가 손상되었을 가능성이 있음을 알려줍니다. 이는 인터넷에서 의도하지 않은 컴퓨터 소프트웨어 다운로드로, 바이러스, 스파이웨어 또는 맬웨어의 자동 설치를 시작할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Trojan:Runtime/PhishingDomainRequest\$1DNS
### Amazon EC2 인스턴스 또는 컨테이너가 피싱 공격과 관련된 도메인을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 피싱 공격에 연루된 도메인을 쿼리하려고 시도하고 있음을 알려줍니다. 피싱 도메인은 개인이 개인 식별 정보, 은행 및 신용 카드 세부 정보, 암호 등의 중요한 데이터 제공을 유도하기 위해 합법적인 기관으로 위장한 사람이 설정한 도메인입니다. EC2 인스턴스 또는 컨테이너에서 피싱 웹 사이트에 저장된 민감한 데이터를 검색하려고 하거나 피싱 웹 사이트를 설정하려고 할 수 있습니다. EC2 인스턴스 또는 컨테이너가 손상되었을 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Impact:Runtime/AbusedDomainRequest.Reputation
### Amazon EC2 인스턴스 또는 컨테이너가 알려진 악용된 도메인과 연결된 평판이 낮은 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 악용된 것으로 알려진 도메인 또는 IP 주소와 연관된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 악용된 도메인의 예로는 동적 DNS 공급자뿐 아니라 무료 하위 도메인 등록을 제공하는 최상위 도메인 이름(TLD) 및 2단계 도메인 이름(2LD) 등이 있습니다. 위협 행위자는 이러한 서비스를 활용하여 무료로 또는 저렴한 비용으로 도메인을 등록하는 경향이 있습니다. 이 범주에서 평판이 낮은 도메인은 등록 기관의 파킹 IP 주소로 확인되는 만료된 도메인일 수도 있으며, 그에 따라 더 이상 활성화되지 않을 수도 있습니다. 파킹 IP에서 등록 기관은 어떤 서비스와도 연결되지 않은 도메인의 트래픽을 전달합니다. 위협 작업자가 일반적으로 이러한 등록 기관 또는 서비스를 C&C 및 맬웨어 배포에 사용하기 때문에 나열된 Amazon EC2 인스턴스 또는 컨테이너가 손상될 수 있습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Impact:Runtime/BitcoinDomainRequest.Reputation
### Amazon EC2 인스턴스 또는 컨테이너가 암호화폐 관련 활동과 연결된 평판이 낮은 도메인 이름을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 비트코인 또는 기타 암호화폐 관련 활동과 연관된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 위협 작업자는 악의적으로 승인되지 않은 암호화폐 채굴로 용도를 변경하기 위해 컴퓨팅 리소스를 제어하려고 할 수 있습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 EC2 인스턴스 또는 컨테이너를 사용하여 암호화폐를 채굴 또는 관리하거나 이러한 리소스가 블록체인 활동에 관여한 경우, 결과는 환경에 대한 예상된 활동을 나타낼 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 필터 기준에는 **결과 유형** 속성과 `Impact:Runtime/BitcoinDomainRequest.Reputation` 값을 사용해야 합니다. 두 번째 필터 기준은 암호화폐 또는 블록체인 관련 활동에 관여한 인스턴스의 **인스턴스 ID** 또는 컨테이너의 **컨테이너 이미지 ID**여야 합니다. 자세한 내용은 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)을 참조하세요.
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Impact:Runtime/MaliciousDomainRequest.Reputation
### Amazon EC2 인스턴스 또는 컨테이너가 알려진 악성 도메인과 연결된 평판이 낮은 도메인을 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 악성으로 알려진 도메인 또는 IP 주소와 연관된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 예를 들어 도메인이 알려진 싱크홀 IP 주소와 연결되어 있을 수 있습니다. 싱크홀 도메인은 이전에 위협 작업자가 통제한 도메인으로, 이러한 도메인에 대한 요청은 인스턴스 손상을 나타낼 수 있습니다. 이러한 도메인은 알려진 악성 캠페인 또는 도메인 생성 알고리즘과도 상관관계가 있을 수 있습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Impact:Runtime/SuspiciousDomainRequest.Reputation
### Amazon EC2 인스턴스 또는 컨테이너의 수명 또는 적은 사용으로 인해 의심스러운 평판이 낮은 도메인 이름을 쿼리하고 있습니다.
**기본 심각도: 낮음**
+ **특성: **Runtime Monitoring
이 조사 결과는 나열된 EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행 중인 프로세스가 악성으로 의심되는 낮은 평판의 도메인 이름을 쿼리하고 있음을 알려줍니다. 이 도메인에서 관찰된 특성은 이전에 관찰된 악성 도메인과 일치했습니다. 그러나 당사의 평판 모델은 이를 알려진 위협과 명확히 연관 짓지 못했습니다. 이러한 도메인은 대체로 새로 관찰되었거나 트래픽이 적습니다.
평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## UnauthorizedAccess:Runtime/MetadataDNSRebind
### Amazon EC2 인스턴스 또는 컨테이너가 인스턴스 메타데이터 서비스로 확인되는 DNS 조회를 수행하고 있습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
**참고**
현재 이 검색 유형은 AMD64 아키텍처에서만 지원됩니다.
이 결과는 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 EC2 메타데이터 IP 주소(169.254.169.254)로 확인되는 도메인을 AWS 쿼리하고 있음을 알려줍니다. 이러한 종류의 DNS 쿼리는 인스턴스가 DNS 리바인딩 기술의 대상임을 나타낼 수 있습니다. 이 기술은 인스턴스와 연결된 IAM 보안 인증 정보를 포함하여 EC2 인스턴스의 메타데이터를 가져오는 데 사용할 수 있습니다.
DNS 리바인딩은 URL의 도메인 이름이 EC2 메타데이터 IP 주소(`169.254.169.254`)로 확인되는 URL의 리턴 데이터를 로드하도록 EC2 인스턴스에서 실행 중인 애플리케이션을 속이는 작업이 포함됩니다. 이렇게 하면 애플리케이션에서 EC2 메타데이터에 액세스하여 공격자가 사용 가능하도록 만듭니다.
EC2 인스턴스가 URL을 삽입할 수 있도록 취약한 애플리케이션을 실행 중인 경우 또는 다른 누군가가 EC2 인스턴스에서 실행 중인 웹 브라우저에서 URL에 액세스하는 경우에만 DNS 리바인딩을 사용하여 EC2 메타데이터에 액세스할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 결과에 대한 응답으로, EC2 인스턴스 또는 컨테이너에서 실행 중인 취약한 애플리케이션이 있는지 여부 또는 다른 누군가가 브라우저를 사용하여 결과에서 확인된 도메인에 액세스했는지 여부를 평가해야 합니다. 근본 원인이 취약한 애플리케이션인 경우 취약성을 수정합니다. 누군가 식별된 도메인을 검색한 경우 도메인을 차단하거나 사용자 액세스를 방지합니다. 결과가 위의 경우 중 하나와 관련된 것으로 확인된다면 [EC2 인스턴스와 연결된 세션을 취소](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)하세요.
일부 AWS 고객은 의도적으로 메타데이터 IP 주소를 신뢰할 수 있는 DNS 서버의 도메인 이름에 매핑합니다. 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 필터 기준에는 **결과 유형** 속성과 `UnauthorizedAccess:Runtime/MetaDataDNSRebind` 값을 사용해야 합니다. 두 번째 필터 기준은 컨테이너의 **DNS 요청 도메인** 또는 **컨테이너 이미지 ID**여야 합니다. **DNS 요청 도메인** 값은 메타데이터 IP 주소(`169.254.169.254`)에 매핑한 도메인과 일치해야 합니다. 억제 규칙 작성에 대한 내용은 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)을 참조하세요.
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Execution:Runtime/NewBinaryExecuted
### 컨테이너에서 새로 생성되었거나 최근에 수정된 바이너리 파일이 실행되었습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 컨테이너에서 새로 생성되었거나 최근에 수정된 바이너리 파일이 실행되었음을 알려줍니다. 런타임 시 컨테이너를 변경할 수 없도록 유지하는 것이 가장 좋으며, 컨테이너의 수명 동안 바이너리 파일, 스크립트 또는 라이브러리를 생성 또는 수정해서는 안 됩니다. 이 동작은 컨테이너에 액세스한 악의적인 공격자가 잠재적 침해의 일부로 맬웨어 또는 기타 소프트웨어를 다운로드하고 실행했음을 나타냅니다. 이러한 유형의 활동은 보안 침해의 징후일 수 있지만, 일반적인 사용 패턴이기도 합니다. 따라서 GuardDuty는 메커니즘을 사용하여 이 활동의 의심스러운 인스턴스를 식별하고 의심스러운 인스턴스에 대해서만 이 발견 유형을 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 수정 프로세스와 새 바이너리를 식별하려면 **수정 프로세스** 세부 정보 및 **프로세스** 세부 정보를 확인합니다.
수정 프로세스의 세부 정보는 결과 JSON의 `service.runtimeDetails.context.modifyingProcess` 필드 또는 결과 세부 정보 패널의 **수정 프로세스** 아래에 포함됩니다. 이 검색 유형에서 수정 프로세스는 `service.runtimeDetails.context.modifyingProcess.executablePath` 검색 JSON의 필드 또는 검색 세부 정보 패널의 **수정 프로세스**의 일부로 식별되는 `/usr/bin/dpkg`입니다.
실행된 새 바이너리 또는 수정된 바이너리의 세부 정보는 검색된 JSON의 `service.runtimeDetails.process` 또는 **런타임 세부 정보** 아래의 **프로세스** 섹션에 포함되어 있습니다. 이 검색 유형에서 새 바이너리 또는 수정된 바이너리는 `service.runtimeDetails.process.executablePath`(**실행 경로**) 필드에 표시된 대로 `/usr/bin/python3.8`입니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/DockerSocketAccessed
### 컨테이너 내부의 프로세스가 Docker 소켓을 사용하여 Docker 대몬과 통신하고 있습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
Docker 소켓은 Docker 대몬(`dockerd`)이 클라이언트와 통신하는 데 사용하는 Unix 도메인 소켓입니다. 클라이언트는 Docker 소켓을 통해 Docker 대몬과 통신하여 컨테이너를 생성하는 등의 다양한 작업을 수행할 수 있습니다. 컨테이너 프로세스가 Docker 소켓에 액세스하는 것으로 의심됩니다. 컨테이너 프로세스는 Docker 소켓과 통신하고 권한이 있는 컨테이너를 생성하여 컨테이너를 이스케이프하고 호스트 수준의 액세스 권한을 얻을 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/RuncContainerEscape
### runC를 통한 컨테이너 탈출 시도가 감지되었습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
RunC는 컨테이너를 생성하고 실행하기 위해 Docker 및 Container와 같은 상위 컨테이너 런타임이 사용하는 로우레벨 컨테이너 런타임입니다. 컨테이너를 만드는 저수준 작업을 수행해야 하므로 RunC는 항상 루트 권한으로 실행됩니다. 위협 행위자는 runC 바이너리의 취약성을 수정하거나 악용하여 호스트 수준 액세스를 얻을 수 있습니다.
이 발견은 runC 바이너리의 수정과 다음과 같은 runC 취약점을 악용하려는 잠재적 시도를 탐지합니다.
+ [https://nvd.nist.gov/vuln/detail/CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736) - CVE-2019-5736의 악용에는 컨테이너 내에서 runC 바이너리를 덮어쓰는 작업이 포함됩니다. 이 결과는 runC 바이너리가 컨테이너 내부의 프로세스에 의해 수정될 때 호출됩니다.
+ [https://nvd.nist.gov/vuln/detail/CVE-2024-21626](https://nvd.nist.gov/vuln/detail/CVE-2024-21626) - CVE-2024-21626의 악용에는 현재 작업 디렉터리(CWD) 또는 컨테이너를 열린 파일 설명자 `/proc/self/fd/FileDescriptor`로 설정하는 작업이 포함됩니다. 이 검색은 현재 작업 디렉터리가 `/proc/self/fd/`인 컨테이너 프로세스(예: `/proc/self/fd/7`)가 감지될 때 호출됩니다.
이 발견은 악의적인 공격자가 다음 유형의 컨테이너 중 하나에서 익스플로잇을 시도했음을 나타낼 수 있습니다.
+ 공격자 제어 이미지가 포함된 새 컨테이너.
+ 호스트 레벨 runC 바이너리에 대한 쓰기 권한이 있는 액터가 액세스할 수 있는 기존 컨테이너입니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
### CGroups 릴리스 에이전트를 통한 컨테이너 탈출 시도가 감지되었습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 결과는 제어 그룹(cgroup) 릴리스 에이전트 파일을 수정하려는 시도가 탐지되었음을 알려줍니다. Linux는 제어 그룹(cgroup)을 사용하여 프로세스 컬렉션의 리소스 사용을 제한, 처리 및 격리합니다. 각 cgroup에는 cgroup 내부의 프로세스가 종료될 때 Linux에서 실행하는 스크립트인 릴리스 에이전트 파일(`release_agent`)이 있습니다. 릴리스 에이전트 파일은 항상 호스트 수준에서 실행됩니다. 컨테이너 내부의 위협 작업자는 cgroup에 속하는 릴리스 에이전트 파일에 임의의 명령을 작성하여 호스트로 이스케이프할 수 있습니다. 해당 cgroup 내부의 프로세스가 종료되면 해당 작업자가 작성한 명령이 실행됩니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## DefenseEvasion:Runtime/ProcessInjection.Proc
### proc 파일 시스템을 사용한 프로세스 주입이 컨테이너 또는 Amazon EC2 인스턴스에서 탐지되었습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
프로세스 주입은 위협 작업자가 프로세스에 코드를 주입하여 방어를 우회하고 잠재적으로 권한을 상승시키는 데 사용하는 기법입니다. proc 파일 시스템(procfs)은 프로세스의 가상 메모리를 파일로 표시하는 Linux의 특수 파일 시스템입니다. 해당 파일의 경로는 `/proc/PID/mem`으로, `PID`는 프로세스의 고유한 ID입니다. 위협 작업자는 이 파일에 쓰고 프로세스에 코드를 삽입할 수 있습니다. 이 결과는 이 파일에 대한 잠재적 쓰기 시도를 식별합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스 유형이 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## DefenseEvasion:Runtime/ProcessInjection.Ptrace
### ptrace 시스템 호출을 사용한 프로세스 주입이 컨테이너 또는 Amazon EC2 인스턴스에서 탐지되었습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
프로세스 주입은 위협 작업자가 프로세스에 코드를 주입하여 방어를 우회하고 잠재적으로 권한을 상승시키는 데 사용하는 기법입니다. 프로세스는 ptrace 시스템 호출을 사용하여 다른 프로세스에 코드를 주입할 수 있습니다. 이 결과는 ptrace 시스템 호출을 사용하여 프로세스에 코드를 주입하려는 잠재적 시도를 식별합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스 유형이 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
### 컨테이너 또는 Amazon EC2 인스턴스에서 가상 메모리에 직접 쓰기를 통한 프로세스 주입이 탐지되었습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
프로세스 주입은 위협 작업자가 프로세스에 코드를 주입하여 방어를 우회하고 잠재적으로 권한을 상승시키는 데 사용하는 기법입니다. 프로세스는 `process_vm_writev`와 같은 시스템 호출을 사용하여 다른 프로세스의 가상 메모리에 코드를 직접 주입할 수 있습니다. 이 결과는 프로세스의 가상 메모리에 쓰기 위한 시스템 호출을 사용하여 프로세스에 코드를 주입하려는 잠재적 시도를 식별합니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스 유형이 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Execution:Runtime/ReverseShell
### 컨테이너 또는 Amazon EC2 인스턴스의 프로세스가 리버스 쉘을 생성했습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
리버스 쉘은 대상 호스트에서 작업자의 호스트로 시작되는 연결에서 생성된 쉘 세션입니다. 이는 작업자의 호스트에서 대상 호스트로 시작되는 일반 쉘과는 반대 방향입니다. 위협 작업자는 대상에 대한 초기 액세스 권한을 획득한 후 리버스 쉘을 생성하여 대상에 명령을 실행합니다. 이 조사 결과는 잠재적으로 의심스러운 리버스 쉘 연결을 식별합니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하고 관련 활동 및 컨텍스트가 비정상적이거나 의심스러운 것으로 드러나는 경우에만 이 조사 결과 유형을 생성합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
GuardDuty 보안 에이전트는 여러 소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 이 활동이 예기치 않게 발생한 경우 리소스 유형이 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## DefenseEvasion:Runtime/FilelessExecution
### 컨테이너 또는 Amazon EC2 인스턴스의 프로세스가 메모리에서 코드를 실행하고 있습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 디스크의 메모리 내 실행 파일을 사용하여 프로세스가 실행되는 상황을 알립니다. 이는 파일 시스템 스캔 기반 탐지를 우회하기 위해 악성 실행 파일을 디스크에 쓰는 것을 방지하는 일반적인 방어 우회 기법입니다. 이 기법은 맬웨어에서 사용되지만 일부 합법적인 사용 사례도 있습니다. 컴파일된 코드를 메모리에 쓰고 메모리에서 실행하는 Just-in-Time(JIT) 컴파일러를 예로 들 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Impact:Runtime/CryptoMinerExecuted
### 컨테이너 또는 Amazon EC2 인스턴스가 암호화폐 채굴 활동과 연결된 바이너리 파일을 실행하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 결과는 AWS 환경의 나열된 EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 암호화폐 채굴 활동과 연결된 이진 파일을 실행하고 있음을 알려줍니다. 위협 작업자는 악의적으로 승인되지 않은 암호화폐 채굴로 용도를 변경하기 위해 컴퓨팅 리소스를 제어하려고 할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 패널에서 **리소스 유형**을 확인합니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 결과 세부 정보에서 **리소스 유형**을 확인하고 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 섹션을 참조하세요.
## Execution:Runtime/NewLibraryLoaded
### 새로 생성되거나 최근에 수정된 라이브러리가 컨테이너 내부의 프로세스에 의해 로드되었습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 라이브러리가 런타임 중에 컨테이너 내부에서 생성 또는 수정되었고 컨테이너 내부에서 실행 중인 프로세스에 의해 로드되었음을 알려줍니다. 런타임 시 컨테이너를 변경할 수 없도록 유지하고, 컨테이너의 수명 동안 바이너리 파일, 스크립트 또는 라이브러리를 생성 또는 수정할 수 없도록 하는 것이 좋습니다. 새로 생성하거나 수정된 라이브러리를 컨테이너에 로드하는 것은 의심스러운 활동을 의미할 수 있습니다. 이 동작은 악의적인 작업자가 컨테이너에 대한 액세스 권한을 획득하고 잠재적 침해의 일환으로 맬웨어 또는 기타 소프트웨어를 다운로드하고 실행했음을 나타냅니다. 이러한 유형의 활동은 보안 침해의 징후일 수 있지만, 일반적인 사용 패턴이기도 합니다. 따라서 GuardDuty는 메커니즘을 사용하여 이 활동의 의심스러운 인스턴스를 식별하고 의심스러운 인스턴스에 대해서만 이 발견 유형을 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
### 컨테이너 내부의 프로세스가 런타임 시 호스트 파일 시스템을 탑재했습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
여러 컨테이너 이스케이프 기법에는 런타임 시 컨테이너 내부에 호스트 파일 시스템을 탑재하는 과정이 포함됩니다. 이 결과는 컨테이너 내부의 프로세스가 호스트 파일 시스템을 탑재하려고 시도했을 가능성이 있음을 알려주며, 이는 호스트로 이스케이프하려는 시도를 의미할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/UserfaultfdUsage
### 프로세스에서 `userfaultfd` 시스템 호출을 사용하여 사용자 공간의 페이지 장애를 처리했습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
대체로 페이지 장애는 커널 공간의 커널에서 처리합니다. 하지만 `userfaultfd` 시스템 호출을 통해 프로세스에서 사용자 공간에 있는 파일 시스템의 페이지 장애를 처리할 수 있습니다. 이는 사용자 공간 파일 시스템 구현을 가능하게 하는 유용한 기능입니다. 반대로 잠재적으로 악의적인 프로세스가 사용자 공간에서 커널을 중단시키는 데 사용될 수도 있습니다. `userfaultfd` 시스템 호출을 사용하여 커널을 중단하는 것은 커널 교착 조건을 악용하는 동안 교착 기간을 연장하기 위한 일반적인 악용 기법입니다. `userfaultfd` 사용은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서의 의심스러운 활동을 나타낼 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Execution:Runtime/SuspiciousTool
### 컨테이너 또는 Amazon EC2 인스턴스가 펜테스팅 참여와 같은 공격적인 보안 시나리오에서 자주 사용되는 바이너리 파일 또는 스크립트를 실행 중입니다.
**기본 심각도: 가변적**
이 발견의 심각도는 탐지된 의심스러운 도구가 이중 사용으로 간주되는지 또는 공격적인 용도로만 사용되는지 여부에 따라 높거나 낮을 수 있습니다.
+ **특성: **Runtime Monitoring
이 결과는 AWS 환경 내의 EC2 인스턴스 또는 컨테이너에서 의심스러운 도구가 실행되었음을 알려줍니다. 여기에는 백도어 도구, 네트워크 스캐너 및 네트워크 스니퍼라고도 하는 펜 테스트 참여에 사용되는 도구가 포함됩니다. 이러한 모든 도구는 선의의 맥락에서 사용될 수 있지만 악의적인 의도를 가진 위협 행위자들에 의해 자주 사용되기도 합니다. 공격적인 보안 도구가 관찰되면 관련 EC2 인스턴스 또는 컨테이너가 손상되었음을 나타낼 수 있습니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하여 관련 활동 및 컨텍스트가 잠재적으로 의심스러운 경우에만 이 결과를 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Execution:Runtime/SuspiciousCommand
### 의심스러운 명령이 Amazon EC2 인스턴스 또는 컨테이너에서 실행되어 감염을 나타내는 경우.
**기본 심각도: 가변적**
관찰된 악성 패턴의 영향에 따라 이 발견 유형의 심각도는 낮음, 중간 또는 높음으로 표시될 수 있습니다.
+ **특성: **Runtime Monitoring
이 결과는 의심스러운 명령이 실행되었음을 알리고 AWS 환경의 Amazon EC2 인스턴스 또는 컨테이너가 손상되었음을 나타냅니다. 이는 의심스러운 소스에서 파일을 다운로드한 후 실행했거나 실행 중인 프로세스가 명령줄에 알려진 악성 패턴을 표시하는 것을 의미할 수 있습니다. 또한 시스템에서 맬웨어가 실행 중임을 나타냅니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하여 관련 활동 및 컨텍스트가 잠재적으로 의심스러운 경우에만 이 결과를 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
**참고**
프로세스 명령줄 인수에는 민감한 데이터가 포함될 수 있습니다. 민감한 데이터를 보호하기 위해 GuardDuty 런타임 모니터링 결과에는 전체 명령줄 인수가 포함되지 않습니다. 대신는 결과를 생성한 명령줄 패턴의 대표적인 예를 `Service.RuntimeDetails.Context.CommandLineExample` 제공합니다.
## DefenseEvasion:Runtime/SuspiciousCommand
### 나열된 Amazon EC2 인스턴스 또는 컨테이너에서 명령이 실행되어 방화벽 또는 필수 시스템 서비스와 같은 Linux 방어 메커니즘을 수정하거나 비활성화하려고 시도합니다.
**기본 심각도: 가변적**
수정 또는 비활성화된 방어 메커니즘에 따라 이 발견 유형의 심각도는 높음, 중간 또는 낮음으로 표시될 수 있습니다.
+ **특성: **Runtime Monitoring
이 발견은 로컬 시스템의 보안 서비스에서 공격을 숨기려는 명령이 실행되었음을 알려줍니다. 여기에는 Unix 방화벽 비활성화, 로컬 IP 테이블 수정, crontab 항목 제거, 로컬 서비스 비활성화 또는 `LDPreload` 함수 인수와 같은 작업이 포함됩니다. 모든 수정은 매우 의심스러운 행위이며 잠재적인 침해의 징후입니다. 따라서 이러한 메커니즘은 시스템의 추가 손상을 감지하거나 방지합니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하여 관련 활동 및 컨텍스트가 잠재적으로 의심스러운 경우에만 이 결과를 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인합니다. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## DefenseEvasion:Runtime/PtraceAntiDebugging
### 컨테이너 또는 Amazon EC2 인스턴스의 프로세스가 ptrace 시스템 호출을 사용하여 디버깅 방지 조치를 실행했습니다.
**기본 심각도: 낮음**
+ **특성: **Runtime Monitoring
이 조사 결과는 AWS 환경 내의 나열된 Amazon EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 `PTRACE_TRACEME` 옵션과 함께 추적 시스템 호출을 사용했음을 보여줍니다. 이 활동으로 인해 연결된 디버거가 실행 중인 프로세스에서 분리될 수 있습니다. 디버거가 연결되지 않은 경우 효과가 없습니다. 그러나 활동 자체가 의심을 불러일으킵니다. 이는 시스템에서 맬웨어가 실행 중임을 나타낼 수 있습니다. 멀웨어는 분석을 회피하기 위해 안티 디버깅 기술을 자주 사용하며, 이러한 기술은 런타임에 탐지될 수 있습니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하여 관련 활동 및 컨텍스트가 잠재적으로 의심스러운 경우에만 이 결과를 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Execution:Runtime/MaliciousFileExecuted
### 알려진 악성 실행 파일이 Amazon EC2 인스턴스 또는 컨테이너에서 실행되었습니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 결과는 환경 내의 Amazon EC2 인스턴스 또는 컨테이너에서 알려진 악성 실행 파일이 실행되었음을 알려줍니다 AWS . 이는 인스턴스 또는 컨테이너가 잠재적으로 손상되어 멀웨어가 실행되었음을 나타내는 강력한 지표입니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하여 관련 활동 및 컨텍스트가 잠재적으로 의심스러운 경우에만 이 결과를 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Execution:Runtime/SuspiciousShellCreated
### Amazon EC2 인스턴스 또는 컨테이너의 네트워크 서비스 또는 네트워크 액세스 가능 프로세스가 대화형 셸 프로세스를 시작했습니다.
**기본 심각도: 낮음**
+ **특성: **Runtime Monitoring
이 결과는 Amazon EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 네트워크에 액세스할 수 있는 서비스가 대화형 셸을 시작했음을 알려줍니다. 특정 상황에서는 이 시나리오가 익스플로잇 이후의 행동을 나타낼 수 있습니다. 대화형 쉘을 사용하면 공격자가 손상된 인스턴스 또는 컨테이너에서 임의 명령을 실행할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다. 상위 프로세스 세부 정보에서 네트워크 액세스 가능 프로세스 정보를 볼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/ElevationToRoot
### 나열된 Amazon EC2 인스턴스 또는 컨테이너에서 실행되는 프로세스가 루트 권한을 맡았습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 AWS 환경 내 나열된 Amazon EC2 또는 나열된 컨테이너에서 실행되는 프로세스가 비정상적이거나 의심스러운 `setuid` 바이너리 실행을 통해 루트 권한을 수임했음을 알려줍니다. 이는 실행 중인 프로세스가 악용 또는 `setuid` 악용을 통해 EC2 인스턴스에 대해 잠재적으로 손상되었음을 나타냅니다. 공격자는 루트 권한을 사용하여 인스턴스 또는 컨테이너에서 명령을 실행할 수 있습니다.
GuardDuty는 `sudo` 명령의 정기적인 사용과 관련된 활동에 대해 이 결과 유형을 생성하지 않도록 설계되었지만 활동이 비정상적이거나 의심스러운 것으로 식별되면 이 결과를 생성합니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하고 관련 활동 및 컨텍스트가 비정상적이거나 의심스러운 경우에만 이 발견 유형을 생성합니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Discovery:Runtime/SuspiciousCommand
### 의심스러운 명령이 Amazon EC2 인스턴스 또는 컨테이너에서 실행되어 공격자가 로컬 시스템, 주변 AWS 인프라 또는 컨테이너 인프라에 대한 정보를 얻을 수 있습니다.
**기본 심각도: 낮음**
**특성: **Runtime Monitoring
이 조사 결과는 나열된 Amazon EC2 인스턴스 또는 AWS 환경의 컨테이너에서 실행 중인 프로세스가 공격자에게 공격을 진행할 수 있는 중요한 정보를 제공할 수 있는 명령어를 실행했음을 알려줍니다. 다음 정보가 검색되었을 수 있습니다.
+ 사용자 또는 네트워크 구성과 같은 로컬 시스템
+ 기타 사용 가능한 AWS 리소스 및 권한 또는
+ 서비스 및 포드와 같은 Kubernetes 인프라.
발견 세부 정보에 나열된 Amazon EC2 인스턴스 또는 컨테이너가 손상되었을 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스 유형의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인합니다. 의심스러운 명령에 대한 세부 정보는 결과 JSON의 `service.runtimeDetails.context` 필드에서 확인할 수 있습니다. 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## Persistence:Runtime/SuspiciousCommand
### 의심스러운 명령이 Amazon EC2 인스턴스 또는 컨테이너에서 실행되어 공격자가 AWS 환경에서 액세스 및 제어를 유지할 수 있습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 나열된 Amazon EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행되는 프로세스가 의심스러운 명령을 실행했음을 알려줍니다. 이 명령은 멀웨어가 중단 없이 실행되도록 하거나 공격자가 잠재적으로 손상된 인스턴스 또는 컨테이너 리소스 유형에 지속적으로 액세스할 수 있도록 하는 지속성 메서드를 설치합니다. 이는 잠재적으로 시스템 서비스가 설치 또는 수정되었거나, `crontab`가 수정되었거나, 새 사용자가 시스템 구성에 추가되었음을 의미할 수 있습니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하고 관련 활동 및 컨텍스트가 비정상적이거나 의심스러운 경우에만 이 발견 유형을 생성합니다.
발견 세부 정보에 나열된 Amazon EC2 인스턴스 또는 컨테이너가 손상되었을 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 잠재적으로 손상된 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인합니다. 의심스러운 명령에 대한 세부 정보는 결과 JSON의 `service.runtimeDetails.context` 필드에서 확인할 수 있습니다. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## PrivilegeEscalation:Runtime/SuspiciousCommand
### 의심스러운 명령이 Amazon EC2 인스턴스 또는 컨테이너에서 실행되어 공격자가 권한을 에스컬레이션할 수 있습니다.
**기본 심각도: 중간**
+ **특성: **Runtime Monitoring
이 결과는 나열된 Amazon EC2 인스턴스 또는 AWS 환경 내 컨테이너에서 실행되는 프로세스가 의심스러운 명령을 실행했음을 알려줍니다. 이 명령은 권한 상승을 시도하여 공격자가 높은 권한의 작업을 수행할 수 있도록 합니다.
GuardDuty는 관련 런타임 활동 및 컨텍스트를 검사하고 관련 활동 및 컨텍스트가 비정상적이거나 의심스러운 경우에만 이 발견 유형을 생성합니다.
발견 세부 정보에 나열된 Amazon EC2 인스턴스 또는 컨테이너가 손상되었을 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
## DefenseEvasion:Runtime/KernelModuleLoaded
### Amazon EC2 인스턴스에 커널 모듈이 로드되었으며, 이는 커널 수준 액세스 권한 획득 시도를 나타냅니다.
**기본 심각도: 높음**
+ **특성: **Runtime Monitoring
이 결과는 나열된 EC2 인스턴스에 커널 모듈이 로드되었음을 나타냅니다. 커널 모듈은 시스템 수준 권한이 가장 높기 때문에(링 0) 위협 행위자가 커널 수준 액세스 권한을 획득했음을 나타낼 수 있습니다. 이 수준의 액세스를 통해 시스템을 완벽하게 제어할 수 있습니다.
GuardDuty 런타임 에이전트는 여러 리소스의 이벤트를 모니터링합니다. 영향을 받는 리소스를 식별하려면 GuardDuty 콘솔의 조사 결과 세부 정보에서 **리소스 유형**을 확인하세요. 해당되는 경우, 프로세스 및 프로세스 계보 정보를 포함한 추가 컨텍스트는 추가 조사를 위한 조사 결과에서 확인할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 리소스가 손상되었을 수 있습니다. 자세한 내용은 [런타임 모니터링 조사 결과 해결](guardduty-remediate-runtime-monitoring.md) 단원을 참조하십시오.
# EC2용 맬웨어 보호 결과 유형
EC2용 GuardDuty 맬웨어 보호는 EC2 인스턴스 또는 컨테이너 워크로드를 검사하는 동안 탐지된 모든 위협에 대해 단일 EC2용 맬웨어 보호 기능을 제공합니다. 결과에는 스캔 중에 발견된 총 탐지 수가 포함되고, 심각도에 따라 탐지된 상위 32개 위협에 대한 세부 정보가 제공됩니다. 다른 EC2용 GuardDuty 조사 결과와 달리 맬웨어 보호 조사 결과는 동일한 EC2 인스턴스 또는 컨테이너 워크로드를 다시 스캔해도 업데이트되지 않습니다.
멀웨어를 탐지하는 각 검사에 대해 새로운 EC2용 멀웨어 보호 발견이 생성됩니다. EC2용 맬웨어 보호 조사 결과에는 조사 결과를 생성한 해당 스캔과 이 스캔을 시작한 GuardDuty 조사 결과에 대한 정보가 포함됩니다. 이를 통해 의심스러운 동작을 탐지된 맬웨어와 쉽게 연관시킬 수 있습니다.
**참고**
GuardDuty가 컨테이너 워크로드에서 악성 활동을 탐지하는 경우 EC2용 맬웨어 보호를 EC2 수준의 결과를 생성하지 않습니다.
다음 조사 결과는 EC2용 GuardDuty 맬웨어 보호에만 해당됩니다.
**Topics**
+ [Execution:EC2/MaliciousFile](#execution-malware-ec2-maliciousfile)
+ [Execution:ECS/MaliciousFile](#execution-malware-ecs-maliciousfile)
+ [Execution:Kubernetes/MaliciousFile](#execution-malware-kubernetes-maliciousfile)
+ [Execution:Container/MaliciousFile](#execution-malware-container-maliciousfile)
+ [Execution:EC2/SuspiciousFile](#execution-malware-ec2-suspiciousfile)
+ [Execution:ECS/SuspiciousFile](#execution-malware-ecs-suspiciousfile)
+ [Execution:Kubernetes/SuspiciousFile](#execution-malware-kubernetes-suspiciousfile)
+ [Execution:Container/SuspiciousFile](#execution-malware-container-suspiciousfile)
## Execution:EC2/MaliciousFile
### EC2 인스턴스에서 악성 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔이 AWS 환경 내에 나열된 EC2 인스턴스에서 하나 이상의 악성 파일을 감지했음을 나타냅니다. 나열된 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Execution:ECS/MaliciousFile
### ECS 클러스터에서 악성 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔에서 ECS 클러스터에 속하는 컨테이너 워크로드에서 하나 이상의 악성 파일을 탐지했음을 나타냅니다. 자세한 내용은 조사 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 ECS 클러스터에 속한 컨테이너가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 ECS 클러스터 해결](compromised-ecs.md) 단원을 참조하십시오.
## Execution:Kubernetes/MaliciousFile
### Kubernetes 클러스터에서 악성 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔에서 Kubernetes 클러스터에 속하는 컨테이너 워크로드에서 하나 이상의 악성 파일을 탐지했음을 나타냅니다. EKS 관리형 클러스터인 경우 결과 세부 정보에는 영향을 받는 EKS 리소스에 대한 추가 정보가 제공됩니다. 자세한 내용은 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 컨테이너 워크로드가 손상되었을 수 있습니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Execution:Container/MaliciousFile
### 독립형 컨테이너에서 악성 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔에서 컨테이너 워크로드에서 하나 이상의 악성 파일을 탐지했고 클러스터 정보가 식별되지 않았음을 나타냅니다. 자세한 내용은 조사 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 컨테이너 워크로드가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 독립형 컨테이너 문제 해결](remediate-compromised-standalone-container.md) 단원을 참조하십시오.
## Execution:EC2/SuspiciousFile
### EC2 인스턴스에서 의심스러운 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔이 EC2 인스턴스에서 하나 이상의 의심스러운 파일을 탐지했음을 나타냅니다. 자세한 내용은 조사 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
`SuspiciousFile` 유형 탐지는 영향을 받는 리소스에 애드웨어, 스파이웨어 또는 이중 용도 도구와 같은 잠재적으로 원치 않는 프로그램이 존재함을 나타냅니다. 이러한 프로그램은 리소스에 부정적인 영향을 미치거나 공격자가 악의적인 용도로 사용할 수 있습니다. 예를 들어 공격자는 네트워크 도구를 합법적으로 또는 악의적으로 사용하여 리소스를 손상시키려는 해킹 도구로 사용할 수 있습니다.
의심스러운 파일이 감지되면 AWS 환경에서 감지된 파일이 표시될 것으로 예상되는지 평가합니다. 예상하지 못한 파일인 경우 다음 섹션의 해결 권장 사항을 따르세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Execution:ECS/SuspiciousFile
### ECS 클러스터에서 의심스러운 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔에서 ECS 클러스터에 속하는 컨테이너에서 하나 이상의 의심스러운 파일을 탐지했음을 나타냅니다. 자세한 내용은 조사 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
`SuspiciousFile` 유형 탐지는 영향을 받는 리소스에 애드웨어, 스파이웨어 또는 이중 용도 도구와 같은 잠재적으로 원치 않는 프로그램이 존재함을 나타냅니다. 이러한 프로그램은 리소스에 부정적인 영향을 미치거나 공격자가 악의적인 용도로 사용할 수 있습니다. 예를 들어 공격자는 네트워크 도구를 합법적으로 또는 악의적으로 사용하여 리소스를 손상시키려는 해킹 도구로 사용할 수 있습니다.
의심스러운 파일이 감지되면 AWS 환경에서 감지된 파일이 표시될 것으로 예상되는지 평가합니다. 예상하지 못한 파일인 경우 다음 섹션의 해결 권장 사항을 따르세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 ECS 클러스터에 속한 컨테이너가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 ECS 클러스터 해결](compromised-ecs.md) 단원을 참조하십시오.
## Execution:Kubernetes/SuspiciousFile
### Kubernetes 클러스터에서 의심스러운 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔에서 Kubernetes 클러스터에 속하는 컨테이너에서 하나 이상의 의심스러운 파일을 탐지했음을 나타냅니다. EKS 관리형 클러스터인 경우 결과 세부 정보에는 영향을 받는 EKS에 대한 추가 정보가 제공됩니다. 자세한 내용은 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
`SuspiciousFile` 유형 탐지는 영향을 받는 리소스에 애드웨어, 스파이웨어 또는 이중 용도 도구와 같은 잠재적으로 원치 않는 프로그램이 존재함을 나타냅니다. 이러한 프로그램은 리소스에 부정적인 영향을 미치거나 공격자가 악의적인 용도로 사용할 수 있습니다. 예를 들어 공격자는 네트워크 도구를 합법적으로 또는 악의적으로 사용하여 리소스를 손상시키려는 해킹 도구로 사용할 수 있습니다.
의심스러운 파일이 감지되면 AWS 환경에서 감지된 파일이 표시될 것으로 예상되는지 평가합니다. 예상하지 못한 파일인 경우 다음 섹션의 해결 권장 사항을 따르세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 컨테이너 워크로드가 손상되었을 수 있습니다. 자세한 내용은 [EKS 보호 조사 결과 해결](guardduty-remediate-kubernetes.md) 단원을 참조하십시오.
## Execution:Container/SuspiciousFile
### 독립형 컨테이너에서 의심스러운 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **EBS 멀웨어 방지
이 결과는 EC2용 GuardDuty 맬웨어 보호 스캔에서 클러스터 정보가 없는 컨테이너에서 하나 이상의 의심스러운 파일을 탐지했음을 나타냅니다. 자세한 내용은 조사 결과 세부 정보의 **탐지된 위협** 섹션을 참조하세요.
`SuspiciousFile` 유형 탐지는 영향을 받는 리소스에 애드웨어, 스파이웨어 또는 이중 용도 도구와 같은 잠재적으로 원치 않는 프로그램이 존재함을 나타냅니다. 이러한 프로그램은 리소스에 부정적인 영향을 미치거나 공격자가 악의적인 용도로 사용할 수 있습니다. 예를 들어 공격자는 네트워크 도구를 합법적으로 또는 악의적으로 사용하여 리소스를 손상시키려는 해킹 도구로 사용할 수 있습니다.
의심스러운 파일이 감지되면 AWS 환경에서 감지된 파일이 표시될 것으로 예상되는지 평가합니다. 예상하지 못한 파일인 경우 다음 섹션의 해결 권장 사항을 따르세요.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 컨테이너 워크로드가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 독립형 컨테이너 문제 해결](remediate-compromised-standalone-container.md) 단원을 참조하십시오.
# S3용 맬웨어 보호 결과 유형
GuardDuty는 AWS 계정에서 잠재적 보안 위협을 탐지하는 경우에만 결과를 생성합니다. S3용 멀웨어 보호 발견은 멀웨어 검사를 시작한 업로드된 객체에 잠재적으로 악성일 수 있는 파일이 포함되어 있음을 나타냅니다.
Amazon GuardDuty가에서 결과를 생성하려면 GuardDuty와 S3용 맬웨어 보호를 모두 AWS 계정활성화합니다. 가장 좋은 방법은 먼저 GuardDuty를 활성화한 다음 S3용 멀웨어 보호를 활성화하는 것입니다. 이 순서가 다른 경우, 보호된 버킷에 S3 객체가 업로드되기 전에 GuardDuty를 활성화하세요.
**참고**
GuardDuty를 활성화하기 전에 스캔한 S3 객체에 대해서는 GuardDuty가 검색 결과를 생성할 수 없습니다. 기존 S3 객체를 스캔하려면 다시 업로드할 수 있습니다.
## Object:S3/MaliciousFile
### 스캔한 S3 객체에서 악성 파일이 감지되었습니다.
**기본 심각도: 높음**
+ **기능: ** S3용 맬웨어 보호
이 발견은 멀웨어 검사에서 나열된 S3 객체가 악의적인 것으로 탐지되었음을 나타냅니다. 자세한 내용은 검색 세부 정보 패널에서 **탐지된 위협 섹션**을 참조하세요.
**권장 사항 수정:**
이 발견이 예상치 못한 것이라면 S3 객체는 잠재적으로 악성일 수 있습니다. 권장 수정 단계에 대한 자세한 내용은 [잠재적으로 악성인 S3 객체 해결](compromised-s3object-malware-protection-gdu.md)을 참조하세요.
# 백업 조사 결과 유형에 대한 맬웨어 보호
백업용 GuardDuty 맬웨어 보호는 요청된 리소스를 스캔하는 동안 탐지된 모든 위협에 대한 단일 결과를 제공합니다. 결과에는 스캔 중에 발견된 총 탐지 수가 포함되고, 심각도에 따라 탐지된 상위 32개 위협에 대한 세부 정보가 제공됩니다. 다른 GuardDuty 결과와 달리 동일한 리소스를 다시 스캔하면 백업용 맬웨어 보호 결과가 업데이트되지 않습니다. 맬웨어를 탐지하는 각 스캔에 대해 새로운 백업용 맬웨어 보호 결과가 생성됩니다.
다음 결과는 백업을 위한 GuardDuty 맬웨어 보호에만 해당됩니다.
**Topics**
+ [Execution:EC2/MaliciousFile\$1Snapshot](#execution-malware-ec2-maliciousfile-snapshot)
+ [Execution:EC2/MaliciousFile\$1AMI](#execution-malware-ec2-maliciousfile-ami)
+ [Execution:EC2/MaliciousFile\$1RecoveryPoint](#execution-malware-ec2-maliciousfile-recoverypoint)
+ [Execution:S3/MaliciousFile\$1RecoveryPoint](#execution-malware-s3-maliciousfile-recoverypoint)
## Execution:EC2/MaliciousFile\$1Snapshot
### EBS 스냅샷에서 악성 파일이 감지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **백업을 위한 맬웨어 보호
이 조사 결과는 Backup용 GuardDuty Malware Protection 스캔이 사용자 환경 내 EBS 스냅샷에서 하나 이상의 악성 파일을 탐지했음을 나타냅니다. 자세한 내용은 검색 세부 정보 패널에서 탐지된 위협 섹션을 참조하세요.
**해결 권장 사항:**
이것이 예상치 않은 활동인 경우 스냅샷이 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 EBS 스냅샷 문제 해결](compromised-snapshot.md) 단원을 참조하십시오.
## Execution:EC2/MaliciousFile\$1AMI
### EC2 AMI에서 악성 파일이 탐지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **백업을 위한 맬웨어 보호
이 조사 결과는 Backup용 GuardDuty Malware Protection 스캔이 사용자 환경 내 AMI에서 하나 이상의 악성 파일을 탐지했음을 나타냅니다. 자세한 내용은 검색 세부 정보 패널에서 탐지된 위협 섹션을 참조하세요.
**해결 권장 사항:**
이것이 예상치 않은 활동인 경우 AMI가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 EC2 AMI 문제 해결](compromised-ami.md) 단원을 참조하십시오.
## Execution:EC2/MaliciousFile\$1RecoveryPoint
### AWS 백업 EC2 복구 시점에서 악성 파일이 감지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **백업을 위한 맬웨어 보호
이 조사 결과는 Backup용 GuardDuty Malware Protection 스캔이 사용자 환경 내 EC2 복구 시점에서 하나 이상의 악성 파일을 탐지했음을 나타냅니다. 영향을 받는 복구 시점은 EBS 스냅샷 또는 EC2 AMI일 수 있습니다. 자세한 내용은 검색 세부 정보 패널에서 탐지된 위협 섹션을 참조하세요.
**해결 권장 사항:**
이것이 예상치 않은 활동인 경우 EC2 복구 시점이 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 EC2 복구 시점 문제 해결](compromised-ec2-recoverypoint.md) 단원을 참조하십시오.
## Execution:S3/MaliciousFile\$1RecoveryPoint
### AWS 백업 S3 복구 시점에서 악성 파일이 감지되었습니다.
**기본 심각도: 탐지된 위협에 따라 다릅니다.**
+ **기능: **백업을 위한 맬웨어 보호
이 조사 결과는 Backup용 GuardDuty Malware Protection 스캔이 사용자 환경 내 S3 복구 시점에서 하나 이상의 악성 객체를 탐지했음을 나타냅니다. 자세한 내용은 검색 세부 정보 패널에서 탐지된 위협 섹션을 참조하세요.
**해결 권장 사항:**
이것이 예상치 않은 활동인 경우 S3 복구 시점이 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 복구 시점 문제 해결](compromised-s3-recoverypoint.md) 단원을 참조하십시오.
# GuardDuty RDS 보호 결과 유형
GuardDuty RDS 보호는 데이터베이스 인스턴스에서 변칙적 로그인 동작을 탐지합니다. 다음 조사 결과는 [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db)에 해당되며 **리소스 유형**은 `RDSDBInstance` 또는 `RDSLimitlessDB`입니다. 결과의 심각도 및 세부 정보는 결과 유형에 따라 다릅니다.
**Topics**
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](#credaccess-rds-anombehavior-successlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](#credaccess-rds-anombehavior-failedlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](#credaccess-rds-anombehavior-successfulbruteforce)
+ [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](#credaccess-rds-maliciousipcaller-successfullogin)
+ [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](#credaccess-rds-maliciousipcaller-failedlogin)
+ [Discovery:RDS/MaliciousIPCaller](#discovery-rds-maliciousipcaller)
+ [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](#credaccess-rds-toripcaller-successfullogin)
+ [CredentialAccess:RDS/TorIPCaller.FailedLogin](#credaccess-rds-toripcaller-failedlogin)
+ [Discovery:RDS/TorIPCaller](#discovery-rds-toripcaller)
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
### 사용자가 변칙적 방식으로 계정의 RDS 데이터베이스에 성공적으로 로그인했습니다.
**기본 심각도: 가변적**
**참고**
이 결과와 관련된 변칙적 동작에 따라 기본 심각도는 낮음, 중간, 높음일 수 있습니다.
**낮음** - 이 결과와 관련된 사용자 이름이 프라이빗 네트워크에 연결된 IP 주소에서 로그인한 경우.
**중간** - 이 결과와 관련된 사용자 이름이 퍼블릭 IP 주소에서 로그인한 경우.
**높음** - 액세스 정책이 지나치게 허용적인 듯한 퍼블릭 IP 주소에서의 일관적인 로그인 시도 실패 패턴 있는 경우.
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 RDS 데이터베이스에서 비정상적인 로그인 성공이 관찰되었음을 알려줍니다. 이는 이전에 보지 못한 사용자가 처음으로 RDS 데이터베이스에 로그인했음을 나타낼 수 있습니다. 일반적인 시나리오는 개별 사용자가 아닌 애플리케이션에 의해 프로그래밍 방식으로 내부 사용자가 데이터베이스에 로그인한 것입니다.
이 로그인 성공은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db)의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 로그인 이벤트에 대한 자세한 내용은 [RDS 로그인 활동 기반 이상](guardduty_findings-summary.md#rds-pro-login-anomaly) 섹션을 참조하세요.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 관련 데이터베이스 사용자의 암호를 변경하고 이상 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 중간 및 높음 심각도 결과는 데이터베이스에 대한 액세스 정책이 지나치게 허용적이고 사용자 보안 인증 정보가 노출 또는 손상되었을 가능성을 나타낼 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt) 단원을 참조하십시오.
## CredentialAccess:RDS/AnomalousBehavior.FailedLogin
### 계정의 RDS 데이터베이스에서 한 번 이상의 비정상적인 로그인 실패 시도가 관찰되었습니다.
**기본 심각도: 낮음**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 RDS 데이터베이스에서 하나 이상의 비정상적인 로그인 실패가 관찰되었음을 알려줍니다. 퍼블릭 IP 주소에서의 로그인 시도 실패는 계정의 RDS 데이터베이스가 악의적인 공격자의 무차별 대입 공격을 받았음을 의미할 수 있습니다.
이러한 로그인 실패는 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db)의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 RDS 로그인 활동에 대한 자세한 내용은 [RDS 로그인 활동 기반 이상](guardduty_findings-summary.md#rds-pro-login-anomaly) 섹션을 참조하세요.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스가 공개적으로 노출되었거나 데이터베이스에 대한 액세스 정책이 지나치게 허용적일 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt) 단원을 참조하십시오.
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
### 일관적으로 비정상적인 로그인 시도 실패 패턴 이후 사용자가 퍼블릭 IP 주소를 사용하여 계정의 RDS 데이터베이스에 변칙적인 방식으로 로그인했습니다.
**기본 심각도: 높음**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 RDS 데이터베이스에서 무차별 대입력이 성공했음을 나타내는 비정상적인 로그인이 관찰되었음을 알려줍니다. 변칙적 로그인에 성공하기 전에는 일관적으로 비정상적인 로그인 시도 실패가 있었습니다. 이는 계정의 RDS 데이터베이스와 연결된 사용자 및 암호가 손상되었을 수 있으며, 잠재적으로 악의적인 공격자가 RDS 데이터베이스에 액세스했을 수 있음을 나타냅니다.
이 무차별 암호 대입 로그인 성공은 GuardDuty 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별되었습니다. ML 모델은 [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db)의 모든 데이터베이스 로그인 이벤트를 평가하고 공격자가 사용한 기법과 관련된 이상 이벤트를 식별합니다. ML 모델은 요청한 사용자, 요청이 이루어진 위치, 사용된 특정 데이터베이스 연결 세부 정보 등 RDS 로그인 활동의 다양한 요소를 추적합니다. 비정상적일 수 있는 RDS 로그인 활동에 대한 자세한 내용은 [RDS 로그인 활동 기반 이상](guardduty_findings-summary.md#rds-pro-login-anomaly) 섹션을 참조하세요.
**해결 권장 사항:**
이 활동은 데이터베이스 보안 인증 정보가 노출 또는 손상되었을 수 있음을 나타냅니다. 관련 데이터베이스 사용자의 암호를 변경하고 잠재적으로 침해되었을 수 있는 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 비정상적인 로그인 시도 실패의 일관적인 패턴은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수도 있음을 나타냅니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt) 단원을 참조하십시오.
## CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
### 사용자가 알려진 악성 IP 주소를 사용하여 계정의 RDS 데이터베이스에 로그인했습니다.
**기본 심각도: 높음**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 AWS 환경의 알려진 악성 활동과 연결된 IP 주소에서 성공적인 RDS 로그인 활동이 발생했음을 알려줍니다. 이는 계정의 RDS 데이터베이스와 연결된 사용자 및 암호가 손상되었을 수 있으며, 잠재적으로 악의적인 공격자가 RDS 데이터베이스에 액세스했을 수 있음을 나타냅니다.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 사용자 보안 인증 정보가 노출 또는 손상되었을 수 있습니다. 관련 데이터베이스 사용자의 암호를 변경하고 침해된 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 또한 이 활동은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터가 공개적으로 노출되었음을 나타낼 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt) 단원을 참조하십시오.
## CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
### 알려진 악성 활동과 연결된 IP 주소가 계정의 RDS 데이터베이스에 로그인을 시도했지만 실패했습니다.
**기본 심각도: 중간**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 알려진 악성 활동과 연결된 IP 주소가 AWS 환경의 RDS 데이터베이스에 로그인하려고 시도했지만 올바른 사용자 이름 또는 암호를 제공하지 못했음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 계정의 RDS 데이터베이스 손상을 시도하고 있을 가능성을 나타냅니다.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt) 단원을 참조하십시오.
## Discovery:RDS/MaliciousIPCaller
### 알려진 악성 활동과 연결된 IP 주소가 계정의 RDS 데이터베이스를 탐색했지만 인증 시도는 이루어지지 않았습니다.
**기본 심각도: 중간**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 알려진 악성 활동과 연결된 IP 주소가 로그인 시도는 하지 않았지만 AWS 사용자 환경에서 RDS 데이터베이스를 탐색했음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 공개적으로 액세스할 수 있는 인프라를 찾고 있음을 의미할 수 있습니다.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt) 단원을 참조하십시오.
## CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
### 사용자가 Tor 출구 노드 IP 주소에서 계정의 RDS 데이터베이스에 로그인했습니다.
**기본 심각도: 높음**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 사용자가 Tor 출구 노드 IP 주소에서 AWS 환경의 RDS 데이터베이스에 성공적으로 로그인했음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 익명 사용자의 실제 신원을 숨기려는 의도를 갖고 계정의 RDS 리소스에 무단으로 액세스함을 나타낼 수 있습니다.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 사용자 보안 인증 정보가 노출 또는 손상되었을 수 있습니다. 관련 데이터베이스 사용자의 암호를 변경하고 침해된 사용자가 수행한 활동에 대해 제공된 감사 로그를 검토하는 것이 좋습니다. 또한 이 활동은 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터가 공개적으로 노출되었음을 나타낼 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [성공적인 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt) 단원을 참조하십시오.
## CredentialAccess:RDS/TorIPCaller.FailedLogin
### Tor IP 주소에서 계정의 RDS 데이터베이스에 로그인을 시도했지만 실패했습니다.
**기본 심각도: 중간**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 Tor 출구 노드 IP 주소가 AWS 환경의 RDS 데이터베이스에 로그인하려고 시도했지만 올바른 사용자 이름 또는 암호를 제공하지 못했음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 익명 사용자의 실제 신원을 숨기려는 의도를 갖고 계정의 RDS 리소스에 무단으로 액세스함을 나타낼 수 있습니다.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt) 단원을 참조하십시오.
## Discovery:RDS/TorIPCaller
### Tor 종료 노드 IP 주소에서 계정의 RDS 데이터베이스를 탐색했지만 인증 시도는 없었습니다.
**기본 심각도: 중간**
+ **특성:** RDS 로그인 활동 모니터링
이 결과는 Tor 출구 노드 IP 주소에서 AWS 환경의 RDS 데이터베이스를 탐색했지만 로그인 시도는 이루어지지 않았음을 알려줍니다. 이는 잠재적으로 악의적인 공격자가 공개적으로 액세스할 수 있는 인프라를 찾고 있음을 의미할 수 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어입니다. 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 잠재적으로 악의적인 공격자의 실제 신원을 숨기려는 의도를 갖고 계정의 RDS 리소스에 무단으로 액세스함을 나타낼 수 있습니다.
**해결 권장 사항:**
관련 데이터베이스에서 이 활동이 예상치 않게 발생한 경우 데이터베이스에 대한 액세스 정책이 지나치게 허용적이거나 데이터베이스가 공개적으로 노출되었을 수 있습니다. 데이터베이스를 프라이빗 VPC에 배치하고, 필요한 소스의 트래픽만 허용하도록 보안 그룹 규칙을 제한하는 것이 좋습니다. 자세한 내용은 [실패한 로그인 이벤트를 통해 손상되었을 수 있는 데이터베이스 문제 해결](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt) 단원을 참조하십시오.
# Lambda 보호 결과 유형
이 섹션에서는 AWS Lambda 리소스와 관련된 결과 유형을 설명하며가 로 `resourceType` 나열됩니다`Lambda`. 모든 Lambda 결과의 경우 해당 리소스를 검토하고 예상대로 작동하는지 확인하는 것이 좋습니다. 활동이 승인된 경우 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) 또는 [신뢰할 수 있는 IP 및 위협 목록](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html)을 사용하여 해당 리소스에 대한 오탐지 알림을 방지할 수 있습니다.
예상치 않은 활동인 경우 보안 모범 사례는 Lambda가 잠재적으로 침해되었다고 가정하고 해결 권장 사항을 따르는 것입니다.
**Topics**
+ [Backdoor:Lambda/C&CActivity.B](#backdoor-lambda-ccactivity-b)
+ [CryptoCurrency:Lambda/BitcoinTool.B](#cryptocurrency-lambda-bitcointool-b)
+ [Trojan:Lambda/BlackholeTraffic](#trojan-lambda-blackhole-traffic)
+ [Trojan:Lambda/DropPoint](#trojan-lambda-drop-point)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [UnauthorizedAccess:Lambda/TorClient](#unauthorized-access-lambda-tor-client)
+ [UnauthorizedAccess:Lambda/TorRelay](#unauthorized-access-lambda-tor-relay)
## Backdoor:Lambda/C&CActivity.B
### Lambda 함수가 알려진 명령 및 제어 서버와 연결된 IP 주소를 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경 내에 나열된 Lambda 함수가 알려진 명령 및 제어(C&C) 서버와 연결된 IP 주소를 쿼리하고 있음을 알려줍니다. 생성된 결과와 관련된 Lambda 함수가 잠재적으로 침해되었습니다. C&C 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.
봇넷은 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스(PC, 서버, 모바일 디바이스 및 사물 인터넷 디바이스 포함)의 모음입니다. 일반적으로 봇넷은 멀웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 용도와 구조에 따라 C&C 서버가 분산 서비스 거부를 시작하는 명령을 실행할 수도 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
## CryptoCurrency:Lambda/BitcoinTool.B
### Lambda 함수가 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하는 중입니다.
**기본 심각도: 높음**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경에 나열된 Lambda 함수가 Bitcoin 또는 기타 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하고 있음을 알려줍니다. 위협 작업자는 악의적으로 승인되지 않은 암호화폐 채굴로 용도를 변경하기 위해 Lambda 함수를 제어하려고 할 수 있습니다.
**해결 권장 사항:**
이 Lambda 함수를 사용하여 암호화폐를 채굴 또는 관리하거나 이 함수가 블록체인 활동에 관여한 경우, 환경에 대한 예상된 활동일 수 있습니다. AWS 환경의 경우이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 금지 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 CryptoCurrency:Lambda/BitcoinTool.B 값이 있는 결과 유형 속성을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동과 관련된 함수의 Lambda 함수 이름이어야 합니다. 억제 규칙 작성에 대한 내용은 [억제 규칙](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)을 참조하세요.
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
## Trojan:Lambda/BlackholeTraffic
### Lambda 함수가 블랙홀로 알려진 원격 호스트의 IP 주소와 통신을 시도합니다.
**기본 심각도: 중간**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경 내에 나열된 Lambda 함수가 블랙홀(또는 싱크홀)의 IP 주소와 통신을 시도하고 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다. 블랙홀 IP 주소는 실행되고 있지 않은 호스트 머신 또는 호스트가 할당되지 않은 주소를 지정합니다. 나열된 Lambda 함수가 잠재적으로 손상되었습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
## Trojan:Lambda/DropPoint
### Lambda 함수가 맬웨어를 통해 캡처된 자격 증명 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하는 중입니다.
**기본 심각도: 중간**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경 내에 나열된 Lambda 함수가 맬웨어로 캡처된 자격 증명 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하고 있음을 알려줍니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
## UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
### Lambda 함수가 사용자 지정 위협 목록에 있는 IP 주소에 연결하고 있습니다.
**기본 심각도: 중간**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경의 Lambda 함수가 업로드한 위협 목록에 포함된 IP 주소와 통신하고 있음을 알려줍니다. GuardDuty에서 [위협 목록](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html)은 알려진 악성 IP 주소로 구성됩니다. GuardDuty는 업로드된 위협 목록을 기반으로 결과를 생성합니다. GuardDuty 콘솔의 결과 세부 정보에서 위협 목록의 세부 정보를 볼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
## UnauthorizedAccess:Lambda/TorClient
### Lambda 함수가 Tor Guard 또는 Authority 노드에 연결됩니다.
**기본 심각도: 높음**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경의 Lambda 함수가 Tor Guard 또는 Authority 노드에 연결 중임을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor Guards 및 Authority 노드는 Tor 네트워크의 첫 번째 게이트웨이 역할을 합니다. 이 트래픽은 이 Lambda 함수가 잠재적으로 손상되었음을 나타낼 수 있습니다. 이제 Tor 네트워크에서 클라이언트 역할을 하고 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
## UnauthorizedAccess:Lambda/TorRelay
### Lambda 함수가 Tor 네트워크에 Tor 릴레이로 연결됩니다.
**기본 심각도: 높음**
+ **특성: **Lambda 네트워크 활동 모니터링
이 결과는 AWS 환경의 Lambda 함수가 Tor 릴레이 역할을 하는 방식으로 Tor 네트워크에 연결하고 있음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor는 한 Tor 릴레이에서 다른 릴레이로 클라이언트의 불법 가능성이 있는 트래픽을 전달함으로써 익명 통신을 가능하게 합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Lamda 기능 해결](remediate-lambda-protection-finding-types.md) 단원을 참조하십시오.
# 사용 중지된 결과 유형
결과는 GuardDuty에서 발견한 잠재적 보안 문제에 대한 세부 정보를 포함한 알림입니다. 새로 추가되었거나 수명 종료된 결과 유형을 포함하여 GuardDuty 결과 유형에 대한 중요한 변화에 대한 내용은 [Amazon GuardDuty 문서 기록](doc-history.md)을 참조하십시오.
다음 결과 유형은 사용이 중지되어 GuardDuty에서 더 이상 생성하지 않습니다.
**중요**
사용 중지된 GuardDuty 결과 유형은 다시 활성화할 수 없습니다.
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### IAM 엔터티가 의심스러운 방식으로 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
+ **데이터 소스: **S3에 대한 CloudTrail 데이터 이벤트
이 결과는 AWS 환경의 IAM 엔터티가 S3 버킷과 관련되고 해당 엔터티의 설정된 기준과 다른 API 직접 호출을 수행하고 있음을 알려줍니다. 이 활동에 사용되는 API 호출은 공격자가 데이터 수집을 시도하는 공격의 유출 단계와 관련이 있습니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Impact:S3/PermissionsModification.Unusual
### IAM 엔터티가 하나 이상의 S3 리소스에 대한 권한을 수정하기 위해 API를 간접적으로 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 IAM 엔터티가 AWS 환경에 있는 하나 이상의 버킷 또는 객체에 대한 권한을 수정하도록 설계된 API 호출을 수행하고 있음을 알려줍니다. 공격자가 계정 외부에서 정보가 공유되도록 이 작업을 수행할 수 있습니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Impact:S3/ObjectDelete.Unusual
### IAM 엔터티가 S3 버킷의 데이터를 삭제하는 데 사용되는 API를 간접적으로 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 AWS 환경의 특정 IAM 엔터티가 버킷 자체를 삭제하여 나열된 S3 버킷의 데이터를 삭제하도록 설계된 API 호출을 수행하고 있음을 알려줍니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Discovery:S3/BucketEnumeration.Unusual
### IAM 엔터티가 네트워크 내에서 S3 버킷을 검색하는 데 사용되는 S3 API를 간접적으로 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 IAM 엔터티가 환경에서 S3 버킷을 검색하기 위한 S3 API(예: `ListBuckets`)를 간접적으로 호출했음을 알려줍니다. 이러한 유형의 활동은 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인하는 공격의 검색 단계와 관련이 있습니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.
**해결 권장 사항:**
관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 [잠재적으로 손상된 S3 버킷 해결](compromised-s3.md) 단원을 참조하십시오.
## Persistence:IAMUser/NetworkPermissions
### IAM 엔터티는 AWS 계정의 보안 그룹, 경로 및 ACLs에 대한 네트워크 액세스 권한을 변경하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 간접 호출 내역이 없습니다.
이 결과는 보안 주체가 이전에 호출한 적이 없는 `CreateSecurityGroup` API를 간접적으로 호출하는 경우와 같이 의심스러운 상황에서 네트워크 구성 설정이 변경될 때 트리거됩니다. 공격자가 EC2 인스턴스에 대한 액세스를 개선하기 위해서 다양한 포트의 인바운드 트래픽을 허용하는 보안 그룹 변경을 시도하는 경우가 종종 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Persistence:IAMUser/ResourcePermissions
### 보안 주체는에서 다양한 리소스의 보안 액세스 정책을 변경하는 데 일반적으로 사용되는 API를 호출했습니다 AWS 계정.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 API가 호출되어 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하는 경우 결과의 심각도는 높음입니다.
이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 간접 호출 내역이 없습니다.
이 결과는 AWS 환경의 보안 주체가 이전 이력 없이 `PutBucketPolicy` API를 호출하는 경우와 같이 AWS 리소스에 연결된 정책 또는 권한에 대한 변경이 감지될 때 트리거됩니다. 예를 들어 Amazon S3와 같은 일부 서비스는 하나 이상의 보안 주체에 리소스 액세스를 허용하는 리소스 연결 권한을 지원합니다. 보안 인증 정보가 도난당한 상태에서 공격자는 리소스에 연결된 정책을 변경하여 리소스에 대한 액세스를 획득할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Persistence:IAMUser/UserPermissions
### 보안 주체는 AWS 계정에서 IAM 사용자, 그룹 또는 정책을 추가, 수정 또는 삭제하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 간접 호출 내역이 없습니다.
이 결과는 AWS 환경의 보안 주체가 이전 이력 없이 `AttachUserPolicy` API를 호출하는 경우와 같이 환경의 사용자 관련 권한에 대한 AWS 의심스러운 변경으로 인해 트리거됩니다. 공격자는 기존 액세스 지점이 폐쇄된 경우에도 훔친 보안 인증 정보를 사용하여 새 사용자를 만들거나, 기존 사용자에게 액세스 정책을 추가하거나, 액세스 키를 만들어 계정에 대한 액세스를 극대화할 수 있습니다. 예를 들어 계정 소유자가 특정 IAM 사용자 또는 암호의 도난을 파악하고 계정에서 삭제할 수 있습니다. 그러나 사기로 생성된 관리자 보안 주체가 생성한 다른 사용자는 삭제할 수 없으므로 공격자가 자신의 AWS 계정에 액세스할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### 한 보안 주체가 본인에게 과도하게 허용적인 정책을 할당하려고 시도했습니다.
**기본 심각도: 낮음\$1**
**참고**
권한 에스컬레이션 시도가 실패했다면 이 결과의 심각도는 낮은 수준이며 권한 에스컬레이션 시도가 성공했다면 중간 수준입니다.
이 결과는 AWS 환경의 특정 IAM 엔터티가 권한 에스컬레이션 공격을 나타낼 수 있는 동작을 보이고 있음을 나타냅니다. IAM 사용자 또는 역할이 자신에게 매우 허용적인 정책을 할당하려고 시도할 때 이 결과가 트리거됩니다. 해당 사용자 또는 역할이 관리 권한을 보유해야 하는 경우가 아니라면 이는 사용자의 자격 증명이 손상되었거나 역할의 권한이 적절히 구성되지 않았음을 나타냅니다.
공격자는 기존 액세스 지점이 폐쇄된 경우에도 훔친 보안 인증 정보를 사용하여 새 사용자를 만들거나, 기존 사용자에게 액세스 정책을 추가하거나, 액세스 키를 만들어 계정에 대한 액세스를 극대화할 수 있습니다. 예를 들어 계정의 소유자는 특정 IAM 사용자의 로그인 보안 인증 정보가 도난당했음을 인지하고 이를 계정에서 삭제할 수 있습니다. 하지만 부정하게 생성된 관리 보안 주체가 생성한 다른 사용자를 삭제할 수 없어 공격자가 여전히 AWS 계정에 액세스가 가능할 수도 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Recon:IAMUser/NetworkPermissions
### 보안 주체는 AWS 계정의 보안 그룹, 경로 및 ACLs에 대한 네트워크 액세스 권한을 변경하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 간접 호출 내역이 없습니다.
의심스러운 상황에서 AWS 계정의 리소스 액세스 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체가 이전에 호출한 적이 없는 `DescribeInstances` API를 간접적으로 호출했습니다. 공격자는 도난된 자격 증명을 사용하여 더 중요한 자격 증명을 찾거나 이미 보유한 자격 증명의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Recon:IAMUser/ResourcePermissions
### 보안 주체는 AWS 계정에 있는 다양한 리소스의 보안 액세스 정책을 변경하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 간접 호출 내역이 없습니다.
의심스러운 상황에서 AWS 계정의 리소스 액세스 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체가 이전에 호출한 적이 없는 `DescribeInstances` API를 간접적으로 호출했습니다. 공격자는 도난된 자격 증명을 사용하여 더 중요한 자격 증명을 찾거나 이미 보유한 자격 증명의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Recon:IAMUser/UserPermissions
### 보안 주체는 AWS 계정에서 IAM 사용자, 그룹 또는 정책을 추가, 수정 또는 삭제하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 의심스러운 상황에서 AWS 환경의 사용자 권한을 탐색할 때 트리거됩니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 간접적으로 호출한 적이 없는 `ListInstanceProfilesForRole` API를 호출했습니다. 공격자는 도난된 자격 증명을 사용하여 더 중요한 자격 증명을 찾거나 이미 보유한 자격 증명의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.
이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이러한 방법으로 이 API의 이전 간접 호출 내역이 없습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## ResourceConsumption:IAMUser/ComputeResources
### 보안 주체가 EC2 인스턴스와 같은 컴퓨팅 리소스를 시작하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
의심스러운 상황에서 AWS 환경 내에 나열된 계정에서 EC2 인스턴스가 시작될 때 결과가 트리거됩니다. 이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 보이고 있음을 나타냅니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 호출한 이력 없이 `RunInstances` API를 호출한 경우입니다. 공격자가 도난당한 자격 증명을 사용하여 컴퓨팅 시간을 훔치는 신호일 수 있습니다(암호 화폐 마이닝 또는 암호 크래킹이 목적일 수 있음). 또한 공격자가 사용자 AWS 환경에서 EC2 인스턴스를 사용하고 해당 자격 증명을 사용하여 계정에 대한 액세스를 유지함을 나타낼 수도 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## Stealth:IAMUser/LoggingConfigurationModified
### 보안 주체는 CloudTrail 로깅을 중지하고, 기존 로그를 삭제하고, AWS 계정의 활동 추적을 제거하는 데 일반적으로 사용되는 API를 호출했습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
이 결과는 의심스러운 상황에서 환경 내 AWS 계정의 로깅 구성이 수정될 때 트리거됩니다. 이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 보이고 있음을 알려줍니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 호출한 이력 없이 `StopLogging` API를 호출한 경우입니다. 이는 공격자가 활동 흔적을 제거함으로써 공격을 덮으려는 시도의 신호일 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/ConsoleLogin
### AWS 계정의 보안 주체에 의한 비정상적인 콘솔 로그인이 관찰되었습니다.
**기본 심각도: 중간\$1**
**참고**
이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 자격 증명을 사용하여 API를 호출하는 경우 결과의 심각도는 높음입니다.
의심스러운 상황에서 콘솔 로그인이 감지될 때 이 결과가 트리거됩니다. 예를 들어, 이러한 이전 작업 내역이 없는 보안 주체가 한 번도 사용하지 않은 클라이언트 또는 비정상적인 위치에서 ConsoleLogin API를 간접 호출했습니다. 이는 도용된 자격 증명이 AWS 계정에 대한 액세스 권한을 얻는 데 사용되거나 유효한 사용자가 유효하지 않거나 덜 안전한 방식(예: 승인된 VPN을 통하지 않음)으로 계정에 액세스하는 것을 나타낼 수 있습니다.
이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 보이고 있음을 알려줍니다. 이 보안 주체는 이 특정 위치에서 이 클라이언트 애플리케이션을 사용하여 로그인 활동을 한 이전 내역이 없습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## UnauthorizedAccess:EC2/TorIPCaller
### EC2 인스턴스가 Tor 출구 노드로부터 인바운드 연결을 수신하고 있습니다.
**기본 심각도: 중간**
이 결과는 AWS 환경의 EC2 인스턴스가 Tor 종료 노드로부터 인바운드 연결을 수신하고 있음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Backdoor:EC2/XORDDOS
### EC2 인스턴스가 Xor DDos 맬웨어와 연관된 IP 주소와의 통신을 시도합니다.
**기본 심각도: 높음**
이 결과는 AWS 환경의 EC2 인스턴스가 XOR DDoS 맬웨어와 연결된 IP 주소와 통신을 시도하고 있음을 알려줍니다. 이 EC2 인스턴스는 손상되었을 수 있습니다. XOR DDoS는 Linux 시스템을 가로채는 트로이 목마 멀웨어입니다. 이 멀웨어는 시스템에 대한 액세스 권한을 얻기 위해 무차별 암호 대입 공격을 실행하여 Linux의 Secure Shell(SSH)에 대한 암호를 찾습니다. SSH 자격 증명을 획득하여 로그인에 성공한 이후 이 맬웨어는 루트 사용자 권한을 사용하여 XOR DDoS를 다운로드하고 설치하는 스크립트를 실행합니다. 그런 다음 봇넷의 일부로 사용되어 다른 대상에 대한 분산 서비스 거부(DDoS) 공격을 시작합니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## Behavior:IAMUser/InstanceLaunchUnusual
### 사용자가 비정상적인 유형의 EC2 인스턴스를 시작했습니다.
**기본 심각도: 높음**
이 결과는 AWS 환경의 특정 사용자가 설정된 기준과 다른 동작을 보이고 있음을 알려줍니다. 이 사용자에게는 이전에 이 유형의 EC2 인스턴스를 시작한 내역이 없습니다. 로그인 보안 인증 정보가 손상되었을 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## CryptoCurrency:EC2/BitcoinTool.A
### EC2 인스턴스가 비트코인 마이닝 풀과 통신하고 있습니다.
**기본 심각도: 높음**
이 결과는 AWS 환경의 EC2 인스턴스가 Bitcoin 마이닝 풀과 통신하고 있음을 알려줍니다. 암호 화폐 마이닝 분야에서 마이닝 도구는 블록 해결에 기여한 작업량에 따라 보상을 분할하기 위해 네트워크를 통해 처리 능력을 공유하는 마이너별 리소스 풀링입니다. 비트코인 마이닝에 이 EC2 인스턴스를 사용하지 않는 경우 EC2 인스턴스가 손상되었을 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결](compromised-ec2.md) 단원을 참조하십시오.
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### 비정상 네트워크의 IP 주소에서 API가 호출되었습니다.
**기본 심각도: 높음**
이 조사 결과는 특정 활동이 비정상적인 네트워크의 IP 주소에서 간접 호출되었음을 알려줍니다. 이 네트워크는 해당 사용자의 이전 AWS 사용 내역을 통해 관찰된 적이 없습니다. 이러한 활동 중에는 콘솔 로그인을 비롯해 EC2 인스턴스를 시작하거나, 새로운 IAM 사용자를 생성하거나, AWS 권한을 수정하려는 시도 등이 포함됩니다. 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.
**해결 권장 사항:**
이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 [잠재적으로 손상된 AWS 자격 증명 문제 해결](compromised-creds.md) 단원을 참조하십시오.
## 잠재적으로 영향을 받을 수 있는 리소스별 GuardDuty 찾기 유형
다음 페이지는 GuardDuty 발견과 관련된 잠재적으로 영향을 받을 수 있는 리소스 유형별로 분류되어 있습니다.
+ [EC2 결과 유형](guardduty_finding-types-ec2.md)
+ [IAM 결과 유형](guardduty_finding-types-iam.md)
+ [공격 시퀀스 조사 결과 유형](guardduty-attack-sequence-finding-types.md)
+ [S3 보호 결과 유형](guardduty_finding-types-s3.md)
+ [EKS 보호 결과 유형](guardduty-finding-types-eks-audit-logs.md)
+ [런타임 모니터링 결과 유형](findings-runtime-monitoring.md)
+ [EC2용 맬웨어 보호 결과 유형](findings-malware-protection.md)
+ [S3용 맬웨어 보호 결과 유형](gdu-malware-protection-s3-finding-types.md)
+ [백업 조사 결과 유형에 대한 맬웨어 보호](findings-malware-protection-backup.md)
+ [RDS 보호 결과 유형](findings-rds-protection.md)
+ [Lambda 보호 결과 유형](lambda-protection-finding-types.md)
## GuardDuty 활성 조사 결과 유형
다음 테이블에는 해당하는 경우 기본 데이터 소스 또는 기능별로 정렬된 모든 활성 결과 유형이 나와 있습니다. 다음 표에서 일부 조사 결과에는 *조사 결과 심각도* 열 값에 별표(\$1) 또는 더하기 기호(\$1)가 표시되어 있습니다.
\$1이러한 조사 결과 유형은 심각도가 가변적입니다. 특정 유형의 조사 결과는 해당 조사 결과와 관련된 컨텍스트에 따라 심각도가 다를 수 있습니다. 조사 결과 유형에 대한 자세한 내용은 해당 섹션의 상세 설명을 참조하세요.
\$1VPC 흐름 로그를 데이터 소스로 사용하는 EC2 조사 결과는 IPv6 트래픽을 지원하지 않습니다.
| 찾기 유형 | 리소스 유형 | 기본 데이터 소스/기능 | 결과 심각도 |
| --- | --- | --- | --- |
| [Discovery:S3/AnomalousBehavior](guardduty_finding-types-s3.md#discovery-s3-anomalousbehavior) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 낮음 |
| [Discovery:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#discovery-s3-maliciousipcaller) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 중간 |
| [Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [Exfiltration:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#exfiltration-s3-maliciousipcaller) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [Impact:EC2/MaliciousDomainRequest.Custom](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequest-custom) | Amazon EC2 | DNS 로그 | 중간 |
| [Impact:S3/AnomalousBehavior.Delete](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-delete) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [Impact:S3/AnomalousBehavior.Permission](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-permission) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [Impact:S3/AnomalousBehavior.Write](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-write) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 중간 |
| [Impact:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#impact-s3-maliciousipcaller) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 중간 |
| [PenTest:S3/ParrotLinux](guardduty_finding-types-s3.md#pentest-s3-parrotlinux) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 중간 |
| [PenTest:S3/PentooLinux](guardduty_finding-types-s3.md#pentest-s3-pentoolinux) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 중간 |
| [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom) | Amazon S3 | S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [CredentialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#credentialaccess-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [CredentialAccess:IAMUser/CompromisedCredentials](guardduty_finding-types-iam.md#credentialaccess-iam-compromisedcredentials) | IAM | CloudTrail 관리 이벤트 또는 S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [DefenseEvasion:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#defenseevasion-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [DefenseEvasion:IAMUser/BedrockLoggingDisabled](guardduty_finding-types-iam.md#defenseevasion-iam-bedrockloggingdisabled) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Discovery:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#discovery-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 낮음 |
| [Exfiltration:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#exfiltration-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 높음 |
| [Impact:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#impact-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 높음 |
| [InitialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#initialaccess-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [PenTest:IAMUser/ParrotLinux](guardduty_finding-types-iam.md#pentest-iam-parrotlinux) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [PenTest:IAMUser/PentooLinux](guardduty_finding-types-iam.md#pentest-iam-pentoolinux) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Persistence:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#persistence-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange) | IAM | CloudTrail 관리 이벤트 | 낮음[*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws) | IAM | CloudTrail 관리 이벤트 | 높음[*](#gdu-active-findings-variable-severity) |
| [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled) | Amazon S3 | CloudTrail 관리 이벤트 | 낮음 |
| [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted) | Amazon S3 | CloudTrail 관리 이벤트 | 높음 |
| [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled) | Amazon S3 | CloudTrail 관리 이벤트 | 낮음 |
| [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted) | Amazon S3 | CloudTrail 관리 이벤트 | 높음 |
| [PrivilegeEscalation:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#privilegeescalation-iam-anomalousbehavior) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Recon:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#recon-iam-maliciousipcaller) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled) | IAM | CloudTrail 관리 이벤트 | 낮음 |
| [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled) | Amazon S3 | CloudTrail 관리 이벤트 | 낮음 |
| [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](guardduty_finding-types-iam.md#unauthorizedaccess-iam-consoleloginsuccessb) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcaller) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller) | IAM | CloudTrail 관리 이벤트 | 중간 |
| [Policy:IAMUser/RootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-rootcredentialusage) | IAM | CloudTrail 관리 이벤트 또는 S3에 대한 CloudTrail 데이터 이벤트 | 낮음 |
| [Policy:IAMUser/ShortTermRootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-user-short-term-root-credential-usage) | IAM | CloudTrail 관리 이벤트 또는 S3에 대한 CloudTrail 데이터 이벤트 | 낮음 |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) | IAM | CloudTrail 관리 이벤트 또는 S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws) | IAM | CloudTrail 관리 이벤트 또는 S3에 대한 CloudTrail 데이터 이벤트 | 높음 |
| [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) | 공격 시퀀스와 관련된 리소스 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_finding-types-active.html) | 심각 |
| [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials) | 공격 시퀀스와 관련된 리소스 | CloudTrail 관리 이벤트 | 심각 |
| [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data) | 공격 시퀀스와 관련된 리소스 | CloudTrail 관리 이벤트와 S3용 CloudTrail 데이터 이벤트 | 심각 |
| [AttackSequence:ECS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-ecs-compromised-cluster) | 공격 시퀀스와 관련된 리소스 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_finding-types-active.html) | 심각 |
| [AttackSequence:EC2/CompromisedInstanceGroup](guardduty-attack-sequence-finding-types.md#attack-sequence-ec2-compromised-instance-group) | 공격 시퀀스와 관련된 리소스 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty_finding-types-active.html) | 심각 |
| [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns) | Amazon EC2 | DNS 로그 | 높음 |
| [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) | Amazon EC2 | DNS 로그 | 높음 |
| [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation) | Amazon EC2 | DNS 로그 | 중간 |
| [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation) | Amazon EC2 | DNS 로그 | 높음 |
| [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation) | Amazon EC2 | DNS 로그 | 높음 |
| [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation) | Amazon EC2 | DNS 로그 | 낮음 |
| [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns) | Amazon EC2 | DNS 로그 | 중간 |
| [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb) | Amazon EC2 | DNS 로그 | 높음 |
| [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns) | Amazon EC2 | DNS 로그 | 높음 |
| [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration) | Amazon EC2 | DNS 로그 | 높음 |
| [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns) | Amazon EC2 | DNS 로그 | 높음 |
| [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns) | Amazon EC2 | DNS 로그 | 중간 |
| [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns) | Amazon EC2 | DNS 로그 | 높음 |
| [UnauthorizedAccess:EC2/MetadataDNSRebind](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-metadatadnsrebind) | Amazon EC2 | DNS 로그 | 높음 |
| [Execution:Container/MaliciousFile](findings-malware-protection.md#execution-malware-container-maliciousfile) | 컨테이너 | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:Container/SuspiciousFile](findings-malware-protection.md#execution-malware-container-suspiciousfile) | 컨테이너 | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:EC2/MaliciousFile](findings-malware-protection.md#execution-malware-ec2-maliciousfile) | Amazon EC2 | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:EC2/SuspiciousFile](findings-malware-protection.md#execution-malware-ec2-suspiciousfile) | Amazon EC2 | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:ECS/MaliciousFile](findings-malware-protection.md#execution-malware-ecs-maliciousfile) | ECS | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:ECS/SuspiciousFile](findings-malware-protection.md#execution-malware-ecs-suspiciousfile) | ECS | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:Kubernetes/MaliciousFile](findings-malware-protection.md#execution-malware-kubernetes-maliciousfile) | Kubernetes | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:Kubernetes/SuspiciousFile](findings-malware-protection.md#execution-malware-kubernetes-suspiciousfile) | Kubernetes | EBS 멀웨어 보호 | 탐지된 위협에 따라 다름 |
| [Execution:EC2/MaliciousFile\$1Snapshot](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-snapshot) | Amazon EBS | Backup용 Malware Protection | 탐지된 위협에 따라 다름 |
| [Execution:EC2/MaliciousFile\$1AMIEC2 AMI에서 악성 파일이 탐지되었습니다.](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-ami) | Amazon EC2 | Backup용 Malware Protection | 탐지된 위협에 따라 다름 |
| [Execution:EC2/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-recoverypoint) | AWS 백업 | Backup용 Malware Protection | 탐지된 위협에 따라 다름 |
| [Execution:S3/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-s3-maliciousfile-recoverypoint) | AWS 백업 | Backup용 Malware Protection | 탐지된 위협에 따라 다름 |
| [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](guardduty-finding-types-eks-audit-logs.md#credaccess-kubernetes-anomalousbehavior-secretsaccessed) | Kubernetes | EKS 감사 로그 | 중간 |
| [CredentialAccess:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcaller) | Kubernetes | EKS 감사 로그 | 높음 |
| [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 감사 로그 | 높음 |
| [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 감사 로그 | 높음 |
| [CredentialAccess:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-toripcaller) | Kubernetes | EKS 감사 로그 | 높음 |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcaller) | Kubernetes | EKS 감사 로그 | 높음 |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 감사 로그 | 높음 |
| [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 감사 로그 | 높음 |
| [DefenseEvasion:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-toripcaller) | Kubernetes | EKS 감사 로그 | 높음 |
| [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-anomalousbehavrior-permissionchecked) | Kubernetes | EKS 감사 로그 | 낮음 |
| [Discovery:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcaller) | Kubernetes | EKS 감사 로그 | 중간 |
| [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 감사 로그 | 중간 |
| [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 감사 로그 | 중간 |
| [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller) | Kubernetes | EKS 감사 로그 | 중간 |
| [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod) | Kubernetes | EKS 감사 로그 | 중간 |
| [Execution:Kubernetes/AnomalousBehavior.ExecInPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-anomalousbehvaior-execinprod) | Kubernetes | EKS 감사 로그 | 중간 |
| [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](guardduty-finding-types-eks-audit-logs.md#exec-kubernetes-anomalousbehavior-workloaddeployed) | Kubernetes | EKS 감사 로그 | 낮음 |
| [Impact:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcaller) | Kubernetes | EKS 감사 로그 | 높음 |
| [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 감사 로그 | 높음 |
| [Impact:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 감사 로그 | 높음 |
| [Impact:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-toripcaller) | Kubernetes | EKS 감사 로그 | 높음 |
| [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount) | Kubernetes | EKS 감사 로그 | 중간 |
| [Persistence:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcaller) | Kubernetes | EKS 감사 로그 | 중간 |
| [Persistence:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 감사 로그 | 중간 |
| [Persistence:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 감사 로그 | 높음 |
| [Persistence:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-toripcaller) | Kubernetes | EKS 감사 로그 | 중간 |
| [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount) | Kubernetes | EKS 감사 로그 | 높음 |
| [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted) | Kubernetes | EKS 감사 로그 | 높음 |
| [Policy:Kubernetes/KubeflowDashboardExposed](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-kubeflowdashboardexposed) | Kubernetes | EKS 감사 로그 | 중간 |
| [Policy:Kubernetes/ExposedDashboard](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-exposeddashboard) | Kubernetes | EKS 감사 로그 | 중간 |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolebindingcreated) | Kubernetes | EKS 감사 로그 | 중간[*](#gdu-active-findings-variable-severity) |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolecreated) | Kubernetes | EKS 감사 로그 | 낮음 |
| [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount) | Kubernetes | EKS 감사 로그 | 높음 |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer) | Kubernetes | EKS 감사 로그 | 높음 |
| [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer) | Kubernetes | EKS 감사 로그 | 중간 |
| [Backdoor:Lambda/C&CActivity.B](lambda-protection-finding-types.md#backdoor-lambda-ccactivity-b) | Lambda | Lambda 네트워크 활동 모니터링 | 높음 |
| [CryptoCurrency:Lambda/BitcoinTool.B](lambda-protection-finding-types.md#cryptocurrency-lambda-bitcointool-b) | Lambda | Lambda 네트워크 활동 모니터링 | 높음 |
| [Trojan:Lambda/BlackholeTraffic](lambda-protection-finding-types.md#trojan-lambda-blackhole-traffic) | Lambda | Lambda 네트워크 활동 모니터링 | 중간 |
| [Trojan:Lambda/DropPoint](lambda-protection-finding-types.md#trojan-lambda-drop-point) | Lambda | Lambda 네트워크 활동 모니터링 | 중간 |
| [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom) | Lambda | Lambda 네트워크 활동 모니터링 | 중간 |
| [UnauthorizedAccess:Lambda/TorClient](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-client) | Lambda | Lambda 네트워크 활동 모니터링 | 높음 |
| [UnauthorizedAccess:Lambda/TorRelay](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-relay) | Lambda | Lambda 네트워크 활동 모니터링 | 높음 |
| [Object:S3/MaliciousFile](gdu-malware-protection-s3-finding-types.md#s3-object-s3-malicious-file) | S3Object | S3에 대한 맬웨어 방지 | 높음 |
| [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](findings-rds-protection.md#credaccess-rds-anombehavior-failedlogin) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 낮음 |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](findings-rds-protection.md#credaccess-rds-anombehavior-successfulbruteforce) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 높음 |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-anombehavior-successlogin) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 변수[*](#gdu-active-findings-variable-severity) |
| [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-failedlogin) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 중간 |
| [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-successfullogin) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 높음 |
| [CredentialAccess:RDS/TorIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-toripcaller-failedlogin) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 중간 |
| [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-toripcaller-successfullogin) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 높음 |
| [Discovery:RDS/MaliciousIPCaller](findings-rds-protection.md#discovery-rds-maliciousipcaller) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 중간 |
| [Discovery:RDS/TorIPCaller](findings-rds-protection.md#discovery-rds-toripcaller) | [지원되는 Amazon Aurora, Amazon RDS 및 Aurora Limitless 데이터베이스](rds-protection.md#rds-pro-supported-db) | RDS 로그인 활동 모니터링 | 중간 |
| [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [DefenseEvasion:Runtime/FilelessExecution](findings-runtime-monitoring.md#defenseeva-runtime-filelessexecution) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [DefenseEvasion:Runtime/KernelModuleLoaded](findings-runtime-monitoring.md#defenseevasion-runtime-kernelmoduleloaded) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [DefenseEvasion:Runtime/ProcessInjection.Proc](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionproc) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 낮음 |
| [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Discovery:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#discovery-runtime-suspicious-command) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 낮음 |
| [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 변수 |
| [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 낮음 |
| [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 변수 |
| [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 낮음 |
| [Persistence:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#persistence-runtime-suspicious-command) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [PrivilegeEscalation:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#privilege-escalation-runtime-suspicious-command) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 중간 |
| [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [UnauthorizedAccess:Runtime/TorClient](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torclient) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [UnauthorizedAccess:Runtime/TorRelay](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torrelay) | 인스턴스, EKS 클러스터, ECS 클러스터 또는 컨테이너 | 런타임 모니터링 | 높음 |
| [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [Behavior:EC2/NetworkPortUnusual](guardduty_finding-types-ec2.md#behavior-ec2-networkportunusual) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [Behavior:EC2/TrafficVolumeUnusual](guardduty_finding-types-ec2.md#behavior-ec2-trafficvolumeunusual) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [DefenseEvasion:EC2/UnusualDNSResolver](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdnsresolver) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [DefenseEvasion:EC2/UnusualDoHActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unsualdohactivity) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [DefenseEvasion:EC2/UnusualDoTActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdotactivity) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 낮음[*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/PortProbeEMRUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeemrunprotectedport) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 낮음[*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 중간 |
| [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 낮음[*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 낮음[*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |
| [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay) | Amazon EC2 | VPC 흐름 로그[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 높음 |