기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon GuardDuty란 무엇인가요?
<a name="what-is-guardduty"></a>

Amazon GuardDuty는 AWS 환경의 AWS 데이터 소스 및 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다. GuardDuty는 악성 IP 주소 및 도메인 목록, 파일 해시, 기계 학습(ML) 모델과 같은 위협 인텔리전스 피드를 사용하여 AWS 환경에서 의심스럽고 잠재적으로 악의적인 활동을 식별합니다. 다음 목록은 GuardDuty가 탐지하는 데 도움이 될 수 있는 잠재적 위협 시나리오에 대한 개요를 제공합니다.
+ 손상된 자격 증명 및 유출된 AWS 자격 증명.
+ 랜섬웨어 이벤트로 이어질 수 있는 데이터 유출 및 파괴. 지원되는 엔진 버전의 Amazon Aurora 및 Amazon RDS 데이터베이스에서 비정상적인 패턴의 로그인 이벤트가 발생하여 비정상적인 동작을 나타냅니다.
+ Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스 및 컨테이너 워크로드에서 승인되지 않은 크립토마이닝 활동.
+ Amazon EC2 인스턴스 및 컨테이너 워크로드에 멀웨어가 있는지 여부, Amazon S3(Amazon Simple Storage Service) 버킷에 새로 업로드된 파일이 있는지 여부.
+ 운영 체제 수준, 네트워킹, 파일 이벤트는 Amazon EKS(Amazon Elastic Kubernetes Service) 클러스터, Amazon ECS(Amazon Elastic Container Service) - AWS Fargate 작업, Amazon EC2 인스턴스 및 컨테이너 워크로드에서 승인되지 않은 동작을 나타냅니다.

다음 동영상에서는 GuardDuty가 AWS 환경에서 위협을 탐지하는 데 어떻게 도움이 되는지에 대한 개요를 제공합니다.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA)


**Topics**
+ [GuardDuty의 기능](#features-of-guardduty)
+ [PCI DSS 준수](#guardduty-pci-dss-compliance)
+ [GuardDuty 요금](guardduty-pricing.md)
+ [GuardDuty 액세스](guardduty-access.md)

## GuardDuty의 기능
<a name="features-of-guardduty"></a>

다음은 Amazon GuardDuty가 AWS 환경의 잠재적 위협을 모니터링, 탐지 및 관리하는 데 도움이 되는 몇 가지 주요 방법입니다.

**특정 데이터 소스 및 이벤트 로그를 지속적으로 모니터링**  
+ **기본 위협 탐지** -에서 GuardDuty를 활성화하면 AWS 계정 GuardDuty는 해당 계정과 연결된 기본 데이터 소스 수집을 자동으로 시작합니다. 이러한 데이터 소스에는 AWS CloudTrail 관리 이벤트, VPC 흐름 로그(Amazon EC2 인스턴스에서) 및 DNS 로그가 포함됩니다. GuardDuty가 관련 보안 조사 결과를 생성하기 위해 이러한 데이터 소스의 분석 및 처리를 시작하기 위해 다른 기능을 활성화할 필요는 없습니다. 자세한 내용은 [GuardDuty 기본 데이터 소스](guardduty_data-sources.md) 단원을 참조하십시오.
+ **확장 위협 탐지** -이 기능은 내에서 기본 데이터 소스, 여러 유형의 AWS 리소스 및 시간에 걸친 다단계 공격을 탐지합니다 AWS 계정. 계정에는 개별적으로 명확한 위협으로 보이지 않는 여러 이벤트가 있을 수 있습니다. 그러나 의심스러운 활동을 나타내는 시퀀스에서 이러한 이벤트가 관찰되면 GuardDuty는 이를 공격 시퀀스로 식별합니다. GuardDuty는 연결된 공격 시퀀스 조사 결과 유형을 생성하여 관찰된 공격 시퀀스에 대한 세부 정보를 제공하여 사용자에게 알립니다.

  추가 비용 없이 GuardDuty를 활성화 AWS 계정 하면 각에 대해 확장 위협 탐지가 자동으로 활성화됩니다. 이 기능을 사용하면 사용 사례 중심 보호 계획을 활성화할 필요가 없습니다. 그러나 Amazon S3 리소스의 보안을 강화하기 위해 GuardDuty는 계정에서 S3 보호를 활성화할 것을 권장합니다. 이렇게 하면 Extended Threat Detection가 Amazon S3 리소스에 잠재적으로 영향을 미칠 수 있는 다단계 공격을 식별하는 데 도움이 됩니다.

  이 기능의 작동 방식과 해당 기능이 다루는 위협 시나리오에 대한 자세한 내용은 [GuardDuty Extended Threat Detection](guardduty-extended-threat-detection.md) 섹션을 참조하세요.
+ **사용 사례 중심의 GuardDuty 보호 계획 -** AWS 환경의 보안에 대한 위협 탐지 가시성을 높이기 위해 GuardDuty는 활성화하도록 선택할 수 있는 전용 보호 계획을 제공합니다. 보호 계획은 다른 AWS 서비스의 로그 및 이벤트를 모니터링하는 데 도움이 됩니다. 이러한 소스에는 EKS 감사 로그, RDS 로그인 활동, CloudTrail의 Amazon S3 데이터 이벤트, EBS 볼륨, Amazon EKS, Amazon EC2 및 Amazon ECS-Fargate 전반의 런타임 모니터링, Lambda 네트워크 활동 로그가 포함됩니다. GuardDuty는 - [기능](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)이라는 용어로 이러한 로그 및 이벤트 소스를 통합합니다. AWS 리전 언제든지 지원되는에서 하나 이상의 전용 보호 플랜을 활성화할 수 있습니다. GuardDuty는 사용 설정한 보호 계획에 따라 활동을 모니터링, 처리 및 분석하기 시작합니다. 각 보호 계획과 그 작동 방식에 대한 자세한 내용은 해당 보호 계획 문서를 참조하세요.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/what-is-guardduty.html)
**S3에 대해 독립적으로 맬웨어 보호 활성화**  
GuardDuty는 Amazon GuardDuty 서비스를 활성화하지 않고도 S3용 맬웨어 보호를 독립적으로 사용할 수 있는 유연성을 제공합니다. S3용 맬웨어 보호만 시작하는 방법에 대한 자세한 내용은 [S3용 GuardDuty 맬웨어 보호](gdu-malware-protection-s3.md)을 참조하세요. 다른 모든 보호 요금제를 사용하려면 GuardDuty 서비스를 활성화해야 합니다.

**다중 계정 환경 관리**  
 AWS Organizations (권장) 또는 레거시 초대 방법을 사용하여 다중 계정 AWS 환경을 관리할 수 있습니다. 자세한 내용은 [GuardDuty의 여러 계정](guardduty_accounts.md) 단원을 참조하십시오.

**탐지된 위협에 대한 보안 조사 결과 생성**  
GuardDuty가 AWS 리소스와 관련된 잠재적 보안 위협을 탐지하면 잠재적으로 손상된 리소스에 대한 정보를 제공하는 보안 조사 결과가 생성되기 시작합니다. 계정에서 GuardDuty를 활성화한 후 [샘플 조사 결과](sample_findings.md)를 생성하여 연결된 [결과 세부 정보](guardduty_findings-summary.md)를 확인합니다. 보안 조사 결과의 전체 목록은 [GuardDuty 결과 유형](guardduty_finding-types-active.md)을 참조하세요.  
GuardDuty를 사용하면 특정 GuardDuty 보안 조사 결과를 생성하는 테스터 스크립트를 사용하여 GuardDuty 조사 결과를 검토하고 이에 대응하는 방법을 이해할 수도 있습니다. 자세한 내용은 [전용 계정에서 GuardDuty 조사 결과 테스트](guardduty_findings-scripts.md) 단원을 참조하십시오.

**보안 조사 결과 평가 및 관리**  
GuardDuty는 여러 계정의 보안 조사 결과를 통합하여 GuardDuty 콘솔의 요약 대시보드에 조사 결과를 표시합니다. AWS Security Hub CSPM API AWS Command Line Interface또는 AWS SDK를 통해 조사 결과를 검색할 수도 있습니다. 현재 보안 상태를 전체적으로 파악하여 추세와 잠재적 문제를 파악하고 필요한 개선 조치를 취할 수 있습니다. 자세한 내용은 [GuardDuty 조사 결과 관리](findings_management.md) 단원을 참조하십시오.

 **관련 AWS 보안 서비스와 통합**   
 AWS 환경의 보안 추세를 분석하고 조사하는 데 도움이 되도록 다음 AWS 보안 관련 서비스를 GuardDuty와 함께 사용하는 것이 좋습니다.  
+ **AWS Security Hub CSPM** -이 서비스는 리소스의 보안 상태를 AWS 포괄적으로 파악하고 보안 업계 표준 및 모범 사례를 기준으로 AWS 환경을 확인하는 데 도움이 됩니다. 이는 부분적으로 여러 AWS 서비스(Amazon Macie 포함) 및 지원되는 AWS 파트너 네트워크(APN) 제품의 보안 조사 결과를 사용, 집계, 구성 및 우선 순위를 지정하여 이를 수행합니다. Security Hub CSPM을 사용하면 보안 추세를 분석하고 AWS 환경 전체에서 우선순위가 가장 높은 보안 문제를 식별할 수 있습니다.

  GuardDuty와 Security Hub CSPM을 함께 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요[GuardDuty와 통합 AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub). Security Hub CSPM에 대한 자세한 내용은 [AWS Security Hub 사용 설명서를](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 참조하세요.
+ **Amazon Detective** - 이 서비스는 사용자가 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 분석 및 조사하고 신속하게 식별하는 데 도움이 됩니다. Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집합니다. 그런 다음 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적으로 보안 조사를 수행할 수 있도록 시각화를 생성합니다. Detective는 미리 구축된 데이터 집계, 요약 및 컨텍스트를 통해 잠재적인 보안 문제의 성격과 범위를 분석하고 판단할 수 있도록 도와줍니다.

  GuardDuty와 Detective를 함께 사용하는 방법에 대한 자세한 내용은 [Amazon Detective와의 GuardDuty 통합](guardduty_integrations.md#gd-detective)를 참조하세요. Detective에 대한 자세한 내용은 [Amazon Detective 사용 설명서](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html)를 참조하세요.
+ **Amazon EventBridge** - 이 서비스는 알림을 수신하고 거의 실시간으로 GuardDuty 보안 조사 결과에 응답하는 데 도움이 됩니다. GuardDuty는 조사 결과에 변화가 있을 때 이벤트를 생성합니다. 이벤트브리지로부터 알림을 얼마나 자주 받을지 선택할 수 있습니다. 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [Amazon EventBridge란](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 섹션을 참조하세요.

## PCI DSS 준수
<a name="guardduty-pci-dss-compliance"></a>

GuardDuty에서는 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원하며, Payment Card Industry(PCI) Data Security Standard(DSS) 준수를 검증받았습니다. PCI 규정 준수 패키지의 사본을 요청하는 방법을 포함하여 AWS PCI DSS에 대한 자세한 내용은 [PCI DSS 레벨 1](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)을 참조하세요.

자세한 내용은 *AWS 보안 블로그*의 [새로운 타사 테스트에서 Amazon GuardDuty와 네트워크 침입 탐지 시스템 비교](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/)를 참조하세요.

# GuardDuty 요금
<a name="guardduty-pricing"></a>

이 섹션에서는 GuardDuty가 다양한 보호 플랜에 사용하는 AWS 프리 티어 모델과 예상 및 실제 사용 비용을 보는 방법에 중점을 둡니다. 지원되는 리전의 모든 보호 플랜과 관련된 요금 세부 정보를 찾으려면 [GuardDuty 요금](https://aws.amazon.com/guardduty/pricing/)을 참조하세요.

**AWS 프리 티어**  
AWS 프리 티어 를 사용하면 각 서비스에 대해 지정된 한도까지 AWS 서비스 무료로 탐색하고 시도할 수 있습니다. 12개월 무료, 항상 무료, 단기 무료 평가판의 세 가지 카테고리가 있습니다. Amazon GuardDuty는 단기 무료 체험 카테고리에 속하며 30일 무료 체험을 제공합니다. 무료 평가판이 종료된 후에도 GuardDuty를 계속 사용하면 서비스 사용 방식에 따라 비용이 발생하기 시작합니다.

****1**GuardDuty 30일 무료 평가판 제외**  
온디맨드 멀웨어 검사(EC2용 멀웨어 보호에 포함) 및 S3용 멀웨어 보호는 GuardDuty 30일 단기 무료 평가판 범주에 포함되지 않습니다. S3용 멀웨어 보호는 AWS 프리 티어 의 12개월 무료 범주에 속하지만 온디맨드 멀웨어 스캔은 사용량에 따라 비용을 지불하는 모델을 따릅니다. 30일 무료 평가판 또는 온디맨드 멀웨어 검사가 포함된 12개월 무료 티어 요금제는 없습니다.

## GuardDuty 30일 무료 평가판 사용
<a name="using-guardduty-30-day-free-trial"></a>

에서 GuardDuty를 처음 사용하는 경우 AWS 리전 AWS 계정 는 해당 리전에서 30일 무료 평가판에 자동으로 등록됩니다. 일부 보호 요금제는 자동으로 활성화되며 30일 무료 체험판에 포함되어 있습니다. GuardDuty는 리전 서비스이므로, 다른 리전에서 처음 활성화할 경우 그 리전에서 GuardDuty의 30일 무료 체험판이 제공됩니다. GuardDuty 조직에서 여러 계정으로 작업하는 경우 각 계정에는 30일 무료 평가판이 제공됩니다.

다음 표를 사용하여 GuardDuty에서 기본적으로 활성화되는 보호 플랜과 무료 평가판 가용성을 검토합니다.


| 보호 계획 | GuardDuty에서 기본적으로 활성화됨 | 별도의 무료 평가판 가용성**[2](#protection-plan-separate-enablement-gdu)** | 
| --- | --- | --- | 
| [EKS 보호](kubernetes-protection.md) | 예 | 예 | 
| [S3 보호](s3-protection.md) | 예 | 예 | 
| [런타임 모니터링](runtime-monitoring.md) | 아니요 | 예 | 
| [EC2에 대한 맬웨어 방지](malware-protection.md) – [GuardDuty에서 시작한 맬웨어 스캔](gdu-initiated-malware-scan.md)  | 예 | 예 | 
|  [EC2에 대한 맬웨어 방지](malware-protection.md) – [GuardDuty의 온디맨드 맬웨어 스캔](on-demand-malware-scan.md)  | 아니요 | 아니요[1](#protection-plan-exception-free-trial-gdu) | 
| [S3용 GuardDuty 맬웨어 보호](gdu-malware-protection-s3.md) | 아니요 | 아니요[1](#protection-plan-exception-free-trial-gdu) | 
| [RDS 보호](rds-protection.md) | 예 | 예 | 
| [Lambda 보호](lambda-protection.md) | 예 | 예 | 

**2**GuardDuty를 처음 활성화하면 보호 플랜(Runtime Monitoring 제외)이 자동으로 활성화되고 초기 30일 무료 평가판에 포함됩니다. 기존 GuardDuty 계정이 초기 GuardDuty 무료 평가판이 만료된 후 새 보호 플랜을 활성화하면 해당 보호 플랜은 자체 30일 무료 평가판과 함께 제공됩니다. 보호 요금제 무료 체험에 대한 자세한 내용은 각 보호 요금제와 관련된 문서를 참조하세요.

**무료 평가판 동안의 예상 사용 비용 보기** - GuardDuty의 30일 무료 평가판 및 잠재적으로 보호 플랜 동안 GuardDuty는 계정에 대한 예상 사용 비용을 제공합니다. 위임된 GuardDuty 관리자 계정인 경우 GuardDuty를 사용 설정한 모든 멤버 계정에 대한 총 예상 사용 비용 및 계정 수준 내역을 볼 수 있습니다. 자세한 내용은 [GuardDuty 사용량 모니터링 및 비용 추정](monitoring_costs.md) 단원을 참조하십시오.

**무료 평가판 종료 후 사용 비용** - 무료 평가판 종료 후 GuardDuty 또는 보호 플랜을 계속 사용하면 관련 사용 비용이 발생하기 시작합니다. 청구서를 보려면 [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) 콘솔에서 **Cost Explorer**로 이동합니다. AWS 계정 결제에 대한 자세한 내용은 [AWS Billing 사용 설명서를](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html) 참조하세요.

## 12개월 무료 티어와 함께 S3용 멀웨어 방지 사용
<a name="using-free-tier-malware-protection-for-s3"></a>

S3용 맬웨어 보호는 신규, 진행 중인 프리 티어가 있거나 12개월 프리 티어가 만료 AWS 계정 된와 연결된 프리 티어 플랜을 사용합니다. 자세한 내용은 [S3용 맬웨어 보호의 가격 및 사용 비용](pricing-malware-protection-for-s3-guardduty.md) 단원을 참조하십시오.

# GuardDuty 액세스
<a name="guardduty-access"></a>

Amazon GuardDuty는 대부분에서 사용할 수 있습니다 AWS 리전. 현재 GuardDuty를 사용할 수 있는 지역 목록은 [리전 및 엔드포인트](guardduty_regions.md)을 참조하세요.

다음과 같은 방법으로 GuardDuty를 사용할 수 있습니다.

**GuardDuty 콘솔**  
[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)  
콘솔은 GuardDuty에 액세스하고 사용하기 위한 브라우저 기반 인터페이스입니다. GuardDuty 콘솔은 GuardDuty 계정, 데이터, 리소스에 대한 액세스를 제공합니다.

**AWS Command Line Interface**  
 AWS Command Line Interface (AWS CLI)를 사용하면 시스템의 명령줄에서 명령을 실행하여 GuardDuty 작업 및 AWS 작업을 수행할 수 있습니다. 이 AWS CLI 명령은 작업을 수행하는 스크립트를 빌드하려는 경우에 유용합니다.  
설치 및 사용에 대한 자세한 내용은 [AWS Command Line Interface 사용 설명서를](https://docs.aws.amazon.com/cli/latest/userguide/) AWS CLI참조하세요. GuardDuty에 사용할 수 있는 AWS CLI 명령을 보려면 [AWS CLI 명령 참조](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html)를 참조하세요.

**GuardDuty HTTPS API**  
서비스에 직접 HTTPS 요청을 실행할 수 있는 GuardDuty HTTPS API를 사용하여 AWS 프로그래밍 방식으로 GuardDuty에 액세스할 수 있습니다. 자세한 내용은 [Amazon GuardDuty API 참조](https://docs.aws.amazon.com/guardduty/latest/APIReference/)를 참조하세요.

**AWS SDKs**  
AWS 는 다양한 프로그래밍 언어 및 플랫폼(Java, Python, Ruby, .NET, iOS, Android 등)을 위한 라이브러리 및 샘플 코드로 구성된 소프트웨어 개발 키트(SDKs)를 제공합니다. SDK를 사용하면 편리하게 GuardDuty에 프로그래밍 방식으로 액세스할 수 있습니다. 다운로드 및 설치 방법을 비롯하여 AWS SDK에 대한 자세한 내용은 [Amazon Web Services용 도구](https://aws.amazon.com/tools/) 페이지를 참조하세요.