Aws guard duty security monitoring service

Sub Title (부제가 없을 경우 날짜 : 2017.05.26)
BESPIN GLOBAL OVERVIEWAWS GuardDuty 보안관제 서비스
베스핀글로벌은 클라우드 도입-운영-관리를 돕는 최고의 동반자입니다.

Copyright © 2018 Bespin Global Inc. All rights reserved | Confidential
http://www.bespinglobal.com
2
AWS GuardDuty 보안관제 서비스
AWS 환경에서의 보안 위협
AWS 클라우드 환경에서 다양한 보안 위협 중 가장 강력한 기능을 가지고 있는 Account 위협 탐지, 대부분의 서비스를 구성하는 EC2
에 대한 침입 시도, 비즈니스 영위를 위한 보안 컴플라이언스 준수가 AWS Cloud 환경에서의 보안 Key-Point
AWS Account Protect EC2 Intrusion Detect Compliance
▪ 비정상 콘솔 로그인 감지
▪ 악의적인 IP에서의 API 호출
▪ SG, ACL 호출 감사
▪ IAM 정책 변경 감사
▪ Malware IP 통신 탐지
▪ 악의적인 원격 호스트 통신 탐지
▪ 포트 스캔 탐지
▪ DNS 쿼리 데이터 유출 탐지
▪ 정보통신망 이용촉진 및 정보보호
등에 관한 법률 제45조
▪ ISMS 2.11.3 이상행위 분석 및 모니터
링 준수
• ISMS-P 2.10.2 클라우드 보안 준수

3
CloudTrail Log
VPC Flow Log
DNS Log
Reconnaissance
Instance Threat
Account Threat
GuardDuty
서비스에 대한 포트스캔등의 정
찰 행위, 운영중인 인스턴스에
대한 침해, 계정에 대한 침해
각 서비스들의 API호출 정보, 네
트워크 로그 분석, DNS 호출 내
역 분석
각 로그 정보를 기반으로 머신
러닝 기반을 통해 이상 행동 탐
지
위협 분석
탐지 유형 로그 수집 Intelligent Threat Detection
AWS GuardDuty ?
GuardDuty 아키텍처 변경이나, 성능저하 없이 위협 탐지 “No Agents, No Sensors, No Network Appliances”
AWS Account 및 리소스에 대한 상시모니터링

4
AWS GuardDuty 차별점
Web Application
Firewall
Intrusion
Prevention System
Next-Generation
Firewall
AWS GuardDuty
Multiprotocol Security
IP Reputation
Web Attack Signatures
Web Vulnerabilities signatures
Automatic Policy Learning
URL, Parameter, Cookie and Form
Protection
Leverage Vulnerability scan result
Account(IAM) threat detect
Unauthorized Access below average
Good to very good
Average or fair
기존 3rd-party 보안 솔루션에서 탐지할 수 없는 영역에 대한 탐지, Brute Force Attack, VPC Port Scan, C&C IP 등 기존 IPS의 기
능 수행

5
BSP GuardDuty 보안관제 서비스
DetectAnalyze FindingsMonitoring Response Report
AWS GuardDuty BSP Security Monitoring Service
✔VPC Flow Logs
✔DNS Logs
✔CloudTrail Events
✔대규모의 네트워크
및 계정(Account) 활
동을 자동으로 분석
하여 광범위하고 지
속적인 모니터링 수
행
✔IP 평판 분석
✔DNS Query Log 분석
✔API 호출 분석
✔포트 스캔
✔비정상 활동 패턴 탐
지
✔침입탐지 도구 탐지
✔비인가 사용자의 행
위 탐지
✔C&C 통신 탐지
✔AWS Lambda +
ElasticSerch +
Kibana 를 통한 공격
현황 확인
✔위협 이벤트 발생 현
황
✔공격 대상, 공격 시도,
공격 국가에 대한 통
계 현황
✔발생 공격에 대한 자
동 차단
✔침해시도 Tracking 을
위한 로그 자동 저장
✔침해시도에 대한 E-
mail 알림
✔침해시도 발생건에
대한 월간 통계 정보
제공
✔주요 Target 시스템에
대한 가이드 제공
AWS GuardDuty 서비스가 제공해주지 않는 “공격 현황에 대한 가시성 제공”, “공격에 대한 자동 대응”, “침해시도에 대한 현황 레
포트 제공”

6
Configuration Process
1. 서비스 구성을 위한 관리자 계정 생성(IAM)
2. GuardDuty 서비스 활성화
3. ElasticSearch Service Domain 생성
4. NACL 자동 차단, 대시보드 연동, 로그 자동 저장 Lambda 생성
5. NACL 차단 해제 Lambda 생성
6. AWS SNS 설정
7. Guardduty 이벤트 발생시 Cloudwatch Lambda, SNS 자동 호출 설정
8. VPC 설정, 도메인 설정에 따른 Lambda 설정 수정
9. Kibana 대시 보드 구성
10. GuardDuty 탐지 모드 설정
■ Configuration Process

7
Service Process
탐지(AWS) 검증 보고 대응
GuardDuty
부정행위탐지
부정행위 검토
고객사
인터뷰 진행
정책 수립
(위험 분류)
정책 적용
부정행위 보고 대응
예외대상 분류
정책 업데이트
요청에 따른
예외처리
예외처리 검토 후속 조치
구축 프로세스
운영 프로세스
고객사 검토
• 부정행위탐지 유형
- 정찰
- 인스턴스 침해
- 계정 침해
• 부정행위탐지 방법
- 대쉬보드
- E-mail 알림
탐지
검증
• 부정행위탐지 검토
- IAM, CloudTrail, NACL 로그 검토
• 정책수립
- 고객사 환경에 따른 심각도 분류
- 심각도를 기반 자동차단 항목 선정
대응
• 후속 조치
- 위협 계정 사용자 인터뷰 수행
- 권한 재검토
정탐
Service Process

8
Dashboard

9
Alert Email

10
서비스영역 상세 제공 서비스 (Offering) Basic Premium 비고
GuardDuty
보안관제 서비스
모니터링 위협 24x365 모니터링 ● ● - 24X365 Hot Line 지원
정책관리
정책 수립 ● ● - 자동차단 정책 설정
위협 이벤트 관리 ● - 오탐, 신뢰 IP 예외처리 (최적화)
차단 로그 자동 저장
Elastic Search 인덱스 관리
● - 설정(config) 관리
탐지 위협 알림 ● ● - 고객 담당자 E-mail 통보
분석 보안 이벤트 통계 정보 분석 ● - 이상 징후 분석
대응
위협 수동 차단 ● ●
- 보안 침해 시 공격자 IP/Port 차단 수행
위협 자동 차단 ●
위협 차단 IP 자동 해제 ● - 차단된 IP/Port 자동 해제
View 위협 통계 DashBoard 제공 ● - 보안 위협에 대한 가시화
보고서 월간 위협 보고서 제공 ● - 침해 대응/분석 결과 리포트
서비스 상품 구성

11
AWS Service Role ETC
GuardDuty - 위협 탐지
CloudWatch
- 자동 차단 기능 Lambda 호출
- 위협 이벤트 알림을 위한 AWS SNS 호출
Lambda
- 위협 이벤트에 대한 NACL 정책 추가
- Memory 256 Mb 사용- 위협 이벤트 S3 저장
- 위협 이벤트 파싱 및 Elastic Search 전달
- S3 저장되어 있는 위협 IP 해제
- Memory 256 Mb 사용
- 5분 후 자동 해제(Default)
Elastic Search - 위협 이벤트 데이터 저장 및 Kibana 연동
- M4.large
- EBS 10G 사용(유동적)
Kibana - 위협 이벤트 모니터링 대시보드
S3
- Lambda 소스 보관
- 위협 이벤트 저장
- Allow, Black List IP 관리
- Elastic Search index 저장
Network ACL - 위협 이벤트 차단 - NACL 정책 Limit : 20개
SNS - 위협 이벤트 정보 E-mail 발송
IAM
- Lambda Access 역할 생성
(Access 대상 : Cloudwatch log, lambda, Elastic Search, S3, NACL)
[첨부] 서비스 필요 사양 및 구성 요소

12
[첨부] AWS GuardDuty 위협 탐지 유형
정찰 인스턴스 침해 어카운트 침해
Port Probe/Accepted Comm C&C Activity Malicious API Call (bad IP)
Port Scan (intra-VPC) Malicious Domain Request Tor API Call (accepted)
Brute Force Attack (IP) EC2 on Threat List CloudTrail Disabled
Drop Point (IP) Drop Point IP Password Policy Change
Tor Communications Malicious Comms (ASIS) Instance Launch Unusual
Bitcoin Mining Region Activity Unusual
Outbound DDoS Suspicious Console Login
Spambot Activity Unusual ISP Caller
Outbound SSH Brute Force Mutating API Calls (create, update, delete)
Unusual Network Port High Volume of Describe calls
Unusual Traffic Volume/Direction Unusual IAM User Added
Unusual DNS Requests
Domain Generated Algorithms

Aws guard duty security monitoring service

More Related Content

What's hot (20)

Similar to Aws guard duty security monitoring service (20)

More from BESPIN GLOBAL (20)

Aws guard duty security monitoring service