경감조치 (1) 썸네일형 리스트형 AWS Security Hub 를 통해 GuardDuty 에서 발견된 로그 자동으로 경감조치하기 (custom action) AWS GuardDuty의 기능에 대해서는 이미 여러 곳에서 언급되었기에 생략하겠습니다. 여기서의 요점은 GuardDuty에서 진단하는 이 로그들을 토대로 경감조치 Remediation의 자동화를 어떻게 할 것이냐입니다. 예를 들어 하나의 인스턴스가 악성 봇에 감염되어 다른 인스턴스에 Ping을 보내고 포트스캔을 시도한 흔적을 GuardDuty에서 발견했습니다. 또 다른 인스턴스에 접근하지 못하게 재빨리 감염된 인스턴스에 대해 조치를 취해야 할 것입니다. 만약 보안 관리자가 발견하였다면 즉각 조치가 취해지겠지만 늦게 발견하였다면? 그리고 일일이 보안 관리자가 직접 조치를 해야 한다면? 이런 상황에서 탐지된 로그를 바탕으로 자동조치를 취하는 케이스에 대해 알아보고자 합니다. 시나리오는 다음과 같습니다. 1.. 이전 1 다음
