# AWS GuardDuty ## 개요 Panther는 Amazon Web Services (AWS) [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 일반적인 방식을 통한 로그 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: * **Amazon S3**: 다음을 참조하세요 [아래의 S3를 사용한 GuardDuty 로그 온보딩 지침](#how-to-onboard-aws-guardduty-logs-to-panther-using-s3). * **Amazon SQS**: 다음을 참조하세요 [아래의 SQS를 사용한 GuardDuty 로그 온보딩 지침](#how-to-onboard-aws-guardduty-logs-to-panther-using-sqs). 다음을 사용하여 GuardDuty 로그를 수집할 수도 있습니다 [Amazon EventBridge](/ko/data-onboarding/data-transports/aws/eventbridge.md). ## S3를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법 {% hint style="info" %} 아래 비디오는 다소 오래된 Panther Console을 보여줍니다. 현재 안내는 비디오 아래의 단계별 지침을 따르세요. {% endhint %} {% embed url="" %} {% hint style="warning" %} 이 방식으로 AWS GuardDuty 로그를 수집하려면 KMS 키 ARN을 입력해야 합니다. 서버 측 암호화(SSE)가 활성화되어 있지만 KMS 키를 생성할 수 없는 경우, 이 과정을 중단하고 대신 [사용자 지정 S3 로그 소스](/ko/data-onboarding/data-transports/aws/s3.md) 를 설정하여 GuardDuty 로그를 수집하세요. 다음을 클릭하여 AWS.GuardDuty 스키마를 연결합니다 **접두사 및 스키마 구성(선택 사항)**. KMS 키를 입력할 필요는 없습니다.

{% endhint %} ### S3를 사용한 GuardDuty 로그 온보딩을 위한 사전 요구 사항 * 다음이 있습니다 [활성화된 GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd). ![](/files/d2ca17de55213ae1303e43e78a77a05dc380fddd) {% hint style="info" %} GuardDuty는 지역 서비스이므로 S3 내보내기 버킷과 KMS 키가 동일한 리전에 있어야 합니다. {% endhint %} ### 1단계: KMS 키 생성 1. AWS에서 올바른 리전에 있는 상태로 Key Management Service(KMS)로 이동합니다. 2. 다음을 클릭하세요. **Customer managed keys**의 가장 높은 패치 버전으로 업그레이드한 다음, **Create Key**. 3. 기본값을 그대로 둡니다 **키 유형** (**대칭형**) 및 **키 용도** (**암호화 및 복호화**) 선택을 유지한 다음 다음을 클릭합니다 **다음**.\ ![](/files/f7efd983520fc7e371f9c831d63a08a8722b531e) 4. 다음 항목에서 **레이블 추가** 페이지에서 **별칭** 원하는 `guardduty-log-key`. 5. 다음을 클릭하세요. **검토로 건너뛰기**. (이 키에 대한 정책은 다음 단계에서 추가합니다.)![](/files/dd35085673b86176665403a31b3db986b4831d14) 6. 다음을 클릭하세요. **완료**. 7. 다음 항목에서 **Customer managed keys** 목록에서 방금 생성한 키를 클릭하고, **ARN** 를 향후 단계에서 사용할 수 있도록 기록해 둡니다. ### 2단계: S3 버킷 생성 1. AWS에서 올바른 리전에 있는 상태로 S3로 이동합니다. 2. 다음에서 **범용 버킷**의 오른쪽에서, 다음을 클릭합니다 **버킷 생성**. 3. 다음 필드를 채웁니다: * 다음에서 **일반 구성** 타일에서 고유한 **버킷 이름** (예: `panther-guardduty-logs-`). * 다음에서 **기본 암호화** 타일: 1. \~에 대해 **암호화 유형**에서 다음을 선택하세요 **AWS Key Management Service 키를 사용하는 서버 측 암호화(SSE-KMS)**. 2. 다음에서 **AWS KMS 키**에서 다음을 선택하세요 **AWS KMS 키에서 선택**. 3. 다음에서 **사용 가능한 AWS KMS 키**, 에서 2단계에서 생성한 KMS 키를 선택합니다.

4. 다음을 클릭하세요. **버킷 생성**. 5. 다음 항목에서 **범용 버킷** 목록에서 방금 생성한 버킷의 이름을 클릭한 다음 **속성**, 그리고 **ARN** 를 향후 단계에서 사용할 수 있도록 기록해 둡니다. ### 3단계: GuardDuty 로그 내보내기 구성 1. AWS 콘솔에서 GuardDuty로 이동합니다. 2. 왼쪽 탐색 메뉴에서 다음을 클릭합니다 **설정**. 3. 내에서 **조사 결과 내보내기 옵션**, **S3 버킷**의 오른쪽에서, 다음을 클릭합니다 **지금 구성**.\ ![](/files/22f914b10a4284fd33c53e2e8ac4d31b6715b76c) 4. 조사 결과 내보내기 구성 필드를 채웁니다: * **S3 버킷 ARN**: 2단계에서 생성한 S3 버킷의 ARN을 입력합니다. * **KMS 키 ARN**: 1단계에서 생성한 KMS 키의 ARN을 입력합니다. 5. 내에서 **정책 연결**의 오른쪽에서, 다음을 클릭합니다 **S3 버킷의 정책 보기**. 다음을 클릭합니다 **복사**, 그런 다음 **S3 버킷 정책** 모달. 6. 이전에 생성한 버킷의 버킷 정책을 업데이트합니다: 1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 S3 서비스로 이동합니다. 2. 다음에서 **범용 버킷**, 에서 2단계에서 생성한 버킷의 이름을 클릭합니다. 3. 다음을 클릭하세요. **권한** 탭. 4. 버킷 정책 타일에서 다음을 클릭합니다 **편집**.\ ![](/files/f9929b5c8a751dfa8586ba07b27dcdb619cbaa87) 5. 정책 편집기에서 복사한 정책을 붙여넣은 다음 다음을 클릭합니다 **변경 사항 저장**. 7. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 **정책 연결**의 오른쪽에서, 다음을 클릭합니다 **KMS 키의 정책 보기**. 다음을 클릭합니다 **복사**, 그런 다음 **KMS 키 정책** 모달. 8. 이전에 생성한 KMS 키의 정책을 업데이트합니다: 1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 KMS 서비스로 이동합니다. 2. 다음에서 **Customer managed keys**, 에서 1단계에서 생성한 KMS 키의 별칭을 클릭합니다. 3. 아래 **Key policy** 탭에서 다음을 클릭합니다. **정책 보기로 전환**.\ ![](/files/2a84476b89c66f505b90c06fd362e03adaaa05b6) 4. 다음을 클릭하세요. **편집**. 5. 기존 콘솔 정책 후(즉, 다음 안의 객체) `Statement`), 쉼표를 추가한 다음 복사한 정책 문을 붙여넣습니다.\ ![](/files/5cb60b661d63f353ac940e032b75113bf6106963) 6. 다음을 클릭하세요. **변경 사항 저장**. 9. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 다음을 클릭합니다 **저장**. * 다음과 같은 알림이 표시되어야 합니다 **게시 대상이 성공적으로 생성되었습니다**. 그렇지 않으면 ARN과 정책을 다시 확인하거나 다음을 참조하세요 [AWS의 GuardDuty 내보내기 문서](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html). ### 4단계: Panther에 GuardDuty 온보딩 1. Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭하세요. **새로 만들기**. 3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **전송 메커니즘** 오른쪽 상단의 드롭다운이 다음 값으로 미리 채워집니다. **AWS S3 버킷** 옵션—이 옵션을 선택한 상태로 두고 다음을 클릭합니다 **설정 시작**.\ ![](/files/9cb8f570d49792d2c588f1036dd509478f5d5623) 5. 다음을 따르세요. [Panther의 S3 Source 구성 지침을](/ko/data-onboarding/data-transports/aws/s3.md), Step 1.4부터 시작합니다. * 위에서 생성한 KMS 키와 S3 버킷의 ARN이 필요합니다. ## SQS를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법 ### SQS를 사용한 GuardDuty 로그 온보딩을 위한 사전 요구 사항 * Panther 인스턴스의 AWS 계정 ID를 가지고 있어야 합니다. * 이 값을 찾으려면 Panther Console의 오른쪽 상단에서 기어 아이콘 > **일반.** 이 페이지의 푸터에서 **AWS 계정 ID**. ### 1단계: Panther에 AWS GuardDuty 소스 생성 GuardDuty 로그를 Panther로 가져오려면 먼저 Panther Console에서 AWS 계정의 데이터를 스트리밍할 S3 버킷 또는 SQS 대기열을 설정해야 합니다. 1. Panther Console의 왼쪽 탐색 표시줄에서 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭하세요. **새로 만들기**. 3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서 **전송 메커니즘** 오른쪽 상단의 드롭다운이 다음 값으로 미리 채워집니다. **AWS S3 버킷** 옵션. 이 옵션을 선택한 상태로 두거나 **AWS SQS Queue**. 5. 다음을 클릭하세요. **설정 시작**. 6. Panther의 [AWS SQS Queue](https://docs.panther.com/data-onboarding/data-transports/aws/sqs) Data Transport용 SQS 구성 문서를 따르세요. * 다음 항목에서 **구성** 페이지에서 **허용된 AWS 주체** 및 **허용된 소스 ARN** 필드를 비워 둡니다. 이 페이지로 돌아오게 됩니다 [3단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-3-configure-your-guardduty-log-source-with-the-sns-topic). ### 2단계: Amazon SNS 주제 생성 1. AWS 콘솔에서 Panther 인스턴스가 위치한 AWS 리전을 선택한 다음 **Simple Notification Service** 콘솔로 이동합니다. 2. 탐색 모음에서 다음을 클릭합니다. **Topics**. 3. 다음을 클릭하세요. **Create Topic**. 4. 다음에서 **세부 정보** 섹션에서 다음 필드에 값을 입력합니다: * **유형**: **표준**. * **이름**: 설명적인 이름을 입력합니다. 5. 다음에서 **암호화** 섹션에서 **암호화** 토글을 끔으로 둡니다.

6. 다음에서 **액세스 정책** 섹션에: 1. 내에서 **게시자**에서 다음을 선택하세요 **지정된 AWS 계정만**의 **AWS 계정 ID 입력** 텍스트 상자에 Panther AWS 계정 ID를 입력합니다. 2. 내에서 **구독자**에서 다음을 선택하세요 **지정된 AWS 계정만**의 **AWS 계정 ID 입력** 텍스트 상자에 Panther AWS 계정 ID를 입력합니다.

7. 다음을 클릭하세요. **주제 생성**. 8. 다음을 복사합니다. **ARN** 그리고 안전한 위치에 저장하세요. 다음 단계에서 필요합니다.

### 3단계: SNS 주제를 사용하여 GuardDuty 로그 소스 구성 1. Panther Console에서 1단계에서 생성한 GuardDuty 로그 소스로 이동합니다. [1단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-1-create-an-aws-guardduty-source-in-panther). * 1단계가 끝날 때 도달한 성공 화면에 아직 있다면, 다음을 클릭합니다 **로그 소스 보기**. 2. 다음을 클릭하세요. **구성**의 가장 높은 패치 버전으로 업그레이드한 다음, **Edit.** 3. 다음 항목에서 **구성** 페이지에서 **허용된 소스 ARN** 필드에 이전 단계에서 복사한 SNS 주제 ARN을 입력합니다. 4. 다음을 클릭하세요. **저장**. ### 4단계: SNS 구독 생성 Panther GuardDuty SQS 대기열에 대한 구독을 생성합니다. 1. AWS의 SNS 콘솔로 돌아갑니다. 2. 탐색 모음에서 다음을 클릭합니다 **구독**. 3. 다음을 클릭하세요. **구독 생성**. 4. 다음 필드에 값을 입력합니다: * **프로토콜**: **Amazon SQS**. * **엔드포인트**: 다음 형식을 사용하여 엔드포인트를 구성합니다: `arn:aws:sqs:::` * `Panther-region`: Panther 인스턴스가 배포된 AWS 리전 * `account-id`: Panther 인스턴스의 AWS 계정 ID * `Panther-notifications-queue-name`: 이 값을 찾으려면: 1. Panther Console에서 1단계에서 생성한 GuardDuty 로그 소스로 이동합니다. [1단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-1-create-an-aws-guardduty-source-in-panther). (이 페이지에 여전히 있을 수 있습니다 [3단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-3-configure-your-guardduty-log-source-with-the-sns-topic)). 2. 페이지 상단에서 다음을 찾습니다 **SQS Queue URL**. 해당 `Panther-notifications-queue-name` 값은 URL에서 다음으로 시작하는 부분입니다 `panther-source-`:

5. 다음을 클릭하세요. **원시 메시지 전송 활성화** 체크박스를 선택하세요. 6. 다음을 클릭하세요. **구독 생성**. #### 5단계: GuardDuty가 SNS 주제에 알림을 게시하도록 구성 계정에서 GuardDuty를 활성화한 후, 이벤트브리지 룰을 구축하여 알림을 Panther로 보내기 시작합니다. 1. AWS 계정에서 아직 GuardDuty를 활성화하지 않았다면, 다음을 따르세요 [이 지침을 따라 활성화하세요](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd). 2. AWS에서 다음으로 이동합니다 **Amazon** **EventBridge** 콘솔로 이동합니다. 3. 탐색 모음에서 다음을 클릭합니다. **룰**, 아래의 **Buses** 섹션. 4. 다음을 클릭하세요. **룰 생성**. 5. 다음 필드에 값을 입력합니다: * **이름**: 설명적인 이름을 입력합니다. * **이벤트 버스**: **default**. * **선택한 이벤트 버스에서 룰 활성화**: 쿼리 결과가 포함된 CSV 첨부 파일(최대 10MB)이 이메일 보고서에 포함되도록 하려면 **ON**. * **룰 유형:** 다음을 선택합니다 **이벤트 패턴이 있는 룰**. 6. 다음을 클릭하세요. **다음**. 7. 다음 항목에서 **이벤트 패턴 빌드** 페이지: 1. 다음에서 **이벤트 소스** 섹션에서 **이벤트 소스**에서 다음을 선택하세요 **AWS 이벤트 또는 EventBridge 파트너 이벤트**.\ ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FdkwwlipZc0QsBUIzidRN%252Fimage.png%3Falt=media%26token=a59b1ff5-1bfe-40b9-9d31-b7a3636910a0\&width=300\&dpr=4\&quality=100\&sign=5cc694f5427ee69fe6353718d7cbda38a7b4081a442a53a7092bc6b467000e80) 2. 다음에서 **샘플 이벤트** 섹션에: * \~에 대해 **샘플 이벤트 유형**에서 다음을 선택하세요 **AWS 이벤트**. * \~에 대해 **샘플 이벤트**에서 다음을 선택하세요 **GuardDuty Finding**.\ ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FbwuixsQlYfp5gz7rFfYs%252Fimage.png%3Falt=media%26token=6adedf9f-7576-4650-812f-127e24d1d8e2\&width=300\&dpr=4\&quality=100\&sign=1a964db2a37514a24eabfb588da6deedc4a0c8e5533f20b82105fdc561744e85) 3. 다음에서 **이벤트 패턴** 섹션에서 다음 선택을 합니다: * **이벤트 소스**: **AWS 서비스**. * **AWS 서비스**: **GuardDuty**. * **이벤트 유형**: **GuardDuty Finding**.\ ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FBF3PfDI7FFh9tXvNkhUe%252Fimage.png%3Falt=media%26token=731bc68a-8ac6-4c85-bc16-9a64ac33c108\&width=300\&dpr=4\&quality=100\&sign=8ff3b949ffff52243c86183faf653a0212c44961908a61978b90d50c571f91cf) 8. 다음을 클릭하세요. **다음**. 9. 다음 항목에서 **대상 선택** 페이지에서 **대상 1** 섹션에서 다음 필드에 값을 입력합니다: 1. **대상 유형**: **AWS 서비스**. 2. **대상 선택**: **SNS 주제.** 3. **토픽**: 에서 생성한 주제의 이름을 선택합니다 [2단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-2-create-an-amazon-sns-topic). 4. 내에서 **추가 설정**, 필요한 경우 조정합니다. ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FzHPNaStqfqGhLhuBwpgJ%252Fimage.png%3Falt=media%26token=ca59ff68-7774-4be6-a9ae-1425386aed24\&width=300\&dpr=4\&quality=100\&sign=31ac51358aa7cdf484ca122974d1dddd58b3c918d4c4bd96c9c2358eea305541) 10. 다음을 클릭하세요. **다음**. 11. 다음 항목에서 **태그 구성** 페이지에서 **다음**. 12. 다음 항목에서 **검토 및 생성** 페이지에서 **룰 생성**. ## Panther가 만든 탐지 에서 Panther의 미리 작성된 AWS 규칙을 확인하세요 [panther-analysis Github 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## Data Explorer에서 로그 쿼리하기 Panther의 [Data Explorer](https://docs.panther.com/search/data-explorer),에서 사용할 수 있는 예제 SQL 쿼리를 참조하세요 [GuardDuty 로그 쿼리](https://docs.panther.com/search/data-explorer/example-queries/guardduty-logs-queries). ## 지원되는 AWS GuardDuty 로그 ### AWS.GuardDuty GuardDuty는 AWS 계정 내의 악성 활동과 승인되지 않은 동작을 지속적으로 모니터링하는 위협 디택션 서비스입니다. 자세한 내용은 다음을 참조하세요 [GuardDuty 조사 결과 형식에 대한 AWS 문서](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html). ```yaml 스키마: AWS.GuardDuty parser: native: 이름: AWS.GuardDuty 설명: Amazon GuardDuty는 AWS 계정 내의 악성 활동과 승인되지 않은 동작을 지속적으로 모니터링하는 위협 디택션 서비스입니다. referenceURL: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html fields: - 이름: schemaVersion required: true 설명: 이 레코드의 스키마 형식 버전입니다. type: string - 이름: accountId required: true 설명: GuardDuty가 이 조사 결과를 생성하도록 유발한 활동이 발생한 AWS 계정의 ID입니다. type: string - 이름: region required: true 설명: 이 조사 결과가 생성된 AWS 리전입니다. type: string - 이름: partition required: true 설명: 이 조사 결과가 생성된 AWS 파티션입니다. type: string - name: id required: true 설명: 조사 결과의 고유 식별자입니다. type: string - name: arn required: true 설명: 조사 결과를 ARN 형식으로 지정한 고유 식별자입니다. type: string - 이름: type required: true 설명: 잠재적인 보안 문제에 대한 간결하면서도 읽기 쉬운 설명입니다. type: string - name: resource required: true 설명: GuardDuty가 이 조사 결과를 생성하도록 유발한 활동이 발생한 AWS 리소스입니다. type: json - 이름: severity required: true 설명: 심각도 값은 0.1에서 8.9 범위의 어느 값이든 될 수 있습니다. 유형: float - name: createdAt required: true 설명: 조사 결과의 초기 생성 시간(UTC)입니다. type: timestamp timeFormat: rfc3339 - name: updatedAt required: true 설명: 조사 결과의 마지막 업데이트 시간(UTC)입니다. type: timestamp timeFormat: rfc3339 - 이름: title required: true 설명: 조사 결과의 짧은 설명입니다. type: string - name: description required: true 설명: 조사 결과의 긴 설명입니다. type: string - name: service required: true 설명: 영향을 받는 서비스에 대한 추가 정보입니다. type: object fields: - 이름: additionalInfo 설명: AdditionalInfo 필드 type: json - 이름: action 설명: Action 필드 type: json - 이름: serviceName required: true description: ServiceName 필드 type: string - 이름: detectorId required: true 설명: DetectorID 필드 type: string - 이름: resourceRole 설명: ResourceRole 필드 type: string - 이름: eventFirstSeen 설명: EventFirstSeen 필드 type: timestamp timeFormat: rfc3339 - 이름: eventLastSeen 설명: EventLastSeen 필드 type: timestamp timeFormat: rfc3339 - 이름: archived 설명: Archived 필드 type: boolean - 이름: count 설명: Count 필드 유형: bigint ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/guardduty.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.