> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/aws/guardduty.md). # AWS GuardDuty ## 개요 Panther는 Amazon Web Services(AWS) 수집을 지원합니다 [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 로그를 공통 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: * **Amazon S3**: 참조 [아래의 S3를 사용해 GuardDuty 로그 온보딩 지침](#how-to-onboard-aws-guardduty-logs-to-panther-using-s3). * **Amazon SQS**: 참조 [아래의 SQS를 사용해 GuardDuty 로그 온보딩 지침](#how-to-onboard-aws-guardduty-logs-to-panther-using-sqs). 또한 다음을 사용하여 GuardDuty 로그를 수집할 수 있습니다 [Amazon EventBridge](/ko/data-onboarding/data-transports/aws/eventbridge.md). ## S3를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법 {% hint style="info" %} 아래 비디오는 약간 오래된 Panther Console을 보여줍니다. 최신 안내는 비디오 아래의 단계별 지침을 따르세요. {% endhint %} {% embed url="" %} {% hint style="warning" %} 이 방식으로 AWS GuardDuty 로그를 수집하려면 KMS 키 ARN을 입력해야 합니다. 서버 측 암호화(SSE)가 활성화되어 있지만 KMS 키를 생성할 수 없다면, 이 과정을 중단하고 대신 다음을 설정하세요. [사용자 지정 S3 로그 소스](/ko/data-onboarding/data-transports/aws/s3.md) 를 사용해 GuardDuty 로그를 수집합니다. 클릭하여 AWS.GuardDuty 스키마를 연결합니다 **프리픽스 및 스키마 구성(선택 사항)**. KMS 키를 입력할 필요는 없습니다.

{% endhint %} ### S3를 사용한 GuardDuty 로그 온보딩 사전 요구 사항 * 다음이 있습니다 [활성화된 GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd). ![](/files/d2ca17de55213ae1303e43e78a77a05dc380fddd) {% hint style="info" %} GuardDuty는 지역 서비스이므로 S3 내보내기 버킷과 KMS 키가 동일한 리전에 있어야 합니다. {% endhint %} ### 1단계: KMS 키 생성 1. AWS에서 올바른 리전으로 이동한 후 Key Management Service(KMS)로 이동합니다. 2. 다음을 클릭합니다: **고객 관리형 키**, 그런 다음 **키 만들기**. 3. 기본값을 그대로 두고 **키 유형** (**대칭**) 및 **키 사용** (**암호화 및 복호화**) 선택을 그대로 둔 다음 **다음**.\ ![](/files/f7efd983520fc7e371f9c831d63a08a8722b531e) 4. 다음에서 **레이블 추가** 페이지에서, **별칭** 을 원하는 값으로 입력합니다. 예: `guardduty-log-key`. 5. 다음을 클릭합니다: **검토로 건너뛰기**. (이 키에는 나중 단계에서 정책을 추가할 것입니다.)![](/files/dd35085673b86176665403a31b3db986b4831d14) 6. 다음을 클릭합니다: **완료**. 7. 다음에서 **고객 관리형 키** 목록에서 방금 만든 키를 클릭한 다음 **ARN** 를 나중 단계에서 사용하도록 기록해 둡니다. ### 2단계: S3 버킷 생성 1. AWS에서 올바른 리전으로 이동한 후 S3로 이동합니다. 2. 다음에서 **일반 목적 버킷**, 다음을 클릭하세요 **버킷 생성**. 3. 다음 필드를 채우세요: * 다음의 **일반 구성** 타일에서 고유한 **버킷 이름** (예: `panther-guardduty-logs-`). * 다음의 **기본 암호화** 타일: 1. 대상 **암호화 유형**, 다음을 선택합니다: **AWS Key Management Service 키를 사용한 서버 측 암호화(SSE-KMS)**. 2. 다음에서 **AWS KMS 키**, 다음을 선택합니다: **AWS KMS 키에서 선택**. 3. 다음에서 **사용 가능한 AWS KMS 키**, 2단계에서 만든 KMS 키를 선택합니다.

4. 다음을 클릭합니다: **버킷 생성**. 5. 다음에서 **일반 목적 버킷** 목록에서 방금 만든 버킷의 이름을 클릭한 다음 **속성**, 그리고 **ARN** 를 나중 단계에서 사용하도록 기록해 둡니다. ### 3단계: GuardDuty 로그 내보내기 구성 1. AWS 콘솔에서 GuardDuty로 이동합니다. 2. 왼쪽 탐색 메뉴에서 **설정**. 3. 내부에서 **탐지 결과 내보내기 옵션**, 아래의 **S3 버킷**, 다음을 클릭하세요 **지금 구성**.\ ![](/files/22f914b10a4284fd33c53e2e8ac4d31b6715b76c) 4. 탐지 결과 내보내기 구성 필드를 채웁니다: * **S3 버킷 ARN**: 2단계에서 만든 S3 버킷의 ARN을 입력합니다. * **KMS 키 ARN**: 1단계에서 만든 KMS 키의 ARN을 입력합니다. 5. 내부에서 **정책 연결**, 다음을 클릭하세요 **S3 버킷 정책 보기**. 클릭합니다 **복사**, 그런 다음 닫습니다 **S3 버킷 정책** 모달을. 6. 이전에 만든 버킷의 버킷 정책을 업데이트합니다: 1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 S3 서비스로 이동합니다. 2. 다음에서 **일반 목적 버킷**, 2단계에서 만든 버킷의 이름을 클릭합니다. 3. 다음을 클릭합니다: **권한** 탭. 4. 버킷 정책 타일에서 **편집**.\ ![](/files/f9929b5c8a751dfa8586ba07b27dcdb619cbaa87) 5. 정책 편집기에서 복사한 정책을 붙여넣은 다음 클릭합니다 **변경 사항 저장**. 7. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서, 아래에서 **정책 연결**, 다음을 클릭하세요 **KMS 키 정책 보기**. 클릭합니다 **복사**, 그런 다음 닫습니다 **KMS 키 정책** 모달을. 8. 이전에 만든 KMS 키의 정책을 업데이트합니다: 1. 별도의 브라우저 탭에서 AWS 콘솔을 열고 KMS 서비스로 이동합니다. 2. 다음에서 **고객 관리형 키**, 1단계에서 만든 KMS 키의 별칭을 클릭합니다. 3. 다음 아래에서 **키 정책** 탭에서 **정책 보기로 전환**.\ ![](/files/2a84476b89c66f505b90c06fd362e03adaaa05b6) 4. 다음을 클릭합니다: **편집**. 5. 기존 콘솔 정책 뒤에(즉, 내부의 객체) `Statement`), 쉼표를 추가한 다음 복사한 정책 문을 붙여넣습니다.\ ![](/files/5cb60b661d63f353ac940e032b75113bf6106963) 6. 다음을 클릭합니다: **변경 사항 저장**. 9. GuardDuty 설정이 있는 브라우저 탭으로 돌아가서 **저장**. * 다음과 같은 알림이 표시되어야 합니다 **게시 대상이 성공적으로 생성되었습니다**. 그렇지 않다면 ARN과 정책을 다시 확인하거나 다음을 참조하세요 [AWS의 GuardDuty 내보내기 문서](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html). ### 4단계: Panther에 GuardDuty 온보딩 1. Panther Console의 왼쪽 탐색 바에서 다음을 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **AWS S3 버킷** 옵션—이 옵션을 선택된 상태로 두고 **설정 시작**.\ ![](/files/9cb8f570d49792d2c588f1036dd509478f5d5623) 5. 다음을 따르세요 [Panther의 S3 Source 구성 안내](/ko/data-onboarding/data-transports/aws/s3.md), 1.4단계부터 시작합니다. * 위에서 만든 KMS 키와 S3 버킷의 ARN이 필요합니다. ## SQS를 사용하여 AWS GuardDuty 로그를 Panther에 온보딩하는 방법 ### SQS를 사용한 GuardDuty 로그 온보딩 사전 요구 사항 * Panther 인스턴스의 AWS 계정 ID를 가지고 있습니다. * 이 값을 찾으려면 Panther Console의 오른쪽 상단에서 톱니바퀴 아이콘을 클릭하여 설정을 연 다음 **일반 설정** > **주요 정보 및 기본 설정**. 다음에서 **인프라** 섹션에서, **AWS 계정 ID**. ### 1단계: Panther에서 AWS GuardDuty 소스 생성 GuardDuty 로그를 Panther로 가져오려면 먼저 AWS 계정에서 데이터를 스트리밍하도록 Panther Console에 S3 버킷 또는 SQS 대기열을 설정해야 합니다. 1. Panther Console의 왼쪽 탐색 바에서 다음을 클릭하세요 **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. "AWS GuardDuty"를 검색한 다음 해당 타일을 클릭합니다. 4. 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **AWS S3 버킷** 옵션. 이 옵션을 선택된 상태로 두거나 **AWS SQS 대기열**. 5. 다음을 클릭합니다: **설정 시작**. 6. Panther의 [AWS SQS 대기열](https://docs.panther.com/data-onboarding/data-transports/aws/sqs) Data Transport용 SQS 구성 문서를 따르세요. * 다음에서 **구성** 페이지에서, **허용된 AWS 주체** 그리고 **허용된 소스 ARN** 필드를 비워 둡니다. 이 페이지로 돌아오게 됩니다 [3단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-3-configure-your-guardduty-log-source-with-the-sns-topic). ### 2단계: Amazon SNS 주제 생성 1. AWS 콘솔에서 Panther 인스턴스가 위치한 AWS 리전을 선택한 다음 **Simple Notification Service** 콘솔로 이동합니다. 2. 탐색 모음에서 **주제**. 3. 다음을 클릭합니다: **주제 생성**. 4. 다음의 **세부 사항** 섹션에서 다음 필드에 값을 입력합니다: * **유형**: 다음을 선택합니다: **표준**. * **이름**: 설명적인 이름을 입력하세요. 5. 다음의 **암호화** 섹션에서 **암호화** 토글을 끄기로 둡니다.

6. 다음의 **액세스 정책** 섹션: 1. 내부에서 **게시자**, 다음을 선택합니다: **지정된 AWS 계정만**. 다음에서 **AWS 계정 ID 입력** 텍스트 상자에 Panther AWS 계정 ID를 입력합니다. 2. 내부에서 **구독자**, 다음을 선택합니다: **지정된 AWS 계정만**. 다음에서 **AWS 계정 ID 입력** 텍스트 상자에 Panther AWS 계정 ID를 입력합니다.

7. 다음을 클릭합니다: **주제 생성**. 8. 다음을 복사합니다 **ARN** 그리고 다음 단계에서 필요하므로 안전한 위치에 저장하세요.

### 3단계: SNS 주제로 GuardDuty 로그 소스 구성 1. Panther Console에서 1단계에서 만든 GuardDuty 로그 소스로 이동합니다. [1단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-1-create-an-aws-guardduty-source-in-panther). * 1단계 끝에서 도달한 성공 화면에 아직 있다면 **로그 소스 보기**. 2. 다음을 클릭합니다: **구성**, 그런 다음 **편집을 클릭합니다.** 3. 다음에서 **구성** 페이지에서, **허용된 소스 ARN** 필드에 이전 단계에서 복사한 SNS 주제 ARN을 입력합니다. 4. 다음을 클릭합니다: **저장**. ### 4단계: SNS 구독 생성 Panther GuardDuty SQS 대기열에 대한 구독을 생성합니다. 1. AWS의 SNS 콘솔로 돌아갑니다. 2. 탐색 모음에서 **구독**. 3. 다음을 클릭합니다: **구독 생성**. 4. 다음 필드의 값을 입력합니다: * **프로토콜**: 다음을 선택합니다: **Amazon SQS**. * **엔드포인트**: 다음 형식을 사용해 엔드포인트를 구성합니다: `arn:aws:sqs:::` * `Panther-region`: Panther 인스턴스가 배포된 AWS 리전 * `account-id`: Panther 인스턴스의 AWS 계정 ID * `Panther-notifications-queue-name`: 이 값을 찾으려면: 1. Panther Console에서 1단계에서 만든 GuardDuty 로그 소스로 이동합니다. [1단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-1-create-an-aws-guardduty-source-in-panther). (이 페이지에 아직 남아 있을 수 있습니다 [3단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-3-configure-your-guardduty-log-source-with-the-sns-topic)). 2. 페이지 상단에서 **SQS 대기열 URL**. 다음은 `Panther-notifications-queue-name` 값은 URL에서 다음으로 시작하는 부분입니다 `panther-source-`:

5. 다음을 클릭합니다: **원시 메시지 전달 활성화** 체크박스를 선택합니다. 6. 다음을 클릭합니다: **구독 생성**. #### 5단계: GuardDuty가 SNS 주제에 공지를 게시하도록 구성 계정에서 GuardDuty를 활성화한 후, Panther로 알림을 보내기 위해 EventBridge 룰을 만들기 시작합니다. 1. 아직 AWS 계정에서 GuardDuty를 활성화하지 않았다면, 다음을 따르세요 [이를 수행하는 지침](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd). 2. AWS에서 다음으로 이동합니다 **Amazon** **EventBridge** 콘솔로 이동합니다. 3. 탐색 모음에서 **룰**, 아래의 **버스** 섹션. 4. 다음을 클릭합니다: **룰 생성**. 5. 다음 필드에 값을 입력합니다: * **이름**: 설명적인 이름을 입력하세요. * **이벤트 버스**: 다음을 선택합니다: **기본값**. * **선택한 이벤트 버스에서 룰을 활성화**: 토글 **켬**. * **룰 유형:** 선택 **이벤트 패턴이 있는 룰**. 6. 다음을 클릭합니다: **다음**. 7. 다음에서 **이벤트 패턴 구축** 페이지: 1. 다음의 **이벤트 소스** 섹션에서 **이벤트 소스**, 다음을 선택합니다: **AWS 이벤트 또는 EventBridge 파트너 이벤트**.\ ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FdkwwlipZc0QsBUIzidRN%252Fimage.png%3Falt=media%26token=a59b1ff5-1bfe-40b9-9d31-b7a3636910a0\&width=300\&dpr=4\&quality=100\&sign=5cc694f5427ee69fe6353718d7cbda38a7b4081a442a53a7092bc6b467000e80) 2. 다음의 **샘플 이벤트** 섹션: * 대상 **샘플 이벤트 유형**, 다음을 선택합니다: **AWS 이벤트**. * 대상 **샘플 이벤트**, 다음을 선택합니다: **GuardDuty 탐지 결과**.\ ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FbwuixsQlYfp5gz7rFfYs%252Fimage.png%3Falt=media%26token=6adedf9f-7576-4650-812f-127e24d1d8e2\&width=300\&dpr=4\&quality=100\&sign=1a964db2a37514a24eabfb588da6deedc4a0c8e5533f20b82105fdc561744e85) 3. 다음의 **이벤트 패턴** 섹션에서 다음 선택을 합니다: * **이벤트 소스**: 다음을 선택합니다: **AWS 서비스**. * **AWS 서비스**: 다음을 선택합니다: **GuardDuty**. * **이벤트 유형**: 다음을 선택합니다: **GuardDuty 탐지 결과**.\ ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FBF3PfDI7FFh9tXvNkhUe%252Fimage.png%3Falt=media%26token=731bc68a-8ac6-4c85-bc16-9a64ac33c108\&width=300\&dpr=4\&quality=100\&sign=8ff3b949ffff52243c86183faf653a0212c44961908a61978b90d50c571f91cf) 8. 다음을 클릭합니다: **다음**. 9. 다음에서 **대상 선택** 페이지에서, **대상 1** 섹션에서 다음 필드에 값을 입력합니다: 1. **대상 유형**: 다음을 선택합니다: **AWS 서비스**. 2. **대상을 선택**: 다음을 선택합니다: **SNS 주제.** 3. **토픽**: 에서 만든 주제의 이름을 선택합니다 [2단계](https://docs.panther.com/data-onboarding/supported-logs/aws/guardduty#step-2-create-an-amazon-sns-topic). 4. 내부에서 **추가 설정**, 필요에 따라 조정합니다. ![](https://docs.panther.com/~gitbook/image?url=https:%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252FzHPNaStqfqGhLhuBwpgJ%252Fimage.png%3Falt=media%26token=ca59ff68-7774-4be6-a9ae-1425386aed24\&width=300\&dpr=4\&quality=100\&sign=31ac51358aa7cdf484ca122974d1dddd58b3c918d4c4bd96c9c2358eea305541) 10. 다음을 클릭합니다: **다음**. 11. 다음에서 **태그 구성** 페이지에서 다음을 클릭합니다: **다음**. 12. 다음에서 **검토 및 생성** 페이지에서 다음을 클릭합니다: **룰 생성**. ## Panther가 만든 탐지 Panther의 미리 작성된 AWS 규칙은 다음에서 확인하세요: [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules). ## Data Explorer에서 로그 쿼리하기 Panther의 사용을 위한 예제 SQL 쿼리를 참조하세요 [Data Explorer](https://docs.panther.com/search/data-explorer), 다음에서 [GuardDuty 로그 쿼리](https://docs.panther.com/search/data-explorer/example-queries/guardduty-logs-queries). ## 지원되는 AWS GuardDuty 로그 ### AWS.GuardDuty GuardDuty는 AWS 계정 내부의 악의적인 활동과 무단 동작을 지속적으로 모니터링하는 위협 디택션 서비스입니다. 자세한 내용은 다음을 참조하세요 [AWS의 GuardDuty 탐지 결과 형식 문서](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html). ```yaml 스키마: AWS.GuardDuty 파서: native: 이름: AWS.GuardDuty 설명: Amazon GuardDuty는 AWS 계정 내부의 악의적인 활동과 무단 동작을 지속적으로 모니터링하는 위협 디택션 서비스입니다. referenceURL: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html fields: - 이름: schemaVersion required: true 설명: 이 레코드의 스키마 형식 버전입니다. type: string - 이름: accountId required: true 설명: GuardDuty가 이 탐지 결과를 생성하도록 유발한 활동이 발생한 AWS 계정의 ID입니다. type: string - 이름: region required: true 설명: 탐지 결과가 생성된 AWS 리전입니다. type: string - 이름: partition required: true 설명: 탐지 결과가 생성된 AWS 파티션입니다. type: string - 이름: id required: true 설명: 탐지 결과의 고유 식별자입니다. type: string - 이름: arn required: true 설명: 탐지 결과의 ARN 형식 고유 식별자입니다. type: string - 이름: type required: true 설명: 잠재적인 보안 문제에 대한 간결하면서도 읽기 쉬운 설명입니다. type: string - 이름: resource required: true 설명: GuardDuty가 이 탐지 결과를 생성하도록 유발한 활동이 발생한 AWS 리소스입니다. 유형: json - 이름: severity required: true 설명: 심각도 값은 0.1에서 8.9 범위 내 어디든 있을 수 있습니다. type: float - 이름: createdAt required: true 설명: 탐지 결과의 초기 생성 시간(UTC)입니다. type: timestamp timeFormat: rfc3339 - 이름: updatedAt required: true 설명: 탐지 결과의 마지막 업데이트 시간(UTC)입니다. type: timestamp timeFormat: rfc3339 - name: title required: true 설명: 탐지 결과에 대한 짧은 설명입니다. type: string - 이름: description required: true 설명: 탐지 결과에 대한 긴 설명입니다. type: string - 이름: service required: true 설명: 영향을 받는 서비스에 대한 추가 정보입니다. type: object fields: - 이름: additionalInfo 설명: AdditionalInfo 필드 유형: json - 이름: action 설명: Action 필드 유형: json - 이름: serviceName required: true 설명: ServiceName 필드 type: string - 이름: detectorId required: true 설명: DetectorID 필드 type: string - 이름: resourceRole 설명: ResourceRole 필드 type: string - 이름: eventFirstSeen 설명: EventFirstSeen 필드 type: timestamp timeFormat: rfc3339 - 이름: eventLastSeen 설명: EventLastSeen 필드 type: timestamp timeFormat: rfc3339 - 이름: archived 설명: Archived 필드 유형: boolean - 이름: count 설명: Count 필드 type: bigint ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/aws/guardduty.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.