소개
안녕하세요! 클래스메소드 금상원 입니다. 이번 블로그에서는 GuardDuty 에서 EC2 Runtime Monitoring 서비스가 정식 출시 되어 소개하도록 하겠습니다.
GuardDuty EC2 Runtime Monitoring 란?
EC2 인스턴스에 대한 위협 탐지 범위를 확장하고 VPC 흐름 로그, DNS 쿼리 로그 및 AWS CloudTrail 관리 이벤트를 지속적으로 모니터링하여 GuardDuty에서 이미 제공하는 이상 탐지를 보완하는 서비스
장점
- EC2 워크로드 내의 컴퓨팅 리소스를 노리는 잠재적 위협을 식별하고 대응
- 악성 파일 다운로드 및 실행을 동반하는 의심스러운 명령을 확인하여, 비즈니스에 영향을 미치는 사건이 되기 전에 초기 침해 단계에서 위협을 발견
- AWS Organizations를 사용하여 조직 전체의 계정 및 워크로드에 대한 런타임 위협 탐지 적용 범위를 중앙에서 활성화하여, 보안 적용 범위를 간소화
요금
30일 무료 평가판이 지원되지만 평가 기간이 끝나면 모니터링 에이전트에 대해 매월 추적된 vCPU 시간별 요금이 청구됩니다.
- EKS 런타임 모니터링
- 매월 처음 500개의 vCPU(모니터링되는 EKS 인스턴스의 경우) vCPU당 1.66 USD
- 매달 다음 4,500개의 vCPU(모니터링되는 EKS 인스턴스의 경우) vCPU당 0.83 USD
- 매월 5,000개 이상의 vCPU(모니터링되는 EKS 인스턴스의 경우) vCPU당 0.28 USD
- ECS 런타임 모니터링
- 매월 처음 500개의 vCPU(모니터링되는 인스턴스의 경우) vCPU당 1.66 USD
- 매달 다음 4,500개의 vCPU(모니터링되는 인스턴스의 경우) vCPU당 0.83 USD
- 매월 5,000개 이상의 vCPU(모니터링되는 인스턴스의 경우) vCPU당 0.28 USD
- EC2 런타임 모니터링
- 매월 처음 500개의 vCPU(모니터링되는 인스턴스의 경우) vCPU당 1.66 USD
- 매달 다음 4,500개의 vCPU(모니터링되는 인스턴스의 경우) vCPU당 0.83 USD
- 매월 5,000개 이상의 vCPU(모니터링되는 인스턴스의 경우) vCPU당 0.28 USD
GuardDuty EC2 Runtime Monitoring 활성화 하기
활성화 하기
검색창에서「GuardDuty」를 검색합니다.
GuardDuty 화면에서 좌측메뉴에서「런타임 모니터링」을 클릭합니다.
「구성」탭에서「런타임 모니터링」부분에서「활성화」버튼을 클릭합니다.
활성화가 완료되면 위의 화면과 같이 상태가 변경된 것을 확인할 수 있습니다.
런타임 동작을 모니터링할 개별 EC2 인스턴스에 대해 GuardDuty 보안 에이전트를 설정하기 위해「GuardDuty 에이전트 관리(EC2)」를 부분에서「활성화」버튼을 클릭합니다.
활성화가 완료되면 위의 화면과 같이 상태가 변경된 것을 확인할 수 있습니다.
「런타임 범위」탭에서 어떤 리소스가 적용되는지 확인할 수 있습니다.
(위의 화면에서는 리소스가 없기 때문에 표시되지 않았습니다.)
결과 확인하는 방법
왼쪽 메뉴에서「결과」를 클릭하면 조사결과를 확인할 수 있습니다.
(위의 화면에서는 조회된 결과가 없기 때문에 표시되지 않았습니다.)
비활성화 하기
런타임 모니터링 화면의 구성탭에서 먼저 「GuardDuty 에이전트 관리(EC2)」를 비활성화 합니다.
그런다음 「런타임 모니터링」을 비활성화 합니다.
비활성화가 완료되면 위의 화면처럼 표시됩니다.
마무리
이번 블로그에서는 GuardDuty 에서 EC2 Runtime Monitoring 서비스가 출시되어 알아보았습니다. EC2 이외에도 EKS, ECS도 활성화하여 관리할 수 있으므로 필요하신 분들은 꼭 활용해 보시기 바랍니다.
2
