반응형
VPC Flow Logs · GuardDuty 중심 보안 관제 아키텍처
1. AWS에서 SIEM이 필요한 이유
AWS 환경은 전통적인 IDC와 다르게 다음과 같은 특징이 있다.
- 서버 증감이 잦음 (Auto Scaling)
- IP가 자주 변경됨
- API 기반 공격 가능 (Access Key 탈취 등)
- 콘솔·CLI·SDK 모든 행위가 로그로 남음
👉 “로그는 많지만, 한눈에 보이지 않는다”
따라서 AWS에서는
Cloud-native 로그 + SIEM 연계 구조가 필수다.
2. AWS SIEM 전체 아키텍처 개요
[EC2 / ALB / VPC]
↓
VPC Flow Logs
↓
CloudWatch Logs
↓
S3 (로그 저장)
↓
SIEM (Splunk / OpenSearch / Elastic)
↑
GuardDuty (위협 탐지 이벤트)
↓
VPC Flow Logs
↓
CloudWatch Logs
↓
S3 (로그 저장)
↓
SIEM (Splunk / OpenSearch / Elastic)
↑
GuardDuty (위협 탐지 이벤트)
3. 핵심 로그 소스 ① VPC Flow Logs
3-1. VPC Flow Logs란?
VPC Flow Logs는
VPC 내 네트워크 트래픽 흐름 정보를 기록하는 서비스다.
✔ 실제 패킷 내용은 기록 ❌
✔ 메타데이터 기반 트래픽 로그 ✔
3-2. Flow Logs로 확인 가능한 정보
| 항목 | 설명 |
| srcaddr | 출발지 IP |
| dstaddr | 목적지 IP |
| srcport | 출발지 포트 |
| dstport | 목적지 포트 |
| protocol | TCP/UDP |
| action | ACCEPT / REJECT |
| bytes | 전송량 |
| start / end | 세션 시간 |
3-3. Flow Logs 생성 위치
- VPC 단위
- Subnet 단위
- ENI 단위 (권장)
👉 보안 관점에서는 ENI 단위가 가장 정밀
3-4. Flow Logs 실전 보안 활용 예시
① 비정상 포트 스캔 탐지
동일 IP → 다수 포트 접근
짧은 시간 내 REJECT 로그 다량 발생
짧은 시간 내 REJECT 로그 다량 발생
➡ SIEM 룰 예시:
srcaddr 기준
5분 내 서로 다른 dstport 20개 이상
5분 내 서로 다른 dstport 20개 이상
② 내부 서버 → 외부 C2 서버 통신 탐지
평소 사용하지 않던 해외 IP
특정 포트로 지속적인 트래픽
특정 포트로 지속적인 트래픽
➡ 랜섬웨어 / 악성코드 의심
3-5. Flow Logs 수집 경로 (권장)
VPC Flow Logs
→ CloudWatch Logs
→ Kinesis Firehose
→ S3
→ SIEM
→ CloudWatch Logs
→ Kinesis Firehose
→ S3
→ SIEM
👉 S3 저장 필수 (감사·포렌식 대응)
4. 핵심 로그 소스 ② GuardDuty
4-1. GuardDuty란?
Amazon GuardDuty는
AWS에서 제공하는 관리형 위협 탐지 서비스다.
- 머신러닝 기반
- 룰 + 이상행위 분석
- 별도 에이전트 설치 불필요
4-2. GuardDuty가 분석하는 로그
| 로그 | 내용 |
| CloudTrail | API 호출 |
| VPC Flow Logs | 네트워크 |
| DNS Logs | 도메인 요청 |
👉 이 3가지를 종합 분석해 보안 이벤트 생성
4-3. GuardDuty 주요 탐지 유형
① 계정 탈취 의심
- 해외 IP에서 루트 계정 로그인
- 평소와 다른 지역에서 API 호출
② 악성 IP 통신
- 알려진 Botnet IP와 통신
- Tor Exit Node 접근
③ 포트 스캔 / 브루트포스
- SSH / RDP 다량 시도
- EC2 대상 스캔 행위
4-4. GuardDuty 이벤트 예시
UnauthorizedAccess:EC2/SSHBruteForce Trojan:EC2/BlackholeTraffic Recon:EC2/PortProbeUnprotectedPort
👉 SIEM에서 바로 고위험 이벤트로 분류
5. GuardDuty → SIEM 연계 구조
5-1. 기본 연계 흐름
GuardDuty Finding
↓
EventBridge
↓
Lambda
↓
SIEM (REST / HEC / API)
↓
EventBridge
↓
Lambda
↓
SIEM (REST / HEC / API)
5-2. Lambda 처리 예시 역할
- JSON 파싱
- 위험도 매핑 (Low / Medium / High)
- 자산 태그 결합
- SIEM 포맷으로 변환
6. SIEM 탐지 룰 실전 예시
6-1. Flow Logs 기반 룰
🔹 포트 스캔 탐지
조건:
- 동일 srcaddr
- 5분 내
- 서로 다른 dstport 30개 이상
- action = REJECT
- 동일 srcaddr
- 5분 내
- 서로 다른 dstport 30개 이상
- action = REJECT
🔹 비인가 외부 통신
조건:
- 내부 서버 → 해외 IP
- 443 이외 포트
- bytes > 1MB
- 내부 서버 → 해외 IP
- 443 이외 포트
- bytes > 1MB
6-2. GuardDuty 기반 룰
FindingSeverity >= 7.0
FindingType contains "UnauthorizedAccess"
FindingType contains "UnauthorizedAccess"
➡ 즉시 알림 + 대응 자동화 연계
7. 비용 최적화 전략 (매우 중요)
7-1. Flow Logs 비용 절감
- ALL 트래픽 ❌
- REJECT 중심 + 중요 ENI만 수집 ✔
- 단기 보관 (CloudWatch) + 장기 보관 (S3)
7-2. GuardDuty 비용 관리
- 리전 단위 활성화
- 불필요한 계정 제외
- Sandbox 계정 비활성화 고려
8. 운영 관점 베스트 프랙티스
✅ Flow Logs + GuardDuty는 반드시 함께 사용
✅ SIEM에 원본 로그 + 이벤트 둘 다 적재
✅ 자산 태그 (Service / Owner / 중요도) 연계
✅ 월 1회 이상 탐지 룰 리뷰
✅ 실제 침해 시나리오 기반 테스트
9. AWS SIEM 실전 구성 요약
| 항목 | 필수 여부 |
| VPC Flow Logs | ⭐⭐⭐⭐⭐ |
| GuardDuty | ⭐⭐⭐⭐⭐ |
| CloudTrail | ⭐⭐⭐⭐⭐ |
| S3 로그 보관 | ⭐⭐⭐⭐⭐ |
| SIEM 연계 | ⭐⭐⭐⭐ |
| SOAR 연동 | ⭐⭐⭐ |
10. 마무리 – AWS SIEM의 핵심
AWS에서 SIEM 구축의 핵심은 단순하다.
“모든 행위는 로그로 남고,
그 로그를 연결하면 공격이 보인다.”
- Flow Logs → 네트워크 시야
- GuardDuty → 위협 인텔리전스
- SIEM → 통합 분석의 두뇌
반응형
댓글