🛡️ AWS에서 CASB와 유사한 Threat Monitoring Lab 구축 (초보자 친화)

I’m happy to translate the article for you, but I need the full text you’d like translated. Could you please paste the content (or the portion you want translated) here? I’ll keep the source link at the top and preserve all formatting, code blocks, URLs, and technical terms as you requested.

📌 프로젝트 순서

• Part 1: AWS IAM 하드닝 — 정체성 경계 강화 및 인증 위생 개선
• Part 2: Security Hub + AWS Config 를 활용한 클라우드 보안 자세 관리 (CSPM)
• Part 3: GuardDuty + CloudTrail 로 구현하는 CASB‑유사 모니터링 — 실시간 탐지, 안전한 이상 현상 생성, 위임 관리자 행동, 그리고 AWS 위협 인텔리전스 결과

🔐 왜 이 진행이 중요한가

현대 클라우드 보안 팀은 환경을 여러 계층으로 보호합니다:

Identity first → Posture second → Threat detection next

Project 3은 behavioral visibility, anomaly detection, and event‑driven alerts를 추가합니다—SOC 분석가, 탐지 엔지니어, 위협 헌터 및 클라우드 보안 전문가에게 핵심 기본 요소입니다.
이 실습은 기본 AWS 서비스를 사용하여 경량 Cloud Access Security Broker (CASB) 워크플로를 시뮬레이션합니다.

목차

• 소개
• 구축할 내용
• 사전 요구 사항
• 1단계 — 보안 설정으로 CloudTrail 활성화
• 2단계 — GuardDuty 활성화 (위협 탐지)
• 3단계 — 안전한 테스트 활동 생성
• 4단계 — GuardDuty 결과 검토
• 5단계 — 비용 발생 방지를 위한 정리
• 최종 생각
• 연결

Source:

소개

클라우드 보안 모니터링은 복잡할 필요가 없으며, 클라우드에서 위협 탐지가 어떻게 작동하는지 배우기 위해 엔터프라이즈급 CASB 도구가 필요하지 않습니다.

이 초보자 친화적인 실습에서는 AWS CloudTrail + GuardDuty를 사용하여 CASB와 유사한 모니터링을 시뮬레이션하는 방법을 보여 주며, 모든 과정을 무료 또는 매우 저비용으로 유지합니다. 안전한 테스트 활동을 생성하고, 탐지를 확인하며, 이러한 서비스가 보안 팀이 AWS 환경 내 위험한 행동을 식별하는 데 어떻게 도움이 되는지 배울 수 있습니다.

이 가이드에는 초보자가 예상할 수 있는 문제(수동 KMS 암호화, 위임 관리자 제한 등)에 대한 트러블슈팅 노트도 포함되어 있습니다.

구축할 내용

• CloudTrail을 사용하여 AWS API 활동을 기록합니다
• GuardDuty가 해당 로그를 분석하여 위협을 탐지합니다
• 샘플 탐지 결과 및 안전한 테스트 이벤트에서 얻은 실제 탐지 결과
• 경량화된 CASB와 유사한 모니터링 워크플로
• 지속적인 비용이 전혀 없는 깔끔한 환경

사전 요구 사항

• AWS 계정 하나
• 관리자 수준 권한을 가진 IAM 사용자 또는 역할
• 실습을 위해 선택한 단일 리전 (추천: us-east-1)
• (Optional) AWS CLI 설치

Source:

Step 1 — Secure Settings 로 CloudTrail 활성화

CloudTrail은 AWS 계정 전반의 API 활동을 기록합니다. 이는 탐지 및 위협 모니터링의 핵심이 됩니다.

✅ CloudTrail Trail 생성

1. CloudTrail → Trails → Create trail 로 이동합니다.

2. Trail 이름을 정확히 다음과 같이 지정합니다:

   casb-guardduty-lab-trail

3. 로그 저장을 위한 새 S3 버킷을 생성합니다.

4. 다음 옵션을 수동으로 활성화합니다:

   • SSE‑KMS 암호화 (AWS 관리형 키 사용)
   • 로그 파일 검증

팁: 많은 초보자들이 이 설정을 놓칩니다—UI 버전에 따라 CloudTrail이 기본적으로 SSE‑KMS 또는 검증을 활성화하지 않을 수 있습니다. 이를 활성화하면 로그에 무결성 및 기밀성 보호가 추가됩니다.

Step 2 — GuardDuty 활성화 (위협 탐지)

GuardDuty는 CloudTrail 로그, VPC Flow 로그, DNS 로그를 지속적으로 분석하여 의심스러운 또는 악의적인 활동을 탐지합니다.

✅ GuardDuty 활성화

1. 콘솔에서 GuardDuty를 엽니다.
2. Enable GuardDuty를 클릭합니다.
3. GuardDuty가 Delegated Administrator를 생성하는 경우, 나중에 정리할 때 사용할 계정 ID를 기록해 둡니다.

3단계 — 안전한 테스트 활동 생성

🔹 옵션 A – AWS 샘플 파인딩 생성

1. GuardDuty에서 Actions 메뉴를 엽니다.
2. Generate sample findings를 선택합니다.

이러한 시뮬레이션 공격을 통해 사고 대응 절차를 연습할 수 있습니다.

🔹 옵션 B – 실제 테스트 이벤트 생성

1. 콘솔 로그인 이벤트

• AWS 콘솔에서 로그아웃한 뒤 다시 로그인합니다.
• 테스트용 IAM 사용자를 생성하고 의도적으로 로그인 시도를 실패시킵니다.

이러한 이벤트는 CloudTrail에 ConsoleLogin 이벤트로 기록됩니다.

2. 비정상적인 지역에서의 활동

• 기본 지역에서 eu‑west‑1 또는 ap‑southeast‑1으로 전환합니다.
• 서비스에 접근하거나 리소스 생성을 시작합니다(프로비저닝 전에 취소).

CloudTrail은 해당 지역 정보를 포함하여 이러한 작업을 기록합니다.

3. 간단한 CLI 호출 (선택 사항)

aws ec2 describe-instances --region us-east-1

또는 임시 IAM 사용자를 생성하고 권한이 필요한 API 호출을 시도합니다. GuardDuty는 해당 활동을 표시합니다(예: “UnauthorizedAccess:RootLogin”).

경고: 테스트 작업은 비프로덕션 계정에서만 실행하십시오. 이후에 생성한 모든 리소스를 삭제하세요.

Step 4 — GuardDuty 결과 검토

1. GuardDuty → Findings 로 이동합니다.
2. 샘플 결과와 테스트 활동으로 생성된 실제 결과가 모두 표시됩니다.

예시 결과

• UnauthorizedAccess:IAMUser/ConsoleLogin – 의심스러운 콘솔 로그인 시도.
• Recon:EC2/PortProbe – EC2 인스턴스에 대한 포트 스캔 활동.
• AnomalousBehavior – 비정상적인 로그인 위치 또는 지역.

각 결과에는 심각도, 영향을 받은 리소스, 권장 해결 단계가 포함됩니다. 이러한 세부 정보를 사용해 기본 CloudTrail 이벤트와 매핑하십시오—이것이 위협 조사 워크플로우의 핵심입니다.

5단계 — 비용 방지를 위한 정리

1. 위임된 관리자 제거 (있는 경우)

• GuardDuty → Settings → Accounts 를 엽니다.
• Disable delegated administrator 를 클릭하고 확인합니다.

2. GuardDuty 비활성화

• GuardDuty → Settings → Disable GuardDuty (또는 각 리전에서 비활성화) 를 선택합니다.

3. CloudTrail 트레일 삭제

• CloudTrail → Trails → 트레일을 선택하고 → Delete 를 클릭합니다.

4. S3 버킷 삭제

• 버킷을 비운 후 삭제합니다.

5. 테스트 리소스 제거

• 옵션 B에서 만든 IAM 사용자, 역할 및 기타 리소스를 모두 삭제합니다.

이러한 단계를 완료하면 남아 있는 비용이 발생하지 않습니다.

Final Thoughts

• 이 실습은 CASB‑와 유사한 모니터링 기능을 순수하게 AWS 기본 서비스만으로 구축할 수 있음을 보여줍니다.
• CloudTrail(불변 로그 소스)과 GuardDuty(관리형 위협 탐지)의 조합은 모든 클라우드 보안 프로그램에 견고한 기반을 제공합니다.
• 안전한 테스트 활동을 생성함으로써, 프로덕션 워크로드에 위험을 주지 않으면서 탐지‑대응 전체 수명 주기를 직접 체험할 수 있습니다.

실습을 자유롭게 확장해 보세요—VPC Flow Logs를 추가하거나, 추가 GuardDuty 탐지기를 활성화하거나, Security Hub와 연동해 중앙 집중식 알림을 구현하는 등. 즐거운 사냥 되세요!

연결

이 글을 즐기셨거나 DevOps, Linux, 보안, 혹은 클라우드 자동화를 배우고 계시다면, 함께 연결하고 아이디어를 공유하며 함께 배우고 싶습니다.

👉 LinkedIn