VPC Flow Logs를 직접 생성하지 않아도 GuardDuty는 자체적으로 VPC 트래픽을 감지할 수 있지만, VPC Flow Logs와는 별개로 동작하며, 그 내용도 다릅니다. 🛡️ GuardDuty의 네트워크 트래픽 감지 방식✅ 감지 데이터 소스GuardDuty는 다음의 내부 AWS 로그 스트림을 이용해 "자동으로" 위협 탐지를 수행합니다:VPC Flow LogsAWS CloudTrail (관리 이벤트 + DNS 로그 포함)Route 53 DNS 로그EKS Audit Logs (옵션)중요: GuardDuty가 사용하는 VPC Flow Logs는 백그라운드에서 AWS가 자체적으로 수집한 사본이며, 사용자가 직접 만든 VPC Flow Log와는 별개입니다.즉, 사용자가 별도로 VPC Flow Log..

IGW (Internet Gateway), NAT Gateway, Transit Gateway 등 "게이트웨이 리소스"들은 VPC Traffic Mirroring의 대상이 아닙니다. 미러링은 ENI (Elastic Network Interface) 단위로만 할 수 있어요.✅ 아웃바운드 트래픽 미러링 원리🔍 원칙ENI에서 나가는 트래픽만 미러링 가능 →즉, 트래픽이 "어떤 인스턴스의 ENI"를 거쳐야 미러링 가능🧠 어떤 ENI를 미러링해야 할까?🧩 시나리오 1: EC2 인스턴스에서 직접 아웃바운드 통신하는 경우예: 웹서버, 사용자가 인터넷 접속✅ 해당 EC2의 ENI를 미러링하면 모든 아웃바운드 트래픽 모니터링 가능🧩 시나리오 2: 프라이빗 서브넷 → NAT Gateway 통해 아웃바운드하는 경우N..

AWS CLI 명령어를 이용해서 GuardDuty에 샘플 탐지를 발생시킬 수 있습니다. 1. 🔍 우선, GuardDuty 활성화된 Detector ID 확인aws guardduty list-detectors[ "12abc3456789def01234567890example"] 2. 🚨 샘플 탐지 생성aws guardduty create-sample-findings \ --detector-id 12abc3456789def01234567890example \ --finding-types "UnauthorizedAccess:EC2/SSHBruteForce" ✅ 대표적인 테스트 finding-types유형설명UnauthorizedAccess:EC2/SSHBruteForceEC2에 SSH 브루트포스 시도 ..

Override Type의미 설명동작 방식Override to ALLOW해당 룰에 매치되더라도 요청을 허용함룰의 기본 동작(예: BLOCK)을 무시하고 무조건 통과Override to BLOCK해당 룰에 매치되면 요청을 차단기본이 COUNT일 수도 있지만 강제로 차단Override to COUNT룰에 매치되더라도 로깅만 하고 허용탐지 목적으로 사용, 실제 액션 없음Override to CAPTCHA매치되면 사용자에게 CAPTCHA 표시사람/봇 판별 목적Override to CHALLENGE매치되면 WAF에서 추가 검증을 수행CAPTCHA보다 투명한 방식, 봇 차단 목적🎯 실제로 설정하면 WAF 로그는 어떻게 남을까?terminatingRule.action에 설정된 override 값이 들어가요. 예:"..

"Override to ALLOW로 룰이 통과되었을 때, 그 아래 룰들은 계속 검사되는가?"  ✅ 답: "룰 평가가 계속됩니다"Override to ALLOW는 해당 룰에서 차단(BLOCK, CAPTCHA 등)을 무시하고 허용한다는 의미일 뿐,WAF 전체 평가 체인의 종료를 의미하지는 않습니다.즉:그 룰은 통과되지만아래에 있는 다른 룰들도 계속 검사됩니다만약 아래 룰 중 BLOCK이 걸리면 → 해당 룰에서 차단될 수 있어요🔁 WAF 룰 평가 순서 간단 요약WAF는 룰 순서대로 평가합니다 (WebACL에서 위에서 아래로).처음으로 BLOCK/CAPTCHA/CHALLENGE 되는 룰에서 평가가 멈춤 → 이 룰이 "terminating rule"이 됨.ALLOW 또는 COUNT만 있을 경우 → 평가를 끝까지..

1. Amazon CloudFront글로벌 서비스 → 전 세계 엣지 로케이션에 WAF 적용 가능웹사이트 CDN에 자주 사용됨CloudFront 배포에 WebACL을 연결주로 글로벌 웹 서비스에 WAF 쓸 때 많이 연결해!2. Amazon API GatewayREST API / HTTP API 스테이지에 WebACL 연결 가능Stage 단위로 연결해서 특정 API 스테이지 트래픽을 보호할 수 있음WAF는 Regional WAF를 사용해야 함 (CloudFront 뒤에 두는 경우엔 Global WAF)3. Application Load Balancer (ALB)ALB에 직접 WebACL 연결 가능Regional 리소스라서 WAF도 Regional이어야 함HTTP/HTTPS 트래픽을 처리하는 ALB에 적용하는..

🔔 알림 모드(Alert Mode)란?트래픽을 DROP하거나 REJECT하지 않고,로그만 남기고 통과시키는 모드입니다.즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,실제로 트래픽은 차단하지 않습니다. Alert Mode 활성화 시룰 자체는 변경하지 않아도 되고,방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함🧠 어디서 설정하나요?AWS 콘솔:Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹룰 그룹 우측의 "편집" 클릭→ Alert mode: 활성화 📂 로그에서는 어떻게 보일까?action: "ALERT" 으로 로그에 남습니다:{ "event": { "action": ..

🟢 1. 흐름 플러시 구성 (Flow Log Flush Configuration)🔹 목적:"로그를 얼마나 자주 전송할지" 설정하는 옵션🔹 설명:Network Firewall은 트래픽 흐름을 일정 시간 단위로 수집하고,**그 주기(Flush Interval)**에 따라 CloudWatch Logs 또는 S3로 로그를 버퍼링해서 보냅니다.🔹 주요 설정:옵션설명Flush interval (초)로그를 얼마나 자주 "플러시"해서 로그 대상에 보낼지 설정 (기본 60초)📦 이건 성능과 비용에 영향을 줄 수 있어요.자주 플러시하면 실시간에 가깝게 확인 가능하지만, 로그 양이 많아지고 비용이 증가할 수 있어요.🟣 2. 흐름 캡처 구성 (Flow Log Capture Configuration)🔹 목적:"어떤..

🎯 먼저, Stateless vs Stateful 차이 요약유형설명특징Stateless (상태 비저장)트래픽 패킷 각각을 독립적으로 처리빠르지만 세션 정보 없음Stateful (상태 저장)세션을 추적하여 패킷의 흐름을 분석더 정확하고 복잡한 정책 적용 가능→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.📘 "상태 비저장 기본 작업"이란?이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다. 🧩 각 항목 설명🔹..

상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?🎯 요점 먼저:✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,🔻 기본적으로 DROP 처리됩니다.🔄 흐름 다시 정리1. Stateless 룰 그룹 ❌ 없음→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감2. Stateful로 넘어간 트래픽→ 룰 그룹에 매칭 시도✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨❌ 매칭 안됨 → 기본 동작: DROP 처리🔒 이유: Stateful은 Default ALLOW가 아님Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 ..