AWS CLI 명령어를 이용해서 GuardDuty에 샘플 탐지를 발생시킬 수 있습니다. 1. 🔍 우선, GuardDuty 활성화된 Detector ID 확인aws guardduty list-detectors[ "12abc3456789def01234567890example"] 2. 🚨 샘플 탐지 생성aws guardduty create-sample-findings \ --detector-id 12abc3456789def01234567890example \ --finding-types "UnauthorizedAccess:EC2/SSHBruteForce" ✅ 대표적인 테스트 finding-types유형설명UnauthorizedAccess:EC2/SSHBruteForceEC2에 SSH 브루트포스 시도 ..

Override Type의미 설명동작 방식Override to ALLOW해당 룰에 매치되더라도 요청을 허용함룰의 기본 동작(예: BLOCK)을 무시하고 무조건 통과Override to BLOCK해당 룰에 매치되면 요청을 차단기본이 COUNT일 수도 있지만 강제로 차단Override to COUNT룰에 매치되더라도 로깅만 하고 허용탐지 목적으로 사용, 실제 액션 없음Override to CAPTCHA매치되면 사용자에게 CAPTCHA 표시사람/봇 판별 목적Override to CHALLENGE매치되면 WAF에서 추가 검증을 수행CAPTCHA보다 투명한 방식, 봇 차단 목적🎯 실제로 설정하면 WAF 로그는 어떻게 남을까?terminatingRule.action에 설정된 override 값이 들어가요. 예:"..

"Override to ALLOW로 룰이 통과되었을 때, 그 아래 룰들은 계속 검사되는가?"  ✅ 답: "룰 평가가 계속됩니다"Override to ALLOW는 해당 룰에서 차단(BLOCK, CAPTCHA 등)을 무시하고 허용한다는 의미일 뿐,WAF 전체 평가 체인의 종료를 의미하지는 않습니다.즉:그 룰은 통과되지만아래에 있는 다른 룰들도 계속 검사됩니다만약 아래 룰 중 BLOCK이 걸리면 → 해당 룰에서 차단될 수 있어요🔁 WAF 룰 평가 순서 간단 요약WAF는 룰 순서대로 평가합니다 (WebACL에서 위에서 아래로).처음으로 BLOCK/CAPTCHA/CHALLENGE 되는 룰에서 평가가 멈춤 → 이 룰이 "terminating rule"이 됨.ALLOW 또는 COUNT만 있을 경우 → 평가를 끝까지..

1. Amazon CloudFront글로벌 서비스 → 전 세계 엣지 로케이션에 WAF 적용 가능웹사이트 CDN에 자주 사용됨CloudFront 배포에 WebACL을 연결주로 글로벌 웹 서비스에 WAF 쓸 때 많이 연결해!2. Amazon API GatewayREST API / HTTP API 스테이지에 WebACL 연결 가능Stage 단위로 연결해서 특정 API 스테이지 트래픽을 보호할 수 있음WAF는 Regional WAF를 사용해야 함 (CloudFront 뒤에 두는 경우엔 Global WAF)3. Application Load Balancer (ALB)ALB에 직접 WebACL 연결 가능Regional 리소스라서 WAF도 Regional이어야 함HTTP/HTTPS 트래픽을 처리하는 ALB에 적용하는..

🔔 알림 모드(Alert Mode)란?트래픽을 DROP하거나 REJECT하지 않고,로그만 남기고 통과시키는 모드입니다.즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,실제로 트래픽은 차단하지 않습니다. Alert Mode 활성화 시룰 자체는 변경하지 않아도 되고,방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함🧠 어디서 설정하나요?AWS 콘솔:Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹룰 그룹 우측의 "편집" 클릭→ Alert mode: 활성화 📂 로그에서는 어떻게 보일까?action: "ALERT" 으로 로그에 남습니다:{ "event": { "action": ..

🟢 1. 흐름 플러시 구성 (Flow Log Flush Configuration)🔹 목적:"로그를 얼마나 자주 전송할지" 설정하는 옵션🔹 설명:Network Firewall은 트래픽 흐름을 일정 시간 단위로 수집하고,**그 주기(Flush Interval)**에 따라 CloudWatch Logs 또는 S3로 로그를 버퍼링해서 보냅니다.🔹 주요 설정:옵션설명Flush interval (초)로그를 얼마나 자주 "플러시"해서 로그 대상에 보낼지 설정 (기본 60초)📦 이건 성능과 비용에 영향을 줄 수 있어요.자주 플러시하면 실시간에 가깝게 확인 가능하지만, 로그 양이 많아지고 비용이 증가할 수 있어요.🟣 2. 흐름 캡처 구성 (Flow Log Capture Configuration)🔹 목적:"어떤..

✅ Sentry의 주요 용도1. 에러 모니터링JavaScript, Python, Node.js, Java, Swift 등 다양한 언어에서 발생하는 예외(Exception)를 자동으로 수집어떤 에러가, 어느 파일에서, 어떤 유저/세션에서, 어떤 조건에서 발생했는지 확인 가능브라우저 콘솔에 안 찍혀도 백그라운드에서 잘 잡힘2. 실시간 알림특정 에러가 발생하면 Slack, 이메일, Discord 등으로 실시간 알림 전송 가능새로운 이슈/반복되는 이슈 자동 그룹화3. 유저별 에러 추적에러가 발생한 사용자의 정보(User ID, 이메일 등)를 연동하면, 어떤 사용자가 어떤 오류를 겪었는지 파악 가능4. 릴리즈 추적어떤 코드 릴리즈 버전에서 버그가 생겼는지 추적 가능특정 버전에서만 터지는 오류 확인 가능5. 퍼포먼..

🎯 먼저, Stateless vs Stateful 차이 요약유형설명특징Stateless (상태 비저장)트래픽 패킷 각각을 독립적으로 처리빠르지만 세션 정보 없음Stateful (상태 저장)세션을 추적하여 패킷의 흐름을 분석더 정확하고 복잡한 정책 적용 가능→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.📘 "상태 비저장 기본 작업"이란?이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다. 🧩 각 항목 설명🔹..

상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?🎯 요점 먼저:✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,🔻 기본적으로 DROP 처리됩니다.🔄 흐름 다시 정리1. Stateless 룰 그룹 ❌ 없음→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감2. Stateful로 넘어간 트래픽→ 룰 그룹에 매칭 시도✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨❌ 매칭 안됨 → 기본 동작: DROP 처리🔒 이유: Stateful은 Default ALLOW가 아님Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 ..

🎯 요점 먼저:✅ "Stateless 룰에서 명시적으로 PASS 처리되면, 해당 트래픽은 Stateful로 넘어가지 않습니다.**🔄 흐름 다시 보기트래픽은 다음 순서로 처리됩니다:Stateless 규칙 그룹에 매칭 시도매칭되면 → 룰에 정의된 대로 처리 (PASS or DROP)매칭되지 않으면 → "상태 비저장 기본 작업(Default Action)"에 따라 처리✅ 예시로 이해해보기예시 1: Stateless 룰에서 0.0.0.0/0 → PASS 설정Stateless 룰 그룹:- Source: 0.0.0.0/0- Destination: 0.0.0.0/0- Action: PASS이 경우 모든 트래픽이 Stateless에서 PASS 처리되므로,→ Stateful로 안 넘어감→ 따라서 Stateful 룰도..