AWS CLI 명령어를 이용해서 GuardDuty에 샘플 탐지를 발생시킬 수 있습니다. 1. 🔍 우선, GuardDuty 활성화된 Detector ID 확인aws guardduty list-detectors[ "12abc3456789def01234567890example"] 2. 🚨 샘플 탐지 생성aws guardduty create-sample-findings \ --detector-id 12abc3456789def01234567890example \ --finding-types "UnauthorizedAccess:EC2/SSHBruteForce" ✅ 대표적인 테스트 finding-types유형설명UnauthorizedAccess:EC2/SSHBruteForceEC2에 SSH 브루트포스 시도 ..

Override Type의미 설명동작 방식Override to ALLOW해당 룰에 매치되더라도 요청을 허용함룰의 기본 동작(예: BLOCK)을 무시하고 무조건 통과Override to BLOCK해당 룰에 매치되면 요청을 차단기본이 COUNT일 수도 있지만 강제로 차단Override to COUNT룰에 매치되더라도 로깅만 하고 허용탐지 목적으로 사용, 실제 액션 없음Override to CAPTCHA매치되면 사용자에게 CAPTCHA 표시사람/봇 판별 목적Override to CHALLENGE매치되면 WAF에서 추가 검증을 수행CAPTCHA보다 투명한 방식, 봇 차단 목적🎯 실제로 설정하면 WAF 로그는 어떻게 남을까?terminatingRule.action에 설정된 override 값이 들어가요. 예:"..

"Override to ALLOW로 룰이 통과되었을 때, 그 아래 룰들은 계속 검사되는가?"  ✅ 답: "룰 평가가 계속됩니다"Override to ALLOW는 해당 룰에서 차단(BLOCK, CAPTCHA 등)을 무시하고 허용한다는 의미일 뿐,WAF 전체 평가 체인의 종료를 의미하지는 않습니다.즉:그 룰은 통과되지만아래에 있는 다른 룰들도 계속 검사됩니다만약 아래 룰 중 BLOCK이 걸리면 → 해당 룰에서 차단될 수 있어요🔁 WAF 룰 평가 순서 간단 요약WAF는 룰 순서대로 평가합니다 (WebACL에서 위에서 아래로).처음으로 BLOCK/CAPTCHA/CHALLENGE 되는 룰에서 평가가 멈춤 → 이 룰이 "terminating rule"이 됨.ALLOW 또는 COUNT만 있을 경우 → 평가를 끝까지..

1. Amazon CloudFront글로벌 서비스 → 전 세계 엣지 로케이션에 WAF 적용 가능웹사이트 CDN에 자주 사용됨CloudFront 배포에 WebACL을 연결주로 글로벌 웹 서비스에 WAF 쓸 때 많이 연결해!2. Amazon API GatewayREST API / HTTP API 스테이지에 WebACL 연결 가능Stage 단위로 연결해서 특정 API 스테이지 트래픽을 보호할 수 있음WAF는 Regional WAF를 사용해야 함 (CloudFront 뒤에 두는 경우엔 Global WAF)3. Application Load Balancer (ALB)ALB에 직접 WebACL 연결 가능Regional 리소스라서 WAF도 Regional이어야 함HTTP/HTTPS 트래픽을 처리하는 ALB에 적용하는..

🔔 알림 모드(Alert Mode)란?트래픽을 DROP하거나 REJECT하지 않고,로그만 남기고 통과시키는 모드입니다.즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,실제로 트래픽은 차단하지 않습니다. Alert Mode 활성화 시룰 자체는 변경하지 않아도 되고,방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함🧠 어디서 설정하나요?AWS 콘솔:Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹룰 그룹 우측의 "편집" 클릭→ Alert mode: 활성화 📂 로그에서는 어떻게 보일까?action: "ALERT" 으로 로그에 남습니다:{ "event": { "action": ..

🟢 1. 흐름 플러시 구성 (Flow Log Flush Configuration)🔹 목적:"로그를 얼마나 자주 전송할지" 설정하는 옵션🔹 설명:Network Firewall은 트래픽 흐름을 일정 시간 단위로 수집하고,**그 주기(Flush Interval)**에 따라 CloudWatch Logs 또는 S3로 로그를 버퍼링해서 보냅니다.🔹 주요 설정:옵션설명Flush interval (초)로그를 얼마나 자주 "플러시"해서 로그 대상에 보낼지 설정 (기본 60초)📦 이건 성능과 비용에 영향을 줄 수 있어요.자주 플러시하면 실시간에 가깝게 확인 가능하지만, 로그 양이 많아지고 비용이 증가할 수 있어요.🟣 2. 흐름 캡처 구성 (Flow Log Capture Configuration)🔹 목적:"어떤..

🎯 먼저, Stateless vs Stateful 차이 요약유형설명특징Stateless (상태 비저장)트래픽 패킷 각각을 독립적으로 처리빠르지만 세션 정보 없음Stateful (상태 저장)세션을 추적하여 패킷의 흐름을 분석더 정확하고 복잡한 정책 적용 가능→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.📘 "상태 비저장 기본 작업"이란?이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다. 🧩 각 항목 설명🔹..

상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?🎯 요점 먼저:✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,🔻 기본적으로 DROP 처리됩니다.🔄 흐름 다시 정리1. Stateless 룰 그룹 ❌ 없음→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감2. Stateful로 넘어간 트래픽→ 룰 그룹에 매칭 시도✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨❌ 매칭 안됨 → 기본 동작: DROP 처리🔒 이유: Stateful은 Default ALLOW가 아님Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 ..

🎯 요점 먼저:✅ "Stateless 룰에서 명시적으로 PASS 처리되면, 해당 트래픽은 Stateful로 넘어가지 않습니다.**🔄 흐름 다시 보기트래픽은 다음 순서로 처리됩니다:Stateless 규칙 그룹에 매칭 시도매칭되면 → 룰에 정의된 대로 처리 (PASS or DROP)매칭되지 않으면 → "상태 비저장 기본 작업(Default Action)"에 따라 처리✅ 예시로 이해해보기예시 1: Stateless 룰에서 0.0.0.0/0 → PASS 설정Stateless 룰 그룹:- Source: 0.0.0.0/0- Destination: 0.0.0.0/0- Action: PASS이 경우 모든 트래픽이 Stateless에서 PASS 처리되므로,→ Stateful로 안 넘어감→ 따라서 Stateful 룰도..

🚨 블랙홀(Blackhole) 상태란?블랙홀 상태(Blackhole)는 Transit Gateway(TGW) 라우팅 테이블에 있는 특정 경로가 더 이상 유효하지 않거나 대상이 존재하지 않을 때 발생합니다.즉, 패킷이 해당 경로로 전달되지만 어디에도 도달하지 못하고 삭제됨을 의미합니다.1️⃣ 블랙홀(Blackhole) 발생 원인과 해결 방법🛑 1. 대상(TGW Attachment)이 삭제되었거나 존재하지 않는 경우TGW 라우팅 테이블에서 특정 VPC, VPN, Direct Connect 또는 NFW를 가리키는 경로가 있지만, 해당 Attachment가 삭제되었거나 존재하지 않는 경우 블랙홀 상태가 됩니다.✅ 해결 방법:AWS 콘솔 → Transit Gateway Attachments 확인Attachme..