![]()
사용자 계정이 무분별하게 생성 또는 삭제 되는것은 매우 위험한 행위이다. 그렇기에 IAM + CloudTrail + CloudEventBridge + Lambda를 통해 Slack으로 알람 받는 방법에 대해 알아보자!! 전체적인 로직은 다음과 같다. Slack알람 조건은 1. IAM 계정이 생성 또는 삭제되는 경우 2. AWS Console Login하는 경우이다. 1. Slack webhook 설정 가장 먼저 Slack webhook을 설정해야 한다. webhook은 해당 slack 채널로 메시지를 전송할 수 있는 Key를 의미한다. 최종적으로는 Lambda를 통해 Slack으로 메시지를 보내야 하므로 꼭 필요하다. 그리고 다른 사람에게 유출해서는 안된다. 2. Slack 알람 설정 CloudTrail..
![]()
■ 최종 서비스 구현 : WAF에서 특정 이벤트 발생 시, Lambda를 통해 Slack으로 관련 데이터 전송 ■ 준비 과정 1. WEB Server ALB 설정 : [AWS][ALB] WEB SERVER ALB 구성 :: 하다 보면 늘어나는 업무 지식 (tistory.com) 2. WAF 설정 : [AWS][WAF] WEB SERVER WAF 설정 :: 하다 보면 늘어나는 업무 지식 (tistory.com) WEB Server ALB 설정을 하고, WAF 설정을 한 다음에 해당 로그를 Cloudwatch로 전송하여 최종적으로는 Slack으로 알람을 보내는 대장정의 끝이 보인다. 위 준비과정 1. 2. 에서 ALB 설정과 WAF 설정 하는 방법에 대해 학습해보았으며 이번에는 WAF 로그 → Cloudwa..
![]()
AWS Instance의 SecurityGroup 또는 VPC 설정을 잘 한다면, 위협이 줄어들 수 있겠지만 테스트를 해보면서 Instance를 만들어본 입장에서.. 생각보다 많은 공격이 유입되는거 같다. 그럴때마다 직접 대응할수도 없고, 확인한 방법이 무엇이 있을까 생각하던차!! AWS GuardDuty를 알게되었다. AWS GuardDuty란? 공식 홈페이지에서는 AWS 환경 내에서 예의치 않은 잠재적 위협이나 악의적인 활동을 식별하는 서비스로 소개되어 있다. 즉, AWS CloudTrail 로그, VPC 흐름 로그, DNS 쿼리 로그을 기반으로 악의적인 활동을 식별한다. 실제로 서비스를 활성화 한다면 아래와 같은 대시보드를 볼 수 있고, IAM/EC2/S3의 카테고리로 위협 분류되어 있다. 각 카테..
