기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Detective 요약 대시보드 사용
<a name="summary-page"></a>

Amazon Detective의 요약 대시보드를 사용하여 지난 24시간 동안 활동의 출처를 조사할 엔터티를 식별합니다. Amazon Detective 요약 대시보드를 사용하면 특정 유형의 비정상적인 활동과 관련된 엔터티를 식별할 수 있습니다. 이는 조사를 시작할 수 있는 여러 가지 시작점 중 하나입니다.

**요약** 대시보드를 표시하려면 Detective 탐색 창에서 **요약**을 선택합니다. Detective 콘솔을 처음 열 때 **요약** 대시보드도 기본적으로 표시됩니다.

**요약** 대시보드에서 다음 기준을 충족하는 엔터티를 식별할 수 있습니다.
+  Detective에서 식별한 잠재적 보안 이벤트를 보여주는 조사 
+ 새로 관찰된 지리적 위치에서 발생한 활동과 관련된 엔터티
+ API 직접 호출 횟수가 가장 많은 엔터티
+ 트래픽이 가장 많았던 EC2 인스턴스
+ 컨테이너 수가 가장 많은 컨테이너 클러스터

각 **요약** 대시보드 패널에서 선택한 개체의 프로필로 피벗할 수 있습니다.

**요약** 대시보드를 검토할 때 **범위 시간을** 조정하여 지난 365일 동안 24시간 동안의 활동을 볼 수 있습니다. **시작 날짜 및 시간**을 변경하면 **종료 날짜 및 시간**이 선택한 시작 시간으로부터 24시간 후로 자동 업데이트됩니다.

Detective를 사용하면 최대 1년 분량의 과거 이벤트 데이터에 액세스할 수 있습니다. 이 데이터는 선택한 기간 동안의 활동 유형 및 양의 변화를 보여주는 일련의 시각화를 통해 제공됩니다. Detective는 이러한 변경 사항을 GuardDuty 조사 결과와 연결합니다.

Detective의 소스 데이터에 대한 자세한 내용은 [동작 그래프에 사용된 소스 데이터를 참조하세요](https://docs.aws.amazon.com/detective/latest/userguide/detective-source-data-about.html).

## 조사
<a name="summary-investigations"></a>

**조사**를 통해 Detective에서 식별한 잠재적 보안 이벤트를 확인할 수 있습니다. 조사 패널에서는 심각한 조사 결과와 일정 기간 동안 보안 이벤트의 영향을 받은 해당 AWS 역할 및 사용자를 볼 수 있습니다. 조사는 손상 지표를 그룹화하여 AWS 리소스가 악의적인 행동과 그 영향을 나타낼 수 있는 비정상적인 활동에 관여하고 있는지 확인하는 데 도움이 됩니다.

**모든 조사 보기**를 선택하여 조사 결과를 검토하고, 조사 결과 그룹 및 리소스 세부 정보를 분류하여 보안 조사를 가속화합니다. 선택한 범위 시간에 따라 조사가 표시됩니다. 범위 시간을 조정하여 지난 365일간의 조사를 24시간 단위로 볼 수 있습니다. **심각한 조사 결과**로 바로 전환하여 자세한 조사 보고서를 볼 수 있습니다.

의심스러운 활동이 있는 것으로 보이는 AWS 역할 또는 사용자를 식별하는 경우 **조사** 패널에서 역할 또는 사용자로 직접 피벗하여 조사를 계속할 수 있습니다. 역할 또는 사용자로 전환하고 **조사 실행**을 클릭하여 조사 보고서를 생성합니다. 역할 또는 사용자에 대해 조사를 실행하면 역할 또는 사용자가 **조사됨** 탭으로 이동합니다.

## 새로 관찰된 지리적 위치
<a name="summary-new-geolocations"></a>

**새로 관찰된 지리적 위치**는 이전 24시간 동안 활동의 출처였지만 그 이전의 기준선 기간에는 볼 수 없었던 지리적 위치를 강조 표시합니다.

패널에는 최대 100개의 지리적 위치가 포함됩니다. 위치는 지도에 표시되며 지도 아래 표에 나열되어 있습니다.

각 지리적 위치에 대해 테이블에는 지난 24시간 동안 해당 지리적 위치에서 이루어진 API 직접 호출 실패 및 성공 수가 표시됩니다.

각 지리적 위치를 확장하여 해당 지리적 위치에서 API를 직접 호출한 사용자 및 역할 목록을 표시할 수 있습니다. 테이블에는 각 보안 주체에 대한 유형과 관련 AWS 계정가 나열되어 있습니다.

의심스러운 사용자 또는 역할을 식별한 경우 패널에서 직접 사용자 또는 역할 프로필로 피벗하여 조사를 계속할 수 있습니다. 프로필로 피벗하려면 사용자 또는 역할 식별자를 선택합니다.

Detective는 MaxMind GeoIP 데이터베이스를 사용하여 요청 위치를 결정합니다. MaxMind는 국가 수준에서 매우 높은 데이터 정확도를 보고하지만, 정확도는 국가 및 IP 유형과 같은 요인에 따라 다릅니다. MaxMind에 대한 자세한 내용은 [MaxMind IP 지리적 위치](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)를 참조하세요. GeoIP 데이터가 잘못되었다고 생각되면 Maxmind([MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction))에 정정 요청을 제출할 수 있습니다.

## 지난 7일간의 활동 조사 결과 그룹
<a name="summary-finding-group"></a>

**지난 7일 동안의 활성 조사 결과 그룹**은 지정된 기간 동안 발생한 환경 내 Detective 조사 결과, 엔터티 및 증거를 상호 연관시켜 그룹화합니다. 이러한 그룹화는 악의적인 동작을 나타낼 수 있는 비정상적인 활동과 연관되어 있습니다. 요약 대시보드에는 지난 주에 활성 상태였던 가장 중요한 조사 결과가 포함된 그룹별로 정렬된 그룹이 최대 5개까지 표시됩니다.

**전술**, **계정**, **리소스** 및 **조사 결과** 콘텐츠에서 값을 선택하여 자세한 내용을 볼 수 있습니다.

조사 결과 그룹은 매일 생성됩니다. 관심 있는 조사 결과 그룹을 식별한 경우 제목을 선택하여 그룹 프로필의 세부 보기로 이동해 조사를 계속할 수 있습니다.

## API 직접 호출량이 가장 많은 역할 및 사용자
<a name="summary-principal-api-call-volume"></a>

**API 직접 호출량이 가장 많은 역할 및 사용자**는 지난 24시간 동안 API 직접 호출을 가장 많이 한 사용자와 역할을 식별합니다.

패널에는 최대 100명의 사용자 및 역할이 포함될 수 있습니다. 각 사용자 또는 역할에 대해 유형(사용자 또는 역할) 및 관련 계정을 볼 수 있습니다. 또한 지난 24시간 동안 해당 사용자 또는 역할이 실행한 API 직접 호출 수를 확인할 수 있습니다.

기본적으로 서비스 연결 역할이 표시됩니다. 서비스 연결 역할은 대량의 AWS CloudTrail 활동을 생성하여 추가로 조사하려는 보안 주체를 대체할 수 있습니다. **서비스 연결 역할 표시를** 끄고 요약 대시보드 보기에서 서비스 연결 역할을 필터링하도록 선택할 수 있습니다.

이 패널의 데이터가 포함된 쉼표로 구분된 값(.csv) 파일을 내보낼 수 있습니다.

또한 이전 7일간의 API 직접 호출량 타임라인도 있습니다. 타임라인을 통해 해당 보안 주체의 API 직접 호출 양이 비정상적인지 여부를 확인할 수 있습니다.

API 직접 호출량이 의심스러운 사용자 또는 역할을 식별한 경우 패널에서 직접 사용자 또는 역할 프로필로 피벗하여 조사를 계속할 수 있습니다. 사용자 또는 역할과 관련된 계정의 프로필도 볼 수 있습니다. 프로필을 보려면 사용자, 역할 또는 계정 식별자를 선택합니다.

## 트래픽 볼륨이 가장 많은 EC2 인스턴스
<a name="summary-ec2-instance-traffic"></a>

**트래픽 볼륨이 가장 많은 EC2 인스턴스**는 지난 24시간 동안 총 트래픽량이 가장 많았던 EC2 인스턴스를 식별합니다.

패널에는 최대 100개의 EC2 인스턴스가 포함될 수 있습니다. 각 EC2 인스턴스에 대해 관련 계정과 지난 24시간 동안의 인바운드 바이트 수, 아웃바운드 바이트 수, 총 바이트 수를 볼 수 있습니다.

이 패널의 데이터가 들어 있는 쉼표로 구분된 값(.csv) 파일을 내보낼 수 있습니다.

또한 지난 7일 동안의 인바운드 및 아웃바운드 트래픽을 보여주는 타임라인도 볼 수 있습니다. 타임라인은 해당 EC2 인스턴스의 트래픽 양이 비정상적인지 여부를 판단하는 데 도움이 될 수 있습니다.

트래픽 볼륨이 의심스러운 EC2 인스턴스를 식별한 경우 패널에서 직접 EC2 인스턴스 프로파일로 이동하여 조사를 계속할 수 있습니다. EC2 인스턴스를 소유한 계정의 프로필을 볼 수도 있습니다. 프로필을 보려면 EC2 인스턴스 또는 계정 식별자를 선택합니다.

## Kubernetes 포드가 가장 많은 컨테이너 클러스터
<a name="summary-clusters-with-containers"></a>

**가장 많은 Kubernetes 포드가 생성된 컨테이너 클러스터**는 지난 24시간 동안 가장 많은 컨테이너를 실행한 클러스터를 식별합니다.

이 패널에는 관련 조사 결과가 가장 많은 클러스터를 기준으로 구성된 최대 100개의 클러스터가 포함됩니다. 각 클러스터에 대해 관련 계정, 해당 클러스터의 현재 컨테이너 수, 지난 24시간 동안 해당 클러스터와 관련된 조사 결과 수를 볼 수 있습니다. 이 패널의 데이터가 들어 있는 쉼표로 구분된 값(.csv) 파일을 내보낼 수 있습니다.

최근 조사 결과가 있는 클러스터를 식별한 경우 패널에서 클러스터 프로파일로 직접 이동하여 조사를 계속할 수 있습니다. 클러스터를 소유한 계정의 프로필로 피벗할 수도 있습니다. 프로필로 피벗하려면 클러스터 이름 또는 계정 식별자를 선택합니다.

## 대략적인 값 알림
<a name="summary-approximate-values"></a>

**API 직접 호출량이 가장 많은 역할 및 사용자**와 **트래픽 볼륨이 가장 많은 EC2 인스턴스**에서 값 뒤에 별표(\$1)가 있으면 값이 근사치임을 의미합니다. 실제 값은 표시된 값과 같거나 더 큽니다.

이는 Detective가 각 시간 간격의 볼륨을 계산하는 데 사용하는 방법 때문에 발생합니다. **요약** 페이지에서 시간 간격은 1시간입니다.

Detective는 매 시간마다 볼륨이 가장 큰 1,000개의 사용자, 역할 또는 EC2 인스턴스의 총 볼륨을 계산합니다. 나머지 사용자, 역할 또는 EC2 인스턴스에 대한 데이터는 제외됩니다.

리소스가 상위 1,000위 안에 드는 경우도 있고 그렇지 않은 경우 해당 리소스에 대해 계산된 볼륨에 모든 데이터가 포함되지 않을 수 있습니다. 상위 1,000위 내에 포함되지 않은 시간 간격의 데이터는 제외됩니다.

이는 **요약** 페이지에만 적용된다는 점에 유의하세요. 사용자, 역할 또는 EC2 인스턴스의 프로필은 정확한 세부 정보를 제공합니다.