분석 - AMS 고급 사용 설명서
AMS로부터의 통신

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

분석

보안 이벤트를 식별하고 보고한 후 다음 단계는 보고된 이벤트가 거짓 긍정인지 실제 인시던트인지 분석하는 것입니다. AMS는 자동화 및 수동 조사 기술을 사용하여 보안 이벤트를 처리합니다. 분석에는 네트워크 트래픽 로그, 호스트 로그, CloudTrail 이벤트, AWS 서비스 로그 등과 같은 다양한 탐지 소스의 로그에 대한 조사가 포함됩니다. 또한이 분석에서는 상관관계를 기준으로 이상 동작을 보여주는 패턴을 찾습니다.

파트너십은 계정 환경과 관련된 컨텍스트를 이해하고 계정 및 워크로드에 일반적인 사항을 설정하는 데 필요합니다. 이를 통해 AMS는 이상을 더 빠르게 식별하고 인시던트 대응을 가속화할 수 있습니다.

보안 이벤트에 대한 AMS의 통신 처리

AMS는 인시던트 티켓을 통해 보안 담당자를 참여시켜 조사 중에 정보를 제공합니다. AMS 클라우드 서비스 제공 관리자(CSDM)와 AMS 클라우드 아키텍트(CA)는 활성 보안 조사 중에 통신을 위해에 문의할 수 있는 담당자입니다.

통신에는 보안 알림이 생성될 때의 자동 알림, 이벤트 분석 후의 통신, 통화 브리지 설정, 로그 파일, 감염된 리소스의 스냅샷, 보안 이벤트 중에 사용자에게 조사 결과 가져오기와 같은 아티팩트의 지속적인 전달이 포함됩니다.

AMS 보안 알림에 포함된 표준 필드는 다음과 같습니다. 이러한 필드는 문제 해결을 위해 조직 내 적절한 팀에 이벤트를 라우팅할 수 있도록 정보를 제공합니다.

  • 결과 유형

  • 결과 식별자(해당하는 경우)

  • 심각도 찾기

  • 결과 설명

  • 생성된 날짜 및 시간 찾기

  • AWS 계정 ID

  • 리전(해당하는 경우)

  • AWS 리소스(IAM user/role/policy, EC2, S3, EKS)

결과 유형에 따라 추가 필드가 제공됩니다. 예를 들어 EKS 결과에는 포드, 컨테이너 및 클러스터 세부 정보가 포함됩니다.