맬웨어 이벤트에 대한 응답 - AMS 고급 사용 설명서
단계 A: 감지단계 B: 분석단계 C: 포함 및 제거사후 인시던트 보고서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

맬웨어 이벤트에 대한 응답

Amazon EC2 인스턴스는 조직 내 애플리케이션 팀이 배포한 타사 소프트웨어 및 사용자 지정 개발 소프트웨어를 비롯한 다양한 워크로드를 호스팅하는 데 사용됩니다. AMS는 AMS에서 패치를 적용하고 지속적으로 유지 관리하는 이미지에 워크로드를 배포하도록 권장하고 제공합니다.

인스턴스를 작동하는 동안 AMS는 Amazon GuardDuty, 엔드포인트 보호, 네트워크 트래픽 및 Amazon 내부 위협 인텔리전스 피드를 비롯한 다양한 보안 탐지 제어를 통해 동작 또는 활동의 이상을 모니터링합니다.

AMS Advanced 운영 모델을 사용하는 AMS 고객은 프로비저닝된 리소스에 엔드포인트 보안(EPS) 모니터링 클라이언트를 자동으로 설치합니다. 이렇게 하면 이벤트가 감지될 때 보안 인시던트 생성을 포함하여 리소스가 연중무휴 모니터링되고 지원됩니다.

또한 AMS는 GuardDuty 맬웨어 조사 결과를 모니터링합니다. 활성화된 경우 AMS Advanced와 AMS Accelerate 모두에서 사용할 수 있습니다. 자세한 내용은 Amazon GuardDuty의 맬웨어 보호를 참조하세요.

참고

Bring Your Own EPS를 선택한 경우 인시던트 대응 프로세스는이 페이지에 설명된 것과 다릅니다. 자세한 내용은 참조된 설명서를 참조하세요.

맬웨어가 감지되면 인시던트가 생성되고 이벤트에 대한 알림을 받게 됩니다. 이 알림 뒤에는 해결 활동이 발생합니다. AMS Operations는 데이터 수집, 분류 및 분석을 조사하고 수행한 다음 사용자의 지시에 따라 억제 활동을 수행한 다음 사후 이벤트 분석을 수행합니다.

단계 A: 감지

AMS는 GuardDuty 및 엔드포인트 보안 솔루션 모니터링을 사용하여 인스턴스의 이벤트를 모니터링합니다. AMS는 조사 결과 또는 알림 유형에 따라 억제 또는 위험 수용 결정을 내리는 데 도움이 되는 적절한 보강 및 분류 활동을 결정합니다.

데이터 수집은 결과 유형에 따라 수행됩니다. 데이터 수집에는 영향을 받는 계정 내부 및 외부에서 여러 데이터 소스를 쿼리하여 관찰된 활동 또는 우려되는 구성에 대한 그림을 작성하는 작업이 포함됩니다.

AMS는 영향을 받는 계정 또는 AMS 위협 인텔리전스 플랫폼의 다른 경보 및 알림 또는 원격 측정과 결과의 상관 관계를 수행합니다.

단계 B: 분석

데이터가 수집되면 데이터를 분석하여 우려되는 활동 또는 지표를 식별합니다. 조사의이 단계에서 AMS는 고객과 협력하여 인스턴스 및 워크로드에 대한 비즈니스 및 도메인 지식을 통합하여 무엇이 예상되고 무엇이 일반적이지 않은지 이해하는 데 도움을 줍니다.

내부 검사를 지원하기 위해 조사 중에 제공되는 정보의 몇 가지 예는 다음과 같습니다.

  • 계정 정보: 맬웨어 활동이 관찰된 계정은 무엇입니까?

  • 인스턴스 세부 정보: 맬웨어 이벤트와 관련된 인스턴스(들)는 무엇입니까?

  • 이벤트 타임스탬프: 알림이 언제 트리거되었습니까?

  • 워크로드 정보: 인스턴스에서 실행 중인 것은 무엇입니까?

  • 해당하는 경우 맬웨어 세부 정보: 맬웨어 패밀리 및 맬웨어에 대한 오픈 소스 정보.

  • 사용자 또는 역할 세부 정보: 활동의 영향을 받고 활동에 관여한 사용자 또는 역할은 무엇입니까?

  • 활동 레코드: 인스턴스에 기록되는 활동은 무엇입니까? 이는 CloudWatch 이벤트 및 인스턴스의 시스템 이벤트의 형태입니다. 이러한 로그를 읽는 방법을 이해하면 조사에 도움이 됩니다.

  • 네트워크 활동: 인스턴스에 연결하는 엔드포인트, 인스턴스가 연결하는 엔드포인트, 트래픽 분석이란 무엇입니까?

조사 정보를 수신하고 조직 내 계정, 인스턴스 및 워크로드의 적절한 연락 지점에 연락하는 방법에 대한 계획을 세우는 것이 모범 사례입니다. 네트워크 토폴로지와 예상 연결을 이해하면 영향 분석을 가속화하는 데 도움이 될 수 있습니다. 환경에서 계획된 침투 테스트와 애플리케이션 소유자가 수행한 최근 배포에 대한 지식도 조사 속도를 높일 수 있습니다.

활동이 계획되고 승인되었다고 판단되면 인시던트가 업데이트되고 조사가 종료됩니다. 손상이 확인되면 사용자와 AMS가 적절한 억제 계획을 결정합니다.

속도 C: 포함 및 제거

AMS는 고객과 협력하여 수집된 데이터와 알려진 정보를 기반으로 적절한 억제 활동을 결정합니다. 억제 옵션은 다음을 포함하지만 이에 국한되지는 않습니다.

  • 스냅샷을 통한 데이터 보존

  • 인스턴스 내부 또는 외부의 트래픽을 제한하도록 네트워크 규칙 수정

  • SCP, IAM 사용자 및 역할 정책을 수정하여 액세스 제한

  • 인스턴스 종료, 일시 중지 또는 끄기

  • 영구 연결 종료

  • 적절한 자격 증명/키 교체

인스턴스에 대해 근절 활동을 수행하도록 선택하면 AMS가 이를 달성할 수 있도록 지원합니다. 옵션은 다음을 포함하지만 이에 국한되지는 않습니다.

  • 원치 않는 소프트웨어 제거

  • 완전히 패치된 깨끗한 이미지에서 인스턴스 재구축 및 애플리케이션 및 구성 재배포

  • 이전 백업에서 인스턴스 복원

  • 워크로드를 호스팅하는 데 적합할 수 있는 계정 내 다른 인스턴스에 애플리케이션 및 서비스를 배포합니다.

서비스를 복원하기 전에 인스턴스에서 맬웨어가 전달되고 실행되는 방법을 결정하여 인스턴스에서 맬웨어가 다시 발생하지 않도록 추가 제어가 적용되는지 확인하는 것이 중요합니다. AMS는 포렌식을 지원하는 데 필요한 추가 인사이트 또는 정보를 포렌식 파트너 또는 팀에 제공합니다.

이 시점에서 복구 활동을 위해 AMS Operations와 협력합니다. AMS는 사용자와 긴밀하게 협력하여 워크로드 중단을 최소화하고 인스턴스를 보호합니다.

사후 인시던트 보고서

필요에 따라 AMS는 조사 검토 프로세스를 시작하여 학습한 교훈을 식별합니다. COE 완료의 일환으로 AMS는 인시던트 대응 프로세스를 개선하는 데 도움이 되도록 관련 조사 결과를 사용자에게 전달합니다.

AMS는 조사의 최종 세부 정보를 문서화하고, 적절한 지표를 수집하고, 할당된 CSDM 및 CA를 포함하여 정보가 필요한 AMS 내부 팀에 인시던트를 보고합니다.