루트 사용자 활동에 대한 응답 - AMS 고급 사용 설명서
준비단계 A: 감지단계 B: 분석단계 C: 포함 및 제거사후 인시던트 보고서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

루트 사용자 활동에 대한 응답

루트 사용자는 AWS 계정 내의 수퍼유저입니다. AMS는 루트 사용량을 모니터링합니다. 계정 설정을 변경하고, 결제 및 비용 관리에 대한 액세스를 활성화 AWS Identity and Access Management (IAM)하고, 루트 암호를 변경하고, 다중 인증(MFA)을 활성화하는 등 루트 사용자가 필요한 몇 가지 작업에만 루트 사용자를 사용하는 것이 좋습니다. 자세한 내용은 루트 사용자 자격 증명이 필요한 작업을 참조하세요.

AMS에 계획된 루트 사용량을 알리는 방법에 대한 자세한 내용은 AMS에서 루트 계정을 사용하는 시기와 방법을 참조하세요.

루트 사용자 활동이 감지되면 로그인 시도가 실패하여 로그인 성공 후 계정에서 무차별 대입 공격 또는 활동을 나타낼 수 있으며 이벤트가 생성되고 정의된 보안 연락처로 인시던트가 전송됩니다.

AWS Managed Services Operations는 계획되지 않은 루트 사용자 활동을 조사하고, 데이터 수집, 분류 및 분석을 수행하고, 지시에 따라 억제 활동을 수행한 다음 사후 이벤트 분석을 수행합니다.

AMS Advanced 운영 모델을 사용하는 경우 AMS CSDM 및 AMS Ops 엔지니어로부터 루트 사용자 자격 증명을 보호할 AMS의 책임으로 인해 계획되지 않은 루트 사용자 활동을 확인하는 추가 커뮤니케이션을 받게 됩니다. AMS는 경로를 확인할 때까지 루트 사용자 활동을 조사합니다.

준비

불필요한 인시던트 대응 활동을 방지하기 위해 계획된 이벤트의 데이터 및 시간과 함께 AMS 서비스 요청을 제출하여 계획된 루트 사용자 사용에 대해 AMS에 알립니다.

AMS로 GameDays를 정기적으로 수행하여 AMS의 고객 인시던트 대응 프로세스, 최신 사용자 및 시스템을 검증하고 책임 있는 개인과 함께 메모리를 구축하여 인시던트 대응 속도를 높입니다.

단계 A: 감지

AMS는 GuardDuty 및 AMS 모니터링을 포함한 탐지 소스를 통해 계정의 루트 활동을 모니터링합니다.

AMS Accelerate를 사용하는 경우 운영 모델은 예상치 못한 루트 사용자 활동에 대한 조사를 요청하는 인시던트에 응답합니다. 이 경우 AMS 작업은 손상된 계정 실행서를 시작합니다.

AMS Advanced가 있는 경우 운영 모델은 인시던트에 대응하거나 CSDM에 계획된 루트 사용자 활동을 알려 활성 계정 침해 조사를 종료합니다.

단계 B: 분석

AMS는 활동이 승인되지 않은 것으로 확인되면 루트 사용자 이벤트에 대한 철저한 조사를 수행합니다. 로그와 이벤트는 자동화와 AMS 보안 대응 팀을 모두 사용하여 루트 사용자의 이상 및 예상치 못한 동작에 대해 분석됩니다. 활동을 알 수 없는지, 권한이 부여된 루트 사용자 이벤트인지 또는 추가 조사가 필요한지 확인하는 데 도움이 되는 로그가 제공됩니다.

내부 검사를 지원하기 위해 조사 중에 제공되는 정보의 몇 가지 예는 다음과 같습니다.

  • 계정 정보: 루트 계정이 사용된 계정은 무엇입니까?

  • 루트 사용자의 이메일 주소: 각 루트 사용자는 조직의 이메일 주소와 연결됩니다.

  • 인증 세부 정보: 루트 사용자는 어디에서 언제 환경에 액세스했습니까?

  • 활동 레코드: 루트로 로그인할 때 사용자가 수행한 작업은 무엇입니까? 이러한 레코드는 CloudWatch 이벤트의 형태입니다. 이러한 로그를 읽는 방법을 이해하면 조사에 도움이 됩니다.

분석 정보를 수신하고 조직 내 계정의 승인된 연락 지점에 도달하는 방법을 계획할 준비가 되어 있는 것이 모범 사례입니다. 루트 사용자는 개인으로 이름이 지정되지 않으므로 조직 내 계정에 사용되는 루트 이메일 주소에 액세스할 수 있는 사람을 결정하면 질문을 내부적으로 빠르게 라우팅하는 데 도움이 됩니다.

단계 C: 포함 및 제거

AMS는 보안 팀과 협력하여 승인된 고객 보안 담당자의 지시에 따라 제한을 수행합니다. 억제 옵션은 다음과 같습니다.

  • 적절한 자격 증명 및 키 교체.

  • 계정 및 리소스에 대한 활성 세션을 종료합니다.

  • 생성된 리소스 제거.

억제 활동 중에 AMS는 보안 팀과 긴밀하게 협력하여 워크로드 중단을 최소화하고 루트 자격 증명을 적절하게 보호합니다.

억제 계획이 완료되면 필요에 따라 AMS 운영 팀과 협력하여 복구 작업을 수행합니다.

사후 인시던트 보고서

필요에 따라 AMS는 조사 검토 프로세스를 시작하여 학습한 교훈을 식별합니다. COE 완료의 일환으로 AMS는 영향을 받는 고객에게 관련 조사 결과를 전달하여 인시던트 대응 프로세스를 개선하는 데 도움을 줍니다.

AMS는 조사의 모든 최종 세부 정보를 문서화하고 적절한 지표를 수집한 다음 할당된 CSDM 및 CA를 포함하여 정보가 필요한 모든 AMS 내부 팀에 인시던트를 보고합니다.