View a markdown version of this page

AI 조사 에이전트 - AWS 보안 인시던트 대응 사용 설명서
개요작동 방식사전 조건조사 에이전트 사용

AI 조사 에이전트

개요

AI 기반 조사 에이전트는 고객 및 AWS 보안 인시던트 대응 엔지니어와 협력하여 보안 조사를 신속하게 처리합니다. 고객이 AWS 지원 사례를 생성하면 Security Incident Response 참여와 동시에 에이전트가 자동으로 활성화되어 해결 시간을 며칠에서 몇 시간으로 단축합니다.

고객 에스컬레이션 중에 AWS 보안 인시던트 대응에 의해 선제적으로 또는 사용자에 의해 Security Incident Response 사례가 생성될 수 있습니다. 새로운 AWS 지원 사례가 생성되면 조사 에이전트가 자동으로 트리거됩니다. 콘솔, API 또는 Amazon EventBridge 통합을 통해 모든 사례를 관리할 수 있습니다.

주요 이점

  • 병렬 조사 - 대응 담당자가 함께 에이전트가 작동하여 AI 기반 자동화와 인적 전문 지식을 모두 제공합니다.

  • 자동 증거 수집 - AWS CloudTrail, IAM, Amazon EC2, Cost Explorer를 자동으로 쿼리하여 수동 로그 분석을 제거합니다.

  • 자연어 인터페이스 - AWS 로그 형식에 대한 전문 지식이 필요 없도록 일상 언어로 보안 문제를 설명합니다.

  • 응답 속도 개선 - 조사 탭에서 몇 분 이내에 조사 요약이 제공됩니다.

  • 전체 감사 가능성 - 모든 에이전트 작업이 AWSServiceRoleForSupport 역할의 AWS CloudTrail에 로깅됩니다.

중요

이 기능은 AWS 지원 사례에만 제공됩니다. 자체 관리형 사례에는 AI 조사 기능이 포함되지 않습니다.

작동 방식

AI 조사 에이전트는 AWS 지원 보안 사례를 분석할 때 구조화된 워크플로를 따릅니다.

조사 워크플로

  1. 사례 생성 - 고객이 Security Incident Response 콘솔에서 보안 관련 문제를 설명하는 AWS 지원 사례를 생성합니다.

  2. 병렬 활성화

    • Security Incident Response 엔지니어가 사례에 참여합니다.

    • 이와 동시에 AI 에이전트가 조사 워크플로를 시작합니다.

  3. 컨텍스트에 맞는 질문(선택 사항) - 에이전트가 다음의 특정 세부 정보를 수집하기 위해 구체화하는 질문을 할 수 있습니다.

    • 영향을 받는 AWS 계정 ID

    • 관련된 IAM 위탁자(사용자, 역할, 액세스 키)

    • 특정 리소스 식별자(S3 버킷, EC2 인스턴스, ARN)

    • 의심스러운 활동의 기간

  4. 증거 수집 - 에이전트가 AWS 데이터 소스를 자동으로 쿼리합니다.

    • AWS CloudTrail - 인시던트와 연결된 API 직접 호출 및 활동

    • IAM - 사용자 및 역할 권한, 정책 변경 및 새 자격 증명 생성

    • Amazon EC2 인스턴스 API - 관련된 경우 컴퓨팅 리소스에 대한 정보

    • Cost Explorer - 비정상적인 리소스 소비에 대한 비용 및 사용량 지표

  5. 분석 및 상관관계 파악 - 에이전트가 여러 서비스에서 수집한 증거의 상관관계를 파악하고, 패턴을 식별하고, 이벤트의 타임라인을 구성합니다.

  6. 요약 생성 - 몇 분 안에 에이전트가 조사 탭에 포괄적인 조사 요약을 제공합니다.

참고

모든 필드는 선택 사항입니다. 10분 이내에 답변이 제공되지 않으면 자동으로 조사가 시작됩니다. 경우에 따라 충분한 정보가 이미 제공되어 있다면 에이전트가 선택 사항 질문을 완전히 건너뛸 수 있습니다.

조사 결과 액세스

AI 분석을 보는 방법은 다음과 같습니다.

  1. Security Incident Response 콘솔에서 해당 사례로 이동합니다.

  2. 조사 탭을 선택합니다.

  3. 조사 결과, 타임라인, 컨텍스트가 포함된 조사 요약을 검토합니다.

AI 조사 에이전트 요약이 자동으로 사례의 커뮤니케이션 섹션에 설명으로 게시되므로 다른 사례 업데이트와 함께 쉽게 검토할 수 있습니다.

데이터 액세스 및 권한

AI 조사 에이전트는 AWSServiceRoleForSupport 서비스 연결 역할을 사용하여 AWS 리소스에 액세스합니다. 이 역할에서는 증거 수집에 필요한 읽기 전용 권한을 제공합니다.

에이전트가 수행하는 모든 작업이 AWS CloudTrail에 로깅되므로 조사 중에 액세스한 데이터를 고객이 정확하게 감사할 수 있습니다. AWS CloudTrail 로그에서 이러한 작업은 AWSServiceRoleForSupport에 귀속됩니다.

사전 조건

AI 기반 조사 기능을 사용하기 전에 다음을 확인하세요.

필수 설정

  • AWS 보안 인시던트 대응 활성화됨 - AWS Organizations 관리 계정을 통해 서비스를 활성화해야 합니다.

  • AWS 지원 사례 유형 - AI 조사는 AWS 지원 사례(자체 관리형 사례 제외)에만 사용할 수 있습니다.

  • AWSServiceRoleForSupport - 이 서비스 연결 역할은 자동으로 생성되며 조사 에이전트에 필요한 권한을 제공합니다.

필요한 권한

AWS 지원 사례를 생성하고 조사 결과에 액세스하려면 IAM 위탁자에게 다음과 같은 권한이 필요합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

조사 에이전트 사용

AI 조사 에이전트는 AWS 지원 사례를 생성할 때 자동으로 활성화됩니다.

AI 조사 진행 상황을 모니터링하는 방법

  1. AWS 보안 인시던트 대응 콘솔에서 사례를 엽니다.

  2. 조사 탭을 선택합니다.

  3. 조사 상태(진행 중 또는 완료됨)를 봅니다.

  4. 조사 완료되면 조사 결과, 타임라인, 권장 사항이 포함된 종합적인 조사 요약을 검토합니다.

책임 있는 AI 공개

조사 요약은 AWS 생성형 AI 기능을 사용하여 생성됩니다. 사용자는 특정 컨텍스트에서 AI 생성 권장 사항을 평가하고, 적절한 감독 메커니즘을 구현하고, 조사 결과를 독립적으로 검증하고, 모든 보안 결정에 대한 인적 감독을 유지 관리할 책임이 있습니다.

고객 데이터 사용

AI 조사 에이전트는 모델 훈련에 고객 데이터를 사용하지 않으며 고객 데이터를 서드 파티와 공유하지 않습니다.