격리 작업 기본 설정 정의 - AWS 보안 인시던트 대응 사용 설명서

격리 작업 기본 설정 정의

격리 작업을 통해 Security Incident Response는 손상된 호스트 격리 또는 자격 증명 교체와 같은 활성 보안 인시던트 중에 신속한 대응 조치를 실행할 수 있습니다. 이러한 작업은 환경에서 보안 인시던트의 영향을 신속하게 완화하는 데 도움이 됩니다.

중요

Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 격리 기본 설정을 통해 명시적으로 격리 작업에 권한을 부여해야 합니다.

Security Incident Response 엔지니어에게 사용자를 대신하여 격리 작업을 수행할 권한을 부여하려면 조직 또는 계정 수준 격리 기본 설정을 정의해야 합니다. 계정 수준 기본 설정은 조직 수준 기본 설정을 대체합니다.

사전 조건: AWS Support 사례를 생성할 권한이 있어야 합니다.

격리 옵션:

  • 승인 필요(기본값): 사례별로 명시적 권한 부여 없이 리소스를 선제적으로 격리하지 않습니다.

  • 확인 항목 격리: 손상된 것으로 확인된 리소스에 대해 선제적 격리를 수행합니다.

  • 의심 항목 격리: AWS 보안 인시던트 대응 엔지니어링에서 수행한 분석을 기반으로 손상 가능성이 큰 리소스를 선제적으로 격리합니다.

격리 기본 설정을 정의하는 방법:

  1. Security Incident Response의 격리 작업 기본 설정을 구성하도록 요청하는AWS Support 사례를 생성하세요.

  2. 지원 사례에서 다음을 지정하세요.

    • 격리 작업에 대한 권한을 부여해야 하는 AWS Organizations ID 또는 특정 계정 ID

    • 기본 격리 옵션(격리 없음, 승인을 통한 격리 또는 자동 격리)

    • 권한을 부여하려는 격리 작업 유형(예: EC2 인스턴스 격리, 자격 증명 교체 또는 보안 그룹 수정)

  3. AWS Support는 사용자와 협력하여 격리 기본 설정을 구성합니다. 필요한 IAM 역할을 생성하는 AWS CloudFormation StackSet를 배포해야 합니다. 필요한 경우 AWS Support에서 도움을 받을 수 있습니다.

구성 후 Security Incident Response는 환경 보호를 위해 활성 보안 인시던트 중 권한이 부여된 격리 작업을 실행합니다.

다음 단계: 격리 기본 설정을 구성한 후 Security Incident Response 콘솔에서 인시던트 중에 수행된 격리 작업을 모니터링할 수 있습니다.