1단계: AWS 보안 인시던트 대응 활성화
온보딩 프로세스는 AWS 조직당 약 10~15분이 걸립니다. 연습은 서비스 설명서의 시작하기 동영상을 참조하세요.
참고
이 섹션의 지침에서는 AWS 보안 인시던트 대응 콘솔을 사용하여 Security Incident Response를 활성화하고 팀을 설정하는 방법을 간략하게 설명합니다(1단계 및 2단계). API/CLI를 사용하여 이러한 단계를 수행할 수도 있습니다. API/CLI를 사용하는 방법은 API/CLI를 사용하여 Security Incident Response 활성화 및 인시던트 대응 팀 구성 섹션을 참조하세요.
AWS 보안 인시던트 대응 콘솔을 사용하여 AWS 보안 인시던트 대응 활성화
-
관리 계정을 사용하여 AWS Management Console에 로그인합니다.
-
AWS 보안 인시던트 대응 콘솔을 열고 가입을 선택합니다.
-
중앙 멤버십 계정을 설정합니다. 지침은 AWS 권장 가이드의 보안 참조 아키텍처 및 위임된 Security Incident Response 관리자 계정의 작동 방식에 관한 사용 고려 사항 및 권장 사항를 참조하세요.
-
위임된 관리자 계정에 로그인하기
-
멤버십 세부 정보를 입력하고 관련 계정을 연결합니다.
-
계정 범위에서 전체 AWS 조직 또는 특정 OU에 대해 AWS 보안 인시던트 대응를 활성화합니다. OU 수준에서는 적용 범위를 선택할 수 있지만 개별 계정 수준에서는 선택할 수 없습니다.
-
선제적 대응은 기본적으로 활성화되어 있고 이를 통해 Security Incident Response Engineering이 GuardDuty 조사 결과를 수집하고 위협이 탐지될 때 선제적 조사 사례를 열 수 있는 서비스 연결 역할이 생성됩니다. 자세한 내용은 선제적 대응을 참조하세요.
AWS 보안 인시던트 대응는 AWS Organizations 관리 계정 및 범위 내의 모든 계정에서
AWSServiceRoleForSecurityIncidentResponse_Triage서비스 연결 역할을 자동으로 생성합니다. -
(선택 사항) 선택하면 활성 인시던트 발생 시 Security Incident Response Engineering이 사용자를 대신하여 격리 작업을 수행하도록 사전 승인합니다. 지원되는 격리 작업에는 손상된 S3 버킷, EC2 인스턴스 및 IAM 보안 주체에 대한 런북이 포함됩니다. 이 단계를 건너뛰면 Security Incident Response Engineering은 조사 도중 수동 지침을 제공합니다. 자세한 내용은 격리 작업을 참조하세요.
-
서비스 권한 및 온보딩 구성을 검토한 다음 가입을 선택합니다.
