탐지 및 분석 - AWS Security Incident Response 사용 설명서

탐지 및 분석

이벤트 보고

AWS Security Incident Response 포털을 통해 보안 이벤트를 제기할 수 있습니다. 보안 이벤트 중에 기다리지 않는 것이 중요합니다. AWS Security Incident Response는 자동 및 수동 기술을 사용하여 보안 이벤트를 조사하고, 로그를 분석하고, 비정상적인 패턴을 찾습니다. 파트너십과 환경에 대한 이해가 이 분석을 가속화합니다.

지원되는 탐지 소스 활성화

참고

AWS Security Incident Response 서비스 비용에는 지원되는 탐지 소스나 다른 AWS 서비스 사용과 관련된 사용료 및 기타 비용과 수수료가 포함되지 않습니다. 비용 세부 정보는 개별 기능 또는 서비스 페이지를 참조하세요.

Amazon GuardDuty

조직 전체에서 GuardDuty를 활성화하려면 Amazon GuardDuty 사용 설명서Setting up GuardDuty 섹션을 참조하세요.

지원되는 모든 AWS 리전에서 GuardDuty를 활성화하는 것이 좋습니다. 이렇게 하면 현재 활발히 사용하고 있지 않은 리전에서도 비정상적인 활동이나 허가되지 않은 활동에 대한 결과를 GuardDuty를 통해 작성할 수 있습니다. 자세한 내용은 Amazon GuardDuty Regions and endpoints를 참조하세요.

GuardDuty를 활성화하면 AWS Security Incident Response에서 중요한 위협 탐지 데이터에 액세스할 수 있으므로 AWS 환경에서 잠재적인 보안 문제를 식별하고 대응하는 능력이 향상됩니다.

AWS Security Hub CSPM

Security Hub CSPM은 여러 AWS 서비스와 지원되는 타사 보안 솔루션에서 보안 조사 결과를 수집할 수 있습니다. 이러한 통합은 AWS Security Incident Response가 다른 탐지 도구에서 얻은 조사 결과를 모니터링하고 조사하는 데 도움이 될 수 있습니다.

Security Hub CSPM with Organizations 통합을 활성화하려면 AWS Security Hub CSPM 사용 설명서를 참조하세요.

Security Hub CSPM에서 통합을 활성화하는 방법에는 여러 가지가 있습니다. 타사 제품 통합의 경우, AWS Marketplace에서 통합을 구입한 다음 통합을 구성해야 할 수 있습니다. 통합 정보는 이러한 작업을 수행할 수 있는 링크를 제공합니다. AWS Security Hub CSPM 통합을 활성화하는 방법에 대해 자세히 알아봅니다.

AWS Security Incident Response는 다음 도구가 AWS Security Hub CSPM와 통합되는 경우 해당 도구의 조사 결과를 모니터링하고 조사할 수 있습니다.

이러한 통합을 활성화하면 AWS Security Incident Response의 모니터링 및 조사 기능의 범위와 효과를 크게 향상시킬 수 있습니다.

탐지

'선제적 응답'이 활성화된 경우(https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html) AWS Security Incident Response는 온보딩 중에 계정에 배포된 Amazon EventBridge 규칙을 통해 AWS Security Hub CSPM 및 Amazon GuardDuty에서 조사 결과를 수집합니다.

AWS Security Incident Response는 자동화된 분류 중에 양성으로 확인되거나 예상되는 활동에 연결된 Amazon GuardDuty 조사 결과를 자동으로 아카이브합니다. 조사 결과 상태 필터에서 아카이브됨을 선택하여 Amazon GuardDuty 콘솔에서 아카이브된 조사 결과를 볼 수 있습니다. 자세한 내용은 Amazon GuardDuty 사용 설명서Viewing generated findings in GuardDuty console을 참조하세요.

AWS Security Incident Response는 자동화된 분류 중에 양성으로 확인되거나 예상되는 활동에 연결된 Amazon GuardDuty 조사 결과를 자동으로 아카이브합니다. 이 아카이브는 분류되고 결과가 '아카이브'로 지정된 조사 결과에 대해서만 수행됩니다. 조사가 진행 중인 조사 결과는 조사가 완료된 후에도 Amazon GuardDuty 콘솔에서 계속 볼 수 있습니다. 조사 결과 필터에서 아카이브됨을 선택하여 Amazon GuardDuty 콘솔에서 아카이브된 조사 결과를 볼 수 있습니다. 아카이브된 조사 결과 작업에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서Working with findings를 참조하세요.

AWS Security Hub CSPM에서 보안 조사 결과를 수집하면 시스템은 자동화된 분류가 시작되었음을 나타내는 메모와 함께 각 조사 결과를 업데이트합니다. 워크플로 상태가 NEW에서 NOTIFIED로 변경되고, 이때 기본 AWS Security Hub CSPM 조사 결과 보기에서 조사 결과가 제거됩니다. 분류에서 조사 결과가 양성이거나 예상되는 활동과 관련이 있다고 판단되면 시스템은 조사 결과에 메모를 추가하고 워크플로 상태를 SUPPRESSED로 업데이트합니다.

분석: 자동화된 분류

AWS Security Incident Response는 보안 조사 결과를 자동으로 분류합니다. 분류 프로세스에서는 조사 결과 페이로드, AWS 서비스 메타데이터, AWS 로깅 및 모니터링 데이터(예: AWS CloudTrail 및 VPC 흐름 로그), AWS 위협 인텔리전스 그리고 AWS 및 온프레미스 환경에 대한 컨텍스트를 제공하기 위해 사용자가 초대된 해당 컨텍스트를 포함한 여러 소스의 데이터를 분석하여 탐지된 활동이 예상되는 동작을 나타내는지를 결정합니다.

자동화된 분류에서 탐지된 활동이 예상되는 것으로 확인되면 시스템은 추가 조사 작업을 수행하지 않습니다.

분석: 인시던트 대응 보안 조사

AWS Security Incident Response 엔지니어링은 AWS 및 보안 인시던트 대응에 대한 전문 지식을 갖추고 상시 운영되는 글로벌 보안 전문가 팀입니다. 자동화된 분류를 통해 활동이 예상되는지 확인할 수 없는 경우 AWS Security Incident Response 엔지니어링이 참여하여 보안 조사를 수행합니다. Security Hub에서 이벤트가 수집되는 경우 AWS Security Incident Response 엔지니어링의 조사가 진행 중이라는 메모가 관련 조사 결과에 게시됩니다.

AWS Security Incident Response 엔지니어링은 추가 서비스 메타데이터 및 위협 인텔리전스를 분석하고, 환경의 과거 조사 결과 및 조사에서 얻은 인사이트를 검토하며, 인시던트 대응 전문 지식을 적용하여 실제 보안 조사를 수행합니다. 격리 기본 설정(격리 참조)에 따라 AWS Security Incident Response 엔지니어링은 AWS Security Incident Response 콘솔의 Security Incident Response 사례를 통해 조직의 인시던트 대응 팀을 참여시켜 탐지된 활동이 예상되고 해당 활동에 AWS에서 생성된 사례에 대한 대응 권한이 있는지 확인할 수 있습니다.

커뮤니케이션

AWS Security Incident Response는 Security Incident Response 사례를 통해 인시던트 대응 팀과 협력하여 보안 조사 중에 정보를 제공합니다. 여러 AWS Security Incident Response 엔지니어링 구성원이 조사를 지원할 수 있습니다. 커뮤니케이션에는 보안 조사 생성에 대한 확인 또는 알림, 통화 브리지 설정, 로그 파일과 같은 아티팩트 분석, 예상되는 활동 확인 요청, 조사 결과 공유가 포함될 수 있습니다.

AWS Security Incident Response가 선제적으로 인시던트 대응 팀을 참여시키면 AWS Security Incident Response 멤버십 계정에서 사례가 생성되고 이를 통해 모든 조직 계정에 대한 커뮤니케이션을 한 곳에서 중앙 집중화합니다. 이러한 사례에는 제목에 '[선제적 사례]'와 같은 접두사가 포함되며, 이 접두사는 AWS Security Incident Response에 의해 시작된 항목임을 식별합니다. 인시던트 대응 팀은 이러한 커뮤니케이션에 적극적으로 참여하고 적시에 대응함으로써 다음을 수행할 수 있도록 AWS Security Incident Response를 지원할 수 있습니다.

  • 실제 보안 인시던트에 신속하게 대응합니다.

  • 환경과 예상 동작을 이해합니다.

  • 시간 경과에 따라 거짓 양성 탐지를 줄입니다.

AWS Security Incident Response의 효과는 사용자와의 협업을 통해 향상되고 더욱 효율적으로 모니터링되는 보안 AWS 환경으로 이어집니다.

조사 결과 업데이트

AWS Security Incident Response는 소스 및 분류 결과에 따라 조사 결과를 다른 방식으로 관리합니다.

서비스 조정

계정 서비스 할당량이 허용되면 AWS Security Incident Response는 Amazon GuardDuty 억제 규칙 또는 AWS Security Hub CSPM 자동화 규칙을 배포하려고 시도합니다. 이러한 규칙은 알려진 권한 있는 활동의 유형 및 소스(예: 소스 IP 주소, ASN, ID 위탁자 또는 리소스)와 일치하는 향후 조사 결과를 억제합니다. AWS Security Hub CSPM 규칙은 10개의 우선순위로 배포되므로 필요한 경우 자체 정의되는 규칙으로 이러한 자동화를 재정의할 수 있습니다.

이러한 방식으로 AWS Security Incident Response는 AWS 환경에서 예상되는 동작을 기반으로 탐지 소스를 조정합니다. 인시던트 대응 팀은 이러한 규칙 세트의 수정에 대한 알림을 받으며, 변경 사항은 요청 시 롤백됩니다.