탐지 및 분석 - AWS 보안 인시던트 대응 사용 설명서

탐지 및 분석

AWS 보안 인시던트 대응는 Amazon GuardDuty와 AWS Security Hub를 통한 통합의 보안 조사 결과를 모니터링, 분류, 조사합니다. 다음은 AWS 보안 인시던트 대응의 모니터링 및 조사 기능의 범위와 효과를 크게 향상시킬 수 있는 추가 작업입니다.

지원되는 탐지 소스 활성화

참고

AWS 보안 인시던트 대응 서비스 비용에는 지원되는 탐지 소스나 다른 AWS 서비스 사용과 관련된 사용료 및 기타 비용과 수수료가 포함되지 않습니다. 비용 세부 정보는 개별 기능 또는 서비스 페이지를 참조하세요.

Amazon GuardDuty

GuardDuty는 AWS 환경의 데이터 소스 및 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다. AWS 보안 인시던트 대응를 사용하기 위해 GuardDuty를 활성화할 필요는 없지만, 선제적 대응 및 알림 분류 기능을 사용하려면 Amazon GuardDuty를 활성화해야 합니다.

조직 전체에서 GuardDuty를 활성화하려면 Amazon GuardDuty 사용 설명서Setting up GuardDuty 섹션을 참조하세요.

지원되는 모든 AWS 리전에서 GuardDuty를 활성화하는 것이 좋습니다. 이렇게 하면 현재 활발히 사용하고 있지 않은 리전에서도 비정상적인 활동이나 허가되지 않은 활동에 대한 결과를 GuardDuty를 통해 작성할 수 있습니다. 자세한 내용은 Amazon GuardDuty Regions and endpoints를 참조하세요.

GuardDuty를 활성화하면 AWS 보안 인시던트 대응에서 중요한 위협 탐지 데이터에 액세스할 수 있으므로 AWS 환경에서 잠재적인 보안 문제를 식별하고 대응하는 능력이 향상됩니다.

AWS Security Hub

Security Hub는 여러 AWS 서비스로부터 보안 조사 결과와 지원되는 타사 보안 솔루션에서 보안 조사 결과를 수집할 수 있습니다. 이러한 통합은 AWS 보안 인시던트 대응가 다른 탐지 도구에서 얻은 조사 결과를 모니터링하고 조사하는 데 도움이 될 수 있습니다.

Organizations 통합을 통해 Security Hub를 활성화하려면 AWS Security Hub 사용 설명서를 참조하세요.

Security Hub에서 통합을 활성화하는 방법에는 여러 가지가 있습니다. 타사 제품 통합의 경우, AWS Marketplace에서 통합을 구입한 다음 통합을 구성해야 할 수 있습니다. 통합 정보는 이러한 작업을 수행할 수 있는 링크를 제공합니다. AWS Security Hub 통합을 활성화하는 방법에 대해 자세히 알아봅니다.

AWS 보안 인시던트 대응는 다음 도구가 AWS Security Hub와 통합되는 경우 해당 도구의 조사 결과를 모니터링하고 조사할 수 있습니다.

이러한 통합을 활성화하면 AWS 보안 인시던트 대응의 모니터링 및 조사 기능의 범위와 효과를 크게 향상시킬 수 있습니다.

조사 결과 분석

AWS 보안 인시던트 대응 자동화 및 AWS CIRT 서비스 팀은 지원되는 도구의 모든 조사 결과를 분석합니다. AWS Support 사례를 사용하여 사용자와 통신하여 사용자 환경에 대해 알아보겠습니다. 조사 결과가 예상되는 행동인지 아니면 인시던트로 에스컬레이션해야 하는지 파악해야 할 때를 예로 들 수 있습니다. 사용자 환경에 대해 더 많이 알게 되면 서비스를 맞춤화하고 커뮤니케이션 횟수를 줄일 수 있습니다.

이벤트 보고

AWS 보안 인시던트 대응 서비스 포털을 통해 보안 이벤트를 제기할 수 있습니다. 보안 이벤트 중에 기다리지 않는 것이 중요합니다. AWS 보안 인시던트 대응는 자동 및 수동 기술을 사용하여 보안 이벤트를 조사하고, 로그를 분석하고, 비정상적인 패턴을 찾습니다. 파트너십과 환경에 대한 이해가 이 분석을 가속화합니다.

소통

AWS 보안 인시던트 대응는 이벤트 사례를 통해 보안 담당자에게 연락하여 조사 중에 계속 정보를 제공합니다. 여러 팀원이 이벤트를 지원할 수 있으며, 모두 고객 제공 콘텐츠 및 AWS 업데이트에 이벤트 티켓을 사용합니다.

커뮤니케이션에는 보안 알림이 생성될 때 자동 알림, 이벤트 분석 중 커뮤니케이션, 통화 브리지 설정, 로그 파일과 같은 아티팩트의 지속적인 분석, 보안 이벤트 중 조사 결과 가져오기가 포함될 수 있습니다.

서비스는 AWS 보안 인시던트 대응 사례를 생성하여 팀과 커뮤니케이션합니다. 멤버십 계정에 대한 사례를 생성하겠습니다. 이 접근 방식은 모든 계정의 커뮤니케이션을 한 곳으로 중앙 집중화합니다. ‘[사전 예방 사례]’ 접두사는 AWS 보안 인시던트 대응에서 시작된 사례를 식별하는 데 도움이 됩니다.

이러한 커뮤니케이션에 적극적으로 참여하고 시기적절한 대응을 제공함으로써 AWS 보안 인시던트 대응 서비스는 다음과 같은 이점을 얻을 수 있습니다.

  • 고객 환경과 예상 동작을 더 잘 이해합니다.

  • 시간 경과에 따라 오탐을 줄입니다.

  • 알림의 정확성과 관련성을 향상합니다.

  • 실제 보안 인시던트에 신속하게 대응합니다.

  • AWS 보안 인시던트 대응 서비스의 효과는 협업을 통해 향상되어 더욱 안전하고 효율적으로 모니터링되는 AWS 환경으로 이어진다는 점을 기억하세요.