# 시작하기
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)
**Topics**
+ [온보딩 가이드](onboarding-guide.md)
+ [RACI 매트릭스](raci-matrix.md)
+ [멤버 계정 선택](select-a-membership-account.md)
+ [멤버십 세부 정보 설정](setup-membership-details.md)
+ [AWS Organizations와 계정 연결](associate-accounts-with-aws-organizations.md)
+ [선제적 대응 및 알림 분류 워크플로 설정](setup-monitoring-and-investigation-workflows.md)
# 온보딩 가이드
온보딩 가이드는 전제 조건과 AWS Security Incident Response 온보딩 및 격리 작업을 안내합니다.
**중요**
사전 조건
유일한 배포 사전 조건은 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)를 활성화하는 것입니다.
필수는 아니지만 모든 계정 및 활성 AWS 리전에서 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)와 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)를 활성화하여 Security Incident Response 이점을 극대화하는 것이 좋습니다.
GuardDuty 및 Security Incident Response를 검토합니다.
[GuardDuty 모범 사례 가이드](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)를 검토합니다.
AWS Security Hub CSPM는 타사 엔드포인트 탐지 및 응답(EDR) 공급업체(CrowdStrike, FortinetCNAPP(Lacework), Trend Micro 등)에서 조사 결과를 수집합니다. 이러한 조사 결과가 Security Hub CSPM에 수집되는 경우 선제적 사례 생성을 위해 Security Incident Response에 의해 자동으로 분류됩니다. Security Hub CSPM을 사용하여 타사 EDR을 설정하려면 [탐지 및 분석](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html)을 참조하세요.
Security Hub CSPM을 사용하여 타사 EDR을 설정하려면 다음을 수행합니다.
1. Security Hub CSPM 통합 페이지로 이동하여 타사 통합이 존재하는지 확인합니다.
1. 콘솔에서 Security Hub CSPM 서비스 페이지로 이동합니다.
1. **통합**을 선택합니다(예: Wiz.IO 사용).
![\[사용 가능한 타사 통합을 보여주는 Security Hub CSPM 통합 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. 통합하려는 공급업체를 검색합니다.
![\[타사 공급업체 통합을 찾고 선택하기 위한 검색 인터페이스입니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Integrations.png)
**참고**
메시지가 나타나면 계정 또는 구독 정보를 제공합니다. 이 정보를 제공하면 Security Incident Response에서 타사 조사 결과를 수집합니다. 타사 조사 결과 수집에 대한 요금을 검토하려면 Security Hub CSPM의 **통합** 페이지에서 확인할 수 있습니다.
# Security Incident Response 배포 및 구성
1. **가입**을 선택합니다.
![\[가입 버튼이 있는 AWS Security Incident Response 가입 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. 관리 계정에서 위임된 관리자로 **보안 도구** 계정을 선택합니다.
+ [Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [위임된 관리자 설명서](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[위임된 관리자 계정을 선택하기 위한 중앙 멤버십 계정 페이지를 설정합니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. 위임된 관리자 계정에 로그인
1. 멤버십 세부 정보 입력 및 계정 연결
![\[멤버십 세부 정보 입력 및 계정 연결.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Security Incident Response에 작업 권한 부여
이 페이지에서는 AWS 환경에서 자동화된 모니터링 및 격리 작업을 수행하도록 Security Incident Response에 권한을 부여하는 방법을 설명합니다. 선테적 대응 모니터링 및 격리 작업 기본 설정이라는 두 가지 고유한 권한 부여 기능을 활성화할 수 있습니다. 이러한 기능은 서로 독립적이며 보안 요구 사항에 따라 별도로 활성화할 수 있습니다.
# 선제적 대응 활성화
선제적 대응을 통해 Security Incident Response는 조직 전체에서 Amazon GuardDuty 및 AWS Security Hub CSPM 통합으로부터 생성된 알림을 모니터링하고 조사할 수 있습니다. 활성화된 경우 Security Incident Response는 서비스 자동화를 통해 우선순위가 낮은 알림을 분류하므로 팀이 가장 중요한 문제에 집중할 수 있습니다.
온보딩 중에 선제적 대응을 활성화하는 방법:
1. Security Incident Response 콘솔에서 온보딩 워크플로로 이동하세요.
1. Security Incident Response가 조직에서 해당되는 모든 계정 및 활성 지원 AWS 리전의 조사 결과를 모니터링하도록 허용하는 서비스 권한을 검토하세요.
1. **가입**을 선택하여 기능을 활성화하세요.
![\[Security Incident Response가 결과를 모니터링하는 데 필요한 권한을 보여주는 서비스 권한 검토 화면.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[선제적 대응 모니터링을 활성화하기 위한 가입 확인 화면.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
이 기능은 AWS Organizations 내 해당되는 모든 멤버 계정에서 서비스 연결 역할을 자동으로 생성합니다. 그러나 관리 계정에서는 AWS CloudFormation 스택 세트를 통해 서비스 연결 역할을 수동으로 생성해야 합니다.
**다음 단계:** Security Incident Response가 Amazon GuardDuty 및 AWS Security Hub CSPM와 작동하는 방식에 대한 자세한 내용은 *AWS Security Incident Response 사용 설명서*의 *탐지 및 분석*을 참조하세요.
# 격리 작업 기본 설정 정의
격리 작업을 통해 AWS Security Incident Response는 활성 보안 인시던트 중에 신속한 대응 조치를 실행할 수 있습니다. 이러한 작업은 환경에서 보안 인시던트의 영향을 신속하게 완화하는 데 도움이 됩니다.
**중요**
Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 격리 기본 설정을 통해 명시적으로 격리 작업에 권한을 부여해야 합니다.
AWS Security Incident Response 엔지니어가 사용자를 대신하여 격리 작업을 수행하도록 권한을 부여하려면 필요한 IAM 역할을 생성하는 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)를 배포하는 것 외에도 조직 또는 계정 수준 격리 기본 설정을 정의해야 합니다. 계정 수준 기본 설정은 조직 수준 기본 설정을 대체합니다.
**사전 조건:** AWS Support 사례를 생성할 권한이 있어야 합니다.
**격리 옵션:**
+ **승인 필요**(기본값): 사례별로 명시적 권한 부여 없이 리소스를 선제적으로 격리하지 않습니다.
+ **확인 항목 격리**: 손상된 것으로 확인된 리소스에 대해 선제적 격리를 수행합니다.
+ **의심 항목 격리:** AWS Security Incident Response 엔지니어링에서 수행한 분석을 기반으로 손상 가능성이 큰 리소스를 선제적으로 격리합니다.
격리 기본 설정을 정의하는 방법:
1. Security Incident Response의 격리 작업 기본 설정을 구성하도록 요청하는[AWS Support 사례를 생성](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html)하세요.
1. 지원 사례에서 다음을 지정하세요.
+ 격리 작업에 대한 권한을 부여해야 하는 AWS Organizations ID 또는 특정 계정 ID
+ 선호하는 격리 옵션(승인 필요, 확인 항목 격리, 의심 항목 격리).
+ 권한을 부여하려는 격리 작업 유형(예: EC2 인스턴스 격리, 자격 증명 교체 또는 보안 그룹 수정)
1. AWS Support는 사용자와 협력하여 격리 기본 설정을 구성합니다. 필요한 IAM 역할을 생성하는 AWS CloudFormation StackSet를 배포해야 합니다. 필요한 경우 AWS Support에서 도움을 받을 수 있습니다.
구성 후 AWS Security Incident Response는 환경 보호를 위해 활성 보안 인시던트 중 권한이 부여된 격리 작업을 실행합니다.
**다음 단계:** 격리 기본 설정을 구성한 후 Security Incident Response 콘솔에서 인시던트 중에 수행된 격리 작업을 모니터링할 수 있습니다.
# Security Incident Response의 사후 배포
AWS는 교체하는 대신 기존 인시던트 대응 프레임워크와 통합됩니다.
1. 현재 방식을 개선하기 위해 당사의 운영 통합 기능을 검토해 보세요.
1. 보다 효율적인 보안 운영을 위해 OU 수준 멤버십 지원 데모, EventBridge 활용 및 Jira-ITSM 통합을 시청해 보세요.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# 인시던트 대응 팀 업데이트
1. 구독을 완료하고 본 *온보딩 가이드*에 설명된 온보딩 단계를 모두 마쳤는지 확인하세요.
1. 왼쪽 탐색 창에서 인시던트 대응 팀을 선택합니다.
1. 팀에 추가할 팀원을 선택합니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Teamates.png)
**참고**
팀에는 조직 리더십, 법률 고문, MDR 파트너, 클라우드 엔지니어 등이 포함될 수 있습니다. 최대 10명의 멤버를 추가할 수 있습니다. 각 멤버의 이름, 직함 및 이메일 주소만 포함합니다.
# AWS 지원 사례
AWS Security Incident Response는 조직이 Security Incident Response 엔지니어와 직접 소통할 수 있는 구독 기반 사례 관리 포털을 제공합니다. 대응 사례에 대한 제한 없이 15분 SLO를 통해 보안 조사 및 활성 인시던트를 지원합니다. AWS 지원되는 사례 생성 설명서를 참조하세요.
**조사 팀 확장**
사례 관리 포털을 통해 감시자 및 IAM 정책을 추가하여 외부 당사자에게 사례 가시성을 부여할 수 있습니다. 파트너, 법률 팀 또는 주제 전문가에 대해 이러한 옵션을 사용합니다.
**사례에 감시자를 추가하는 방법**
1. Security Incident Response 사례 포털에서 사례를 엽니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Cases.png)
1. 권한 탭 선택
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Overview.png)
1. 추가 선택
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Watchers.png)
**참고**
각 사례에는 특정 사례에만 액세스 권한을 부여하여 최소 권한을 유지하는 미리 채워진 IAM 정책이 포함됩니다. 이 정책을 복사하여 타사 MDR 파트너 또는 특정 조사 팀의 IAM 역할 또는 사용자에게 직접 붙여 넣어 기여도를 높입니다.
# GuardDuty 조사 결과 및 억제 규칙
AWS Security Incident Response는 CrowdStrike, FortinetCNAPP(Lacework), Trend Micro의 모든 Amazon GuardDuty 조사 결과와 AWS Security Hub CSPM 조사 결과를 사전에 수집 및 분류하고 이에 대응합니다. 자동 분류 기술은 내부 분석 요구 사항이 필요하지 않습니다. 이 서비스는 GuardDuty 및 Security Hub CSPM에서 양성 조사 결과에 대한 억제 및 자동 보관 규칙을 생성합니다. Amazon GuardDuty 콘솔의 '조사 결과'에서 이러한 규칙을 보거나 수정합니다.
활성화된 GuardDuty 억제 규칙을 검토하려면 다음 단계를 완료합니다.
1. Amazon GuardDuty 콘솔을 엽니다.
1. **조사 결과**를 선택합니다.
1. 탐색 창에서 **억제 규칙**을 선택합니다. **억제 규칙** 페이지에는 계정에 대한 모든 억제 규칙 목록이 표시됩니다.
1. 규칙 설정을 검토하거나 변경하려면 규칙을 선택한 다음 **작업** 메뉴에서 **억제 규칙 업데이트**를 선택합니다.
**참고**
SIEM 기술을 사용하는 조직은 시간이 지남에 따라 GuardDuty 조사 결과 볼륨이 크게 감소하여 Security Incident Response 서비스와 SIEM 효율성이 모두 개선됩니다.
# Amazon EventBridge
Amazon EventBridge는 보안 인시던트 대응을 위한 이벤트 기반 아키텍처를 지원하므로 사례 활동이 다운스트림 서비스(SNS, Lambda, SQS, Step-Functions) 또는 외부 도구(Jira, ServiceNow, Teams, Slack, PagerDuty)를 트리거할 수 있습니다.
**EventBridge 규칙 구성 방법**
1. Amazon EventBridge에 액세스
1. **버스** 드롭다운에서 **규칙**을 선택합니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. [**Create Rule**]을 선택합니다.
1. 규칙 세부 정보를 입력합니다.
1. **다음**을 선택합니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Define_Rule.png)
1. **AWS 서비스**로 스크롤하고 드롭다운 메뉴에서 **AWS Security Incident Response**를 선택합니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. **이벤트 유형** 드롭다운에서 패턴을 생성할 이벤트 또는 API 직접 호출을 선택합니다.
1. 둘 이상의 이벤트를 포함하도록 패턴을 수동으로 편집할 수 있습니다.
1. **다음**을 선택합니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Event_Pattern.png)
**참고**
이벤트에 대해 하나 이상의 대상(Amazon Simple Notification Service, AWS Lambda, SSM 문서, Step-Function)을 선택합니다. 필요한 경우 교차 계정 대상을 구성합니다.
EventBridge 통합 메뉴의 파트너 이벤트 소스에서 파트너 통합 패턴을 확인할 수 있습니다. 사용 가능한 파트너로는 Atlassian(Jira), DataDog, New Relic, PagerDuty, Symantec, Zendesk 등이 있습니다.
![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# 통합 및 외부 도구 워크플로
**JIRA 또는 ServiceNow를 Security Incident Response와 통합하는 AWS 솔루션**
Jira 및 ServiceNow와의 양방향 통합을 위해 완전히 개발된 솔루션을 배포합니다. 이러한 통합을 통해 AWS Security Incident Response 사례와 ITSM 플랫폼 간의 양방향 통신이 가능하며, 사례 업데이트는 해당 Jira 작업에 자동으로 반영됩니다.
**통합의 이점**
AWS Security Incident Response를 기존 ITSM 플랫폼과 통합하면 인시던트 추적 및 대응 워크플로를 중앙 집중화하여 보안 운영을 간소화할 수 있습니다. 이러한 사전 빌드된 솔루션을 사용하면 사용자 지정 개발이 필요하지 않으므로 보안 팀이 AWS 네이티브 및 전사적 인시던트 관리 시스템 모두에서 가시성을 유지 관리할 수 있습니다. 이벤트 기반 자동화에 Amazon EventBridge를 활용하면 여러 플랫폼 사이에서 업데이트가 실시간으로 원활하게 전달되므로 보안 인시던트가 발생한 위치에 관계없이 일관되게 추적되도록 할 수 있습니다. 이 통합 접근 방식은 보안 분석가의 컨텍스트 전환을 줄이고, 대응 시간을 개선하며, 전체 인시던트 대응 수명 주기에서 포괄적인 감사 추적을 제공합니다.
EventBridge 규칙 구성 방법:
1. Amazon EventBridge에 액세스합니다.
1. **버스** 드롭다운에서 **규칙**을 선택합니다.
# 외부 도구 워크플로
보안 인시던트 대응은 여러 가지 방법으로 외부 도구 및 파트너와 통합됩니다.
+ *SIEM 통합:* Security Incident Response 엔지니어는 AWS 지원 사례를 제출할 때 팀과 함께 이러한 조사 결과를 분석하고 조사하는 데 도움을 줍니다. 하이브리드 및 멀티 클라우드 환경 간의 상관관계를 식별하여 공급자 간의 위협 행위자 이동 범위를 정하는 데 도움이 됩니다.
+ *기존 보안 작업 개선:* 기존 GuardDuty 대응 워크플로를 보다 효율적인 병렬 대응 모델로 대체합니다. 현재 많은 조직이 사례 관리를 통한 탐지 워크플로에 SIEM 기술을 활용하고 있습니다. 이 서비스는 GuardDuty와 일부 Security Hub CSPM 조사 결과에 대한 간소화된 대안을 제공합니다. 이 솔루션은 정교한 자동 분류 기술과 인적 감독을 활용하여 포털에서 선제적 사례를 생성하고, 동시에 대응 팀에 알리며, 조정된 문제 해결 작업을 위해 Security Incident Response 엔지니어를 참여시킵니다.
+ *서드 파티 조사 팀:* Security Incident Response 엔지니어가 파트너 및 MDR 공급자와 직접 협업합니다.
# 부록 A: 연락 담당자
메타데이터를 Security Incident Response 엔지니어에게 미리 제공하면 프로파일 생성 시간을 가속하여 게이트 외부에서 분류 기술에 대한 신뢰도를 높일 수 있습니다. 그러면 위협 조사 결과를 수집하고 ‘정상 환경’을 생성하기 시작할 때 발생하는 초기 오탐지를 줄일 수 있습니다.
**IR 및 SOC 직원 연락처 정보**
| 입력 | IR \$1 SOC 직원: 역할, 이름, 이메일 | 기본, 보조 에스컬레이션 연락처 | 내부, 알려진 CIDR 범위 | 외부, 알려진 CIDR 범위 | 추가 클라우드 서비스 제공업체 | 작업 AWS 리전 | DNS 서버 IP(Amazon Route 53 Resolver가 아닌 경우) | VPN \$1 원격 액세스 솔루션 및 IP | 중요 애플리케이션 이름 \$1 계정 번호 | 많이 사용되는 비일반 포트 | ERD \$1 AV \$1 사용된 취약성 관리 도구 | IDP \$1 위치 |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | SOC Commander, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20(Azure) | Azure | us-east-1, us-east-2 | 해당 사항 없음 | Direct Connect, 퍼블릭 VIF 116.32.8.7 | Nginx Webserver(중요 예제) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
환경에 대한 메타데이터 정보를 제출하려면 [AWS Support 사례](https://repost.aws/knowledge-center/get-aws-technical-support)를 생성합니다.
**메타데이터를 제출하려면**
1. 환경 정보를 사용하여 메타데이터 테이블을 작성합니다.
1. 다음 세부 정보를 사용하여 AWS Support 사례를 생성합니다.
+ **사례 유형:** 기술
+ **서비스:** Security Incident Response 서비스
+ **범주:** 기타
1. 작성된 메타데이터 테이블을 사례에 연결합니다.
# RACI 매트릭스
다음과 같은 RACI 매트릭스는 Security Incident Response 구현 프로세스 전반에서 역할과 담당 업무를 정의합니다. RACI는 담당(Responsible), 책임(Accountable), 상담(Consulted), 정보 지원(Informed)의 약자입니다.
| 활동 | Customer | AWS 계정 팀 | SIR 팀 |
| --- | --- | --- | --- |
| 사전 온보딩 |
| 주요 이해관계자 식별 | R | | I |
| 조사 결과 소스 검증 | R | C | I |
| [서드 파티 EDR 통합] Security Hub CSPM | R | C | I |
| GuardDuty 검증/상태 확인 | C | R | I |
| 계정 범위 결정 | R | | |
| 에스컬레이션 프로토콜 설정 | R | I | C |
| AWS Organizations 활성화 | R | C | |
| AWS Organizations와 계정 연결 | R | I | |
| 위임된 관리자/보안 도구 계정 선택 | R | I | |
| 온보딩 |
| 멤버십 세부 정보 설정 | R | I | |
| 연습(선제적 대응 및 알림 분류 워크플로 설정, 관리 계정에 서비스 연결 역할 배포, 격리 작업 권한 부여) | R | C | I |
| 사후 배포 구성 |
| 운영 통합 기능 검토 | R | C | I |
| Security Incident Response 대응 사례 제출 | R | | |
| Amazon EventBridge 통합 구성 | R | C | C |
| 서드 파티 도구(Jira, ServiceNow, PagerDuty, Teams 등) 연결 | R | I | C |
| 서비스 심층 분석 및 데모 | A | R | C |
**RACI 정의:**
+ **담당(Responsible)** - 작업을 수행하여 태스크를 완료하는 당사자
+ **책임(Accountable)** - 최종적으로 태스크의 올바른 완료에 대한 책임이 있는 당사자
+ **상담(Consulted)** - 조언을 제공하고 양방향 커뮤니케이션을 하는 당사자
+ **정보 지원(Informed)** - 진행 상황을 최신 상태로 유지하고 단방향 커뮤니케이션을 하는 당사자
# 멤버 계정 선택
멤버십 계정은 계정 세부 정보를 구성하고, 인시던트 대응 팀에 대한 세부 정보를 추가 및 제거하며, 모든 활성 및 기록 보안 이벤트를 생성하고 관리할 수 있는 데 사용되는 AWS 계정입니다. Amazon GuardDuty 및 AWS Security Hub CSPM와 같은 서비스에 대해 활성화한 것과 동일한 계정에 AWS Security Incident Response 멤버십 계정을 정렬하는 것이 좋습니다.
AWS Organizations를 사용하여 AWS Security Incident Response 멤버십 계정을 선택하는 두 가지 옵션이 있습니다. 조직 관리 계정 또는 조직 위임 관리자 계정에서 멤버십을 생성할 수 있습니다.
**위임 관리자 계정 사용:** AWS Security Incident Response 관리 태스크 및 사례 관리는 위임 관리자 계정에 있습니다. 다른 AWS 보안 및 규정 준수 서비스에 설정한 것과 동일한 위임 관리자를 사용하는 것이 좋습니다. 12자리 위임 관리자 계정 ID를 입력한 다음 해당 계정에 로그인하여 계속 진행합니다.
**중요**
위임 관리자 계정을 설정의 일부로 사용하는 경우 AWS Security Incident Response는 AWS Organizations 관리 계정에서 필요한 분류 서비스 연결 역할을 자동으로 생성할 수 없습니다.
IAM을 사용하여 AWS Organizations 관리 계정에서 이 역할을 생성할 수 있습니다.
AWS Organizations 관리 계정에 로그인합니다.
[AWS CloudShell](https://console.aws.amazon.com/cloudshell/home) 창에 액세스하거나 원하는 방법으로 CLI를 통해 계정에 액세스합니다.
CLI 명령 `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`을 사용합니다.
(선택 사항) 명령이 작동하는지 확인하려면 명령 `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`을 실행합니다.
**현재 로그인한 계정 사용**: 이 계정을 선택하면 현재 계정이 멤버십의 중앙 AWS Security Incident Response 멤버십 계정으로 지정됩니다. 조직 내 개인은 이 계정을 통해 서비스에 액세스하여 활성 및 해결된 사례를 생성, 액세스 및 관리해야 합니다.
AWS Security Incident Response를 관리할 수 있는 충분한 권한이 있는지 확인합니다.
권한을 추가하는 특정 단계는 [IAM ID 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
[AWS Security Incident Response 관리형 정책](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html)을 참조하세요.
IAM 권한을 확인하려면 다음 단계를 따르세요.
+ *IAM 정책 확인:* 사용자, 그룹 또는 역할에 연결된 IAM 정책을 검토하여 필요한 권한을 부여하는지 확인합니다. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)으로 이동하여 `Users` 옵션을 선택하고 특정 사용자를 선택한 다음 요약 페이지에서 연결된 모든 정책 목록을 볼 수 있는 `Permissions` 탭으로 이동하여 각 정책 행을 확장하여 세부 정보를 볼 수 있습니다.
+ *권한 테스트:* 권한을 확인하는 데 필요한 작업을 수행해 봅니다. 예를 들어 사례에 액세스해야 하는 경우 `ListCases`를 시도합니다. 필요한 권한이 없는 경우 오류 메시지가 표시됩니다.
+ *AWS CLI 또는 SDK 사용:* 원하는 프로그래밍 언어로 AWS Command Line Interface 또는 AWS SDK를 사용하여 권한을 테스트할 수 있습니다. 예를 들어 AWS Command Line Interface를 사용하여 `aws sts get-caller-identity` 명령을 실행하여 현재 사용자 권한을 확인할 수 있습니다.
+ *AWS CloudTrail 로그 확인:*[ CloudTrail 로그를 검토하여](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) 수행하려는 작업이 로깅되고 있는지 확인합니다. 이렇게 하면 권한 문제를 식별하는 데 도움이 될 수 있습니다.
+ *IAM 정책 시뮬레이터 사용:*[ IAM 정책 시뮬레이터](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)는 IAM 정책을 테스트하고 권한이 미치는 영향을 확인할 수 있는 도구입니다.
**참고**
특정 단계는 AWS 서비스와 수행하려는 작업에 따라 달라질 수 있습니다.
# 멤버십 세부 정보 설정
+ 멤버십과 사례가 저장될 AWS 리전을 선택합니다.
**주의**
초기 멤버십 등록 후에는 기본 AWS 리전을 변경할 수 없습니다.
+ 조직 단위(OU)를 통해 전체 AWS Organizations 또는 AWS Organizations의 일부에 대해 전체 멤버십 적용 범위를 제공할지 여부를 선택합니다.
+ 선택적으로 이 멤버십의 이름을 선택할 수 있습니다.
+ 멤버십 생성 워크플로의 일부로 기본 및 보조 연락처를 제공해야 합니다. 이러한 연락처는 인시던트 대응 팀의 일부로 자동으로 포함됩니다. 단일 멤버십에 대해 최소 2개의 연락처가 있어야 하며, 이를 통해 인시던트 대응 팀에 최소 2개의 연락처가 포함됩니다.
+ 멤버십에 대한 선택적 태그를 정의합니다. 태그를 사용하면 AWS 비용을 추적하고 리소스를 검색할 수 있습니다.
# AWS Organizations와 계정 연결
설정 중에 전체 AWS Organizations를 연결하도록 선택한 경우 멤버십은 조직의 모든 멤버 계정에 대한 적용 권한을 부여합니다. 연결된 계정은 조직에서 계정이 추가되거나 제거될 때 자동으로 업데이트됩니다.
설정 중에 AWS Organizations의 일부를 연결하도록 선택하고 멤버십을 특정 조직 단위(OU)로 제한한 경우 멤버십은 선택한 OU의 모든 계정에 대한 적용 권한을 부여합니다. 여기에는 선택한 OU의 하위 OU에 있는 계정이 포함됩니다. 연결된 계정은 이러한 OU에서 추가되거나 제거될 때 자동으로 업데이트됩니다.
조직 단위와 관련된 모범 사례에 대한 자세한 내용은 [여러 계정을 사용하여 AWS 환경 구성](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)을 참조하세요.
# 선제적 대응 및 알림 분류 워크플로 설정
AWS Security Incident Response는 Amazon GuardDuty 및 Security Hub CSPM 통합으로부터 생성된 알림을 모니터링하고 조사합니다. 이 기능을 사용하려면 [Amazon GuardDuty를 활성화해야 합니다](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). AWS Security Incident Response는 팀이 가장 중요한 문제에 집중할 수 있도록 서비스 자동화를 통해 우선순위가 낮은 알림을 분류합니다. AWS Security Incident Response가 Amazon GuardDuty 및 AWS Security Hub CSPM와 함께 작동하는 방식에 대한 추가 정보는 사용 설명서의 [탐지 및 분석](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) 섹션을 참조하세요.
온보딩 문제가 발생하는 경우 추가 지원을 위한 [AWS Support 사례를 생성](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)하세요. 설정 프로세스 중 발생할 수 있는 AWS 계정 ID 및 오류를 포함한 세부 정보를 포함해야 합니다.
**참고**
Amazon GuardDuty 격리 규칙, 알림 분류 구성 또는 선제적 대응 워크플로에 대한 질문이 있는 경우 AWS 지원 사례(사례 유형 **조사 및 문의**)를 생성하여 AWS Security Incident Response 팀과 상담할 수 있습니다. 자세한 내용은 [AWS 지원 사례 생성](create-an-aws-supported-case.md) 섹션을 참조하세요.
이 기능을 사용하면 AWS Security Incident Response가 조직 내 적용되는 모든 계정과 활성 상태의 지원되는 AWS 리전에서 발견 사항을 모니터링하고 조사할 수 있습니다. 이 기능을 용이하게 하기 위해 AWS Security Incident Response는 AWS Organizations 내 적용되는 모든 멤버 계정에서 서비스 연결 역할을 자동으로 생성합니다. 그러나 관리 계정의 경우 모니터링을 활성화하려면 서비스 연결 역할을 수동으로 생성해야 합니다.
*서비스가 관리 계정에서 서비스 연결 역할을 생성할 수 없습니다. [AWS CloudFormation 스택 세트로 작업](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)하여 관리 계정에서 이 역할을 수동으로 생성해야 합니다.*
# 선테적 대응을 통한 자동 아카이브 이해
선제적 대응 및 알림 분류를 활성화하면 AWS Security Incident Response는 Amazon GuardDuty 및 Security Hub CSPM의 보안 조사 결과를 자동으로 모니터링하고 분류합니다. 이 자동 분류 워크플로의 일부로 조사 결과는 다음 기준에 따라 자동으로 아카이브됩니다.
**자동 아카이브 동작:**
+ **양성 조사 결과:** 자동 분류 프로세스에서 결과가 양성(실제 보안 위협이 아님)으로 판단되면 AWS Security Incident Response는 Amazon GuardDuty에 조사 결과를 자동으로 아카이브하고 억제 규칙을 생성하여 유사한 조사 결과로 인해 향후 알림을 생성하지 않도록 합니다.
+ **억제 규칙:** 서비스는 Amazon GuardDuty 및 Security Hub CSPM 모두에서 환경의 알려진 양호한 패턴(예: 예상 IP 주소, IAM 엔터티 및 정상 작동 동작)과 일치하는 조사 결과에 대한 억제 및 자동 아카이브 규칙을 생성합니다.
+ **알림 볼륨 감소:** SIEM 기술을 사용하는 조직에서는 서비스가 환경을 학습하고 양성 조사 결과를 자동으로 아카이브함에 따라 시간이 경과하면 Amazon GuardDuty 조사 결과 볼륨이 크게 감소합니다. 이를 통해 AWS Security Incident Response 서비스와 SIEM의 효율성이 모두 향상됩니다.
**아카이브된 조사 결과 보기:**
자동으로 아카이브된 조사 결과와 AWS Security Incident Response에서 생성한 억제 규칙을 검토할 수 있습니다.
1. Amazon GuardDuty 콘솔로 이동
1. **조사 결과** 선택
1. 조사 결과 필터에서 **아카이브됨** 선택
1. 각 규칙 옆에 있는 아래쪽 화살표를 선택하여 억제 규칙 검토
**중요 고려 사항:**
+ 아카이브된 조사 결과는 90일 동안 Amazon GuardDuty에서 유지되며 해당 기간에 언제든지 볼 수 있음
+ Amazon GuardDuty 콘솔을 통해 언제든지 억제 규칙을 수정하거나 삭제할 수 있음
+ 자동 분류 프로세스는 환경에 지속적으로 적응하여 시간 경과에 따른 정확도를 개선하고 오탐을 줄임
**격리:** 보안 인시던트가 발생하는 경우 AWS Security Incident Response는 격리 조치를 실행하여 손상된 호스트 격리 또는 자격 증명 교체와 같은 영향을 신속하게 완화할 수 있습니다. Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 이러한 격리 조치를 실행하려면 먼저 서비스에 필요한 권한을 부여해야 합니다. 이는 필요한 역할을 생성하는 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)를 배포하여 수행할 수 있습니다.