로깅 및 이벤트 - AWS 보안 인시던트 대응 사용 설명서

로깅 및 이벤트

AWS CloudTrail - AWS 계정의 거버넌스, 규정 준수, 운영 감사 및 위험 감사를 지원하는 AWS CloudTrail 서비스입니다. CloudTrail을 사용하면 AWS 서비스 전반의 작업과 관련된 계정 활동을 로깅하고, 지속적인 모니터링하고, 유지할 수 있습니다. CloudTrail은 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 수행된 작업을 포함하여 AWS 계정 활동의 이벤트 기록을 제공합니다. 이 이벤트 기록은 보안 분석, 리소스 변경 추적 및 문제 해결을 간소화합니다. CloudTrail은 두 가지 유형의 AWS API 작업을 로깅합니다.

  • CloudTrail 관리 이벤트(컨트롤 플레인 작업이라고도 함)는 AWS 계정의 리소스에서 수행되는 관리 작업을 보여줍니다. 여기에는 Amazon S3 버킷 생성, 로깅 설정 등의 작업이 포함됩니다.

  • 데이터 플레인 작업이라고도 하는 CloudTrail 데이터 이벤트는 AWS 계정의 리소스에서 수행된 리소스 작업을 보여줍니다. 이러한 작업은 대량의 활동인 경우가 많습니다. 여기에는 Amazon S3 객체 수준 API 활동(예:GetObject, DeleteObjectPutObject API 작업) 및 Lambda 함수 간접 호출 활동과 같은 작업이 포함됩니다.

AWS Config – AWS Config는 고객이 AWS 리소스 구성을 평가, 감사 및 검증할 수 있도록 지원하는 서비스입니다. AWS Config는 AWS 리소스 구성을 지속적으로 모니터링하고 기록하며, 기록된 구성을 원하는 구성과 비교하여 자동으로 평가할 수 있도록 지원합니다. AWS Config를 사용하면 고객은 AWS 리소스 간 구성 및 관계의 변경 사항을 수동 또는 자동으로 검토하고, 자세한 리소스 구성 내역을 검토하고, 고객 지침에 지정된 구성에 대한 전반적인 규정 준수 여부를 확인할 수 있습니다. 이를 통해 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결이 간소화됩니다.

Amazon EventBridge – Amazon EventBridge는 AWS 리소스의 변경 사항을 설명하는 시스템 이벤트 스트림을 거의 실시간으로 제공하거나 AWS CloudTrail에서 API 직접 호출이 게시되는 시점을 알려줍니다. 신속하게 설정할 수 있는 단순 규칙을 사용하여 일치하는 이벤트를 검색하고 하나 이상의 대상 함수 또는 스트림으로 이를 라우팅할 수 있습니다. EventBridge는 운영 변경 사항이 발생할 때 이를 인식하게 됩니다. EventBridge는 환경에 대응하기 위한 메시지를 전송하고 함수를 활성화하고 변경을 수행하고 상태 정보를 기록하는 등 이러한 운영 변경 사항에 대응하고 필요에 따라 시정 조치를 취할 수 있습니다. Amazon GuardDuty와 같은 일부 보안 서비스는 EventBridge 이벤트 형태로 출력을 생성합니다. 또한 많은 보안 서비스에서 출력을 Amazon S3로 전송하는 옵션을 제공합니다.

Amazon S3 액세스 로그 - 민감한 정보가 Amazon S3 버킷에 저장되는 경우 고객은 Amazon S3 액세스 로그를 활성화하여 해당 데이터에 대한 모든 업로드, 다운로드 및 수정을 기록할 수 있습니다. 이 로그는 버킷 자체의 변경 사항(액세스 정책 및 수명 주기 정책 변경 등)을 기록하는 CloudTrail 로그와 별개로 작성되며 이에 추가됩니다. 액세스 로그 레코드는 최대한 전송하겠지만 항상 모든 레코드가 전송된다고 보장할 수는 없다는 점에 주목할 필요가 있습니다. 버킷에 대해 적절히 로깅이 구성된 대부분의 요청은 로그 레코드가 전송됩니다. 모든 서버 로깅이 제때 전송될 것이라고 보장할 수는 없습니다.

Amazon CloudWatch Logs - 고객은 Amazon CloudWatch Logs를 사용하여 CloudWatch Logs 에이전트가 있는 Amazon EC2 인스턴스에서 실행되는 운영 체제, 애플리케이션 및 기타 소스에서 생성된 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다. CloudWatch Logs는 AWS CloudTrail, Route 53 DNS 쿼리, VPC 흐름 로그, Lambda 함수 등의 대상이 될 수 있습니다. 그런 다음 고객은 CloudWatch Logs에서 관련 로그 데이터를 검색할 수 있습니다.

Amazon VPC 흐름 로그 – VPC 흐름 로그를 사용하여 고객은 VPC의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. 흐름 로그를 활성화한 후 Amazon CloudWatch Logs와 Amazon S3로 스트리밍할 수 있습니다. VPC 흐름 로그를 사용하면 특정 트래픽이 인스턴스에 도달하지 않는 이유의 문제 해결, 지나치게 제한적인 보안 그룹 규칙 진단, 이를 보안 도구로 사용하여 EC2 인스턴스로의 트래픽을 모니터링하는 등의 다양한 태스크를 수행할 수 있습니다. 가장 강력한 필드를 얻으려면 최신 버전의 VPC 흐름 로깅을 사용하세요.

AWS WAF 로그 - AWS WAF는 서비스에서 검사하는 모든 웹 요청의 전체 로깅을 지원합니다. 고객은 이를 Amazon S3에 저장하여 규정 준수 및 감사 요구 사항을 충족하고 디버깅 및 포렌식을 수행할 수 있습니다. 이러한 로그는 고객이 시작된 규칙과 차단된 웹 요청의 근본 원인을 파악하는 데 도움이 됩니다. 로그는 타사 SIEM 및 로그 분석 도구와 통합할 수 있습니다.

Route 53 Resolver 쿼리 로그 - Route 53 Resolver 쿼리 로그를 사용하면 Amazon Virtual Private Cloud(Amazon VPC) 내의 리소스에서 수행한 모든 DNS 쿼리를 로깅할 수 있습니다. Amazon EC2 인스턴스, AWS Lambda 함수, 컨테이너 등 어떤 것이든 Amazon VPC에 있고 DNS 쿼리를 수행하면 이 기능이 이를 기록하여 애플리케이션이 어떻게 작동하는지 탐색하고 더 잘 이해할 수 있습니다.

기타 AWS 로그 - AWS는 새로운 로깅 및 모니터링 기능을 갖춘 고객을 위해 서비스 기능을 지속적으로 릴리스합니다. 각 AWS 서비스에 사용할 수 있는 기능에 대한 자세한 내용은 공개 설명서를 참조하세요.