AWS Security Incident Response의 로깅 및 모니터링 - AWS 보안 인시던트 대응 사용 설명서

AWS Security Incident Response의 로깅 및 모니터링

모니터링은 AWS 보안 인시던트 대응 및 다른 AWS 솔루션의 신뢰성, 가용성 및 성능을 유지하는 데 있어 중요한 부분입니다. AWS 보안 인시던트 대응는 현재 조직 및 조직 내에서 발생하는 활동을 모니터링할 수 있는 다음과 같은 AWS 서비스를 지원합니다.

AWS CloudTrail - CloudTrail을 사용하면 AWS Security Incident Response 콘솔에서 API 직접 호출을 캡처할 수 있습니다. 예를 들어 사용자가 인증할 때 CloudTrail은 요청의 IP 주소, 요청한 사람, 요청한 시기와 같은 세부 정보를 기록할 수 있습니다.

Amazon CloudWatch 지표 – CloudWatch 지표를 사용하면 이벤트 발생 시 거의 실시간으로 모니터링 및 보고하고 자동 조치를 취할 수 있습니다. 예를 들어 제공된 지표에 대한 CloudWatch 대시보드를 만들어 AWS 보안 인시던트 대응 사용량을 모니터링하거나 제공된 지표에 대한 CloudWatch 경보를 생성하여, 설정 임곗값 위반이 발생할 경우 알림을 받을 수 있습니다.

서비스의 네임스페이스는 AWS/Usage/ServiceName입니다. 사용 가능한 지표 이름은 ActiveManagedCases와 SelfManagedCases입니다.

AWS 서비스 약관에 따라 AWS 보안 인시던트 대응 대응 담당자 팀은 CloudTrail, VPC, DNS 및 S3 로그 데이터 기록에 액세스할 수 있습니다. AWS Security Incident Response 서비스 포털에서 사례가 열려 있을 때 활성 보안 인시던트 중 이 데이터를 사용할 수 있습니다.