선테적 대응을 통한 자동 아카이브 이해 - AWS 보안 인시던트 대응 사용 설명서

선테적 대응을 통한 자동 아카이브 이해

선제적 대응 및 알림 분류를 활성화하면 AWS 보안 인시던트 대응는 Amazon GuardDuty 및 Security Hub CSPM의 보안 조사 결과를 자동으로 모니터링하고 분류합니다. 이 자동 분류 워크플로의 일부로 조사 결과는 다음 기준에 따라 자동으로 아카이브됩니다.

자동 아카이브 동작:

  • 양성 조사 결과: 자동 분류 프로세스에서 결과가 양성(실제 보안 위협이 아님)으로 판단되면 AWS 보안 인시던트 대응는 Amazon GuardDuty에 조사 결과를 자동으로 아카이브하고 억제 규칙을 생성하여 유사한 조사 결과로 인해 향후 알림을 생성하지 않도록 합니다.

  • 억제 규칙: 서비스는 Amazon GuardDuty 및 Security Hub CSPM 모두에서 환경의 알려진 양호한 패턴(예: 예상 IP 주소, IAM 엔터티 및 정상 작동 동작)과 일치하는 조사 결과에 대한 억제 및 자동 아카이브 규칙을 생성합니다.

  • 알림 볼륨 감소: SIEM 기술을 사용하는 조직에서는 서비스가 환경을 학습하고 양성 조사 결과를 자동으로 아카이브함에 따라 시간이 경과하면 Amazon GuardDuty 조사 결과 볼륨이 크게 감소합니다. 이를 통해 AWS 보안 인시던트 대응 서비스와 SIEM의 효율성이 모두 향상됩니다.

아카이브된 조사 결과 보기:

자동으로 아카이브된 조사 결과와 AWS 보안 인시던트 대응에서 생성한 억제 규칙을 검토할 수 있습니다.

  1. Amazon GuardDuty 콘솔로 이동

  2. 조사 결과 선택

  3. 조사 결과 필터에서 아카이브됨 선택

  4. 각 규칙 옆에 있는 아래쪽 화살표를 선택하여 억제 규칙 검토

중요 고려 사항:

  • 아카이브된 조사 결과는 90일 동안 Amazon GuardDuty에서 유지되며 해당 기간에 언제든지 볼 수 있음

  • Amazon GuardDuty 콘솔을 통해 언제든지 억제 규칙을 수정하거나 삭제할 수 있음

  • 자동 분류 프로세스는 환경에 지속적으로 적응하여 시간 경과에 따른 정확도를 개선하고 오탐을 줄임