Security Hub의 적용 범위 조사 결과 - AWS Security Hub
AWS Security Hub CSPM의 적용 범위 조사 결과Amazon GuardDuty의 적용 범위 조사 결과Amazon Inspector의 적용 범위 조사 결과Amazon Macie의 적용 범위 조사 결과

Security Hub의 적용 범위 조사 결과

참고

Security Hub는 현재 프리뷰 버전이 출시 중이기 때문에 변경될 수도 있습니다.

Security Hub의 적용 범위 조사 결과는 어떤 AWS 보안 기능이 활성화되어 있는지, 독립형 계정 또는 조직의 멤버 계정에서 적용 범위에 격차가 있을 수 있는지에 대한 가시성을 제공합니다. 추가 보안 기능을 활성화하면 Security Hub의 탐지 기능이 향상됩니다. 적용 범위 조사 결과는 계정에서 활성화된 GuardDuty, Amazon Inspector, Macie 및 Security Hub CSPM 기능을 평가합니다. 이러한 조사 결과는 Security Hub 대시보드의 보안 적용 범위 위젯에 표시되며 특정 보안 기능별로 더 세부적인 보기로 드릴다운할 수 있습니다. 위임된 관리자의 경우 이 위젯은 모든 Security Hub 사용 멤버 계정의 적용 범위 분석을 보여줍니다.

제한 사항

  • 멤버 계정의 경우 적용 범위 정보는 연결된 AWS 리전 전체에서 집계되지만 해당 멤버 계정에 대해서만 집계됩니다.

  • Security Hub에 온보딩되지 않은 계정에는 적용 범위 정보가 표시되지 않습니다

AWS Security Hub CSPM의 적용 범위 조사 결과

Security Hub CSPM 적용 범위 조사 결과는 계정에서 적격 태세 관리 보안 표준이 활성화되어 있는지 여부를 평가합니다. AWS Control Tower 및 리소스 태그 지정 표준을 제외하고 Security Hub CSPM 표준을 활성화하면 적격으로 평가됩니다.

Security Hub CSPM을 활성화할 때 기본적으로 활성화된 표준을 감지하는 데 최대 24시간이 걸릴 수 있습니다.

Amazon GuardDuty의 적용 범위 조사 결과

GuardDuty 적용 범위 조사 결과는 GuardDuty가 활성화되었는지 여부 및 AWS 계정에서 활성화된 GuardDuty 기능을 평가합니다.

  • Amazon EC2용 GuardDuty Malware Protection - Amazon EC2 인스턴스에서 잠재적 맬웨어를 스캔합니다

  • GuardDuty Amazon EKS Protection - Amazon EKS 클러스터에서 위협에 대한 Kubernetes 감사 로그를 모니터링합니다

  • GuardDuty Lambda Protection - Lambda 함수 간접 호출에서 잠재적 위협을 분석합니다

  • GuardDuty Amazon S3 Protection - Amazon S3 버킷에 대한 잠재적 위협의 데이터 이벤트를 분석합니다.

  • GuardDuty Amazon RDS Protection - Amazon RDS 데이터베이스에 대한 위협을 모니터링합니다

  • GuardDuty Runtime Monitoring - Amazon EC2 인스턴스의 런타임 동작에 대한 실시간 모니터링을 제공합니다

  • GuardDuty 기본 적용 범위 - GuardDuty가 활성화될 때 자동으로 켜지는 기본 GuardDuty 기능입니다

참고

GuardDuty 기본 적용 범위의 경우, 이 기능이 꺼져 있음을 나타내는 적용 범위 조사 결과는 해당 계정에서 GuardDuty가 활성화되지 않았음을 의미합니다.

GuardDuty 적용 범위 업데이트가 조직의 모든 멤버 계정에 반영되려면 최대 24시간이 걸릴 수 있습니다.

Amazon Inspector의 적용 범위 조사 결과

Amazon Inspector 적용 범위 조사 결과는 Amazon Inspector가 활성화되었는지 여부 및 계정에서 활성화된 기능을 평가합니다.

  • Inspector EC2 스캔 - Amazon EC2 인스턴스에 취약성이 있는지 스캔합니다

  • Inspector ECR 스캔 - Amazon ECR 컨테이너 이미지에 취약성이 있는지 스캔합니다

  • Inspector Lambda 표준 스캔 - Lambda 함수에서 취약성을 스캔합니다

  • Inspector Lambda 코드 스캔 - Lambda 코드 함수에서 코드 취약성을 스캔합니다

Amazon Macie의 적용 범위 조사 결과

Macie 적용 범위 조사 결과는 AWS 계정에서 Macie가 활성화되었는지 여부를 평가합니다.

  • Macie 민감한 데이터 자동 검색 적용 범위 - Amazon S3 데이터 자산에서 민감한 데이터를 지속적으로 평가합니다.

Macie 민감한 데이터 자동 검색 적용 범위 조사 결과에 대한 업데이트가 조직의 모든 멤버 계정에 반영되려면 최대 24시간이 걸릴 수 있습니다.