**에 대한 새로운 콘솔 환경 소개 AWS WAF**
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Shield Advanced를 사용한 DDoS 이벤트 가시성
AWS Shield 는 다음 이벤트 및 이벤트 활동 범주에 대한 가시성을 제공합니다.
+ **글로벌** — 모든 고객이 지난 2주간의 글로벌 위협 활동을 집계하여 볼 수 있습니다. 이 정보는 AWS Shield 콘솔의 **시작하기** 및 **글로벌 위협 대시보드** 페이지에서 확인할 수 있습니다. 자세한 내용은 [AWS Shield 글로벌 및 계정 활동 보기](ddos-standard-event-visibility.md) 단원을 참조하십시오.
+ **계정** - 모든 고객은 해당 계정의 전년도 이벤트 요약에 액세스할 수 있습니다. AWS Shield 콘솔의 **시작하기** 페이지에서이 정보를 볼 수 있습니다. 자세한 내용은 [AWS Shield 글로벌 및 계정 활동 보기](ddos-standard-event-visibility.md) 단원을 참조하십시오.
Shield Advanced를 구독하고 리소스에 대한 보호를 추가하면 보호되는 리소스의 이벤트 및 DDoS 공격에 대한 추가 정보에 액세스할 수 있습니다.
+ **보호된 리소스의 이벤트** - Shield Advanced는 AWS Shield 콘솔의 **이벤트** 페이지를 통해 각 이벤트에 대한 자세한 정보를 제공합니다. 자세한 내용은 [AWS Shield Advanced 이벤트 보기](ddos-events.md) 단원을 참조하십시오.
+ **보호된 리소스에 대한 이벤트 지표** - Shield Advanced는 보호하는 모든 리소스에 대한 탐지, 완화 및 최고 기여자 Amazon CloudWatch 지표를 게시합니다. 이러한 지표를 사용하여 CloudWatch 대시보드 및 경보를 구성할 수 있습니다. 자세한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 단원을 참조하십시오.
+ **보호된 리소스에 대한 교차 계정 이벤트 가시성 -** AWS Firewall Manager 를 사용하여 Shield Advanced 보호를 관리하는 경우 Firewall Manager를와 함께 사용하여 여러 계정의 보호에 대한 가시성을 활성화할 수 있습니다 AWS Security Hub CSPM. 자세한 내용은 [AWS Firewall Manager 및를 AWS 계정 사용하여 여러에서 Shield Advanced 이벤트 보기 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md) 단원을 참조하십시오.
애플리케이션 계층 보호를 위해 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced는 자동 보호를 관리하는 데 사용하는 규칙 그룹을 보호 팩(웹 ACL)에 추가합니다. 이 규칙 그룹은 AWS WAF 지표를 생성하지만 볼 수 없습니다. 이는 AWS 관리형 규칙 그룹과 같이 보호 팩(웹 ACL)에서 사용하지만 소유하지 않는 다른 규칙 그룹의 경우와 동일합니다. AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[AWS WAF 지표 및 차원](waf-metrics.md). 이 Shield Advanced 보호 옵션에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.
**Topics**
+ [
# AWS Shield 글로벌 및 계정 활동 보기
](ddos-standard-event-visibility.md)
+ [
# AWS Shield Advanced 이벤트 보기
](ddos-events.md)
+ [
# AWS Firewall Manager 및를 AWS 계정 사용하여 여러에서 Shield Advanced 이벤트 보기 AWS Security Hub CSPM
](ddos-viewing-multiple-accounts.md)
# AWS Shield 글로벌 및 계정 활동 보기
이 페이지에서는 AWS Shield 콘솔 **시작하기** 및 글로벌 위협 **대시보드** 페이지에서 글로벌 위협 활동에 대한 집계 보기 및 계정당 이벤트 요약에 액세스하는 지침을 제공합니다.
다음 스크린샷은 **시작하기** 페이지의 예를 보여줍니다.
![\[AWS Shield 콘솔에는 글로벌 위협 및 계정 이벤트 요약 창이 포함된 시작하기 페이지가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-global-account.png)
**AWS Shield 콘솔에 액세스하려면**
+ 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
Shield Advanced를 구독하지 않아도 글로벌 활동 및 계정 이벤트 요약 정보에 액세스할 수 있습니다.
**글로벌 활동**
이 정보는 AWS Shield 콘솔 **글로벌 위협 대시보드** 및 **시작하기** 페이지를 통해 확인할 수 있습니다. 다음 스크린샷은 글로벌 활동 창의 예를 보여줍니다.
![\[Shield에서 감지한 글로벌 활동이라는 콘솔 AWS Shield 창에는 지난 2주 동안 글로벌 위협이 감지된 영역에 대한 히트맵 표시로 중첩된 월드 맵이 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-global-activity.png)
글로벌 활동은 모든 AWS 고객에서 관찰된 DDoS 이벤트를 설명합니다. 시간당 한 번, 지난 2주 동안의 정보를 AWS 업데이트합니다. 콘솔 창에서 AWS 결과를 리전별로 분할하여 세계 히트 맵에 표시할 수 있습니다. Shield는 맵 옆에 최대 규모 패킷 공격, 최대 비트 전송률, 가장 일반적인 벡터, 총 공격 수, 위협 수준 등의 요약 정보를 표시합니다. 위협 수준은 현재의 글로벌 활동을 AWS 에서 일반적으로 관찰되는 활동과 비교한 평가입니다. 기본 위협 수준 값은 **보통**입니다. DDoS 활동이 증가하면 AWS 에서 **높음**으로 값이 자동으로 업데이트됩니다.
또한 **글로벌 위협 대시보드**는 시계열 지표를 제공하며 여러 기간 사이에서 변경할 수 기능을 사용자에게 제공합니다. 중요한 DDoS 공격의 기록을 보려면 마지막 날부터 지난 2주간의 뷰에 맞게 대시보드를 사용자 지정할 수 있습니다. 시계열 지표는 선택한 기간 AWS 동안에서 실행되는 애플리케이션에 대해가 감지한 모든 이벤트에 AWS Shield 대해 가장 큰 비트 전송률, 패킷 전송률 또는 요청 전송률을 보여줍니다.
**계정 활동**
이 정보는 AWS Shield 콘솔 **시작하기** 페이지에서 확인할 수 있습니다.
다음 스크린샷은 계정 활동 창의 예를 보여줍니다.
![\[Shield에서 감지한 계정 활동이라는 콘솔 AWS Shield 창에는 총 이벤트 수, 최대 패킷 속도 및 요청 속도와 같은 정보와 함께 지난 해의 이벤트 요약이 나열됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-account-activity.png)
계정 활동은 Shield Advanced의 보호를 받을 수 있는 사용자 리소스에 대해 Shield가 탐지한 DDoS 이벤트를 설명합니다. Shield는 매일 전날 00:00시(UTC)에 종료되는 연도의 요약 지표를 만든 다음 총 이벤트, 최대 비트 전송률, 최대 패킷 전송 속도 및 최대 요청률을 표시합니다.
+ 총 이벤트 지표는 Shield가 애플리케이션으로 향하는 트래픽에서 의심스러운 속성을 관찰한 모든 이벤트를 반영합니다. 의심스러운 속성에는 볼륨이 정상보다 높은 트래픽, 애플리케이션의 기록 프로파일과 일치하지 않는 트래픽 또는 유효한 애플리케이션 트래픽에 대해 Shield에서 정의한 휴리스틱과 일치하지 않는 트래픽이 포함될 수 있습니다.
+ 모든 리소스에 대해 최대 비트 전송률 및 최대 패킷 전송 속도 통계가 제공됩니다.
+ 가장 큰 요청 속도 통계는 연결된 AWS WAF 웹 ACL이 있는 Amazon CloudFront 배포 및 Application Load Balancer에만 사용할 수 있습니다.
**참고**
AWS Shield API 작업 [DescribeAttackStatistics](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html)를 통해 계정 수준 이벤트 요약에 액세스할 수도 있습니다.
# AWS Shield Advanced 이벤트 보기
이 페이지에서는 Shield Advanced의 이벤트에 대한 정보에 액세스하기 위한 지침을 제공합니다.
Shield Advanced를 구독하고 리소스를 보호하면 리소스에 대한 추가 가시성 기능을 이용할 수 있습니다. 여기에는 Shield Advanced가 탐지한 이벤트에 대한 거의 실시간에 가까운 알림과 탐지된 이벤트 및 완화 조치에 대한 추가 정보가 포함됩니다.
**참고**
Shield Advanced 콘솔의 이벤트 정보는 Shield Advanced 지표를 기준으로 합니다. Shield Advanced 지표에 대한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요.
AWS Shield 는 여러 차원을 따라 보호된 리소스에 대한 트래픽을 평가합니다. 이상 항목이 감지되는 경우 Shield Advanced는 영향을 받는 각 리소스에 대해 별도의 이벤트를 생성합니다.
Shield 콘솔의 **이벤트** 페이지를 통해 이벤트 요약 및 세부 정보에 액세스할 수 있습니다. 최상위 수준 **이벤트** 페이지는 현재 및 과거 이벤트에 대한 개요를 제공합니다.
다음 스크린샷은 진행 중인 이벤트가 한 개인 **이벤트** 페이지의 예를 보여줍니다. 이 활성 이벤트는 왼쪽 탐색 창에도 플래그 지정되어 있습니다.
![\[AWS Shield 콘솔 왼쪽 탐색 창에는 빨간색 원 안에 숫자 1이 있는 빨간색으로 강조 표시된 이벤트 선택 항목이 있습니다. 이벤트 페이지가 열리고 이벤트 목록에 단일 행이 표시됩니다. 행에는 CloudFront 배포 유형의 AWS 리소스가 나열됩니다. 현재 상태 필드에는 완화 작업 진행 중이라는 단어 옆에 빨간색 삼각형 아이콘이 있습니다. 공격 벡터 상태 필드에는 UDP 트래픽이 들어 있습니다. 시작 시간 필드에는 2020년 9월 16일 오후 2시 43분(SAST)이 들어 있습니다. 기간 필드에는 6분이 들어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-event-summary1.png)
Shield Advanced는 트래픽 유형과 구성된 보호 기능에 따라 공격에 대한 완화 조치를 자동으로 적용할 수도 있습니다. 이러한 완화 조치는 리소스에서 알려진 DDoS 공격 시그니처와 일치하는 트래픽이나 초과 트래픽을 수신하지 않도록 보호할 수 있습니다.
다음 스크린샷은 Shield Advanced에 의해 모든 이벤트가 완화되었거나 저절로 진정된 **이벤트** 목록의 예를 보여줍니다.
![\[이벤트라는 콘솔 AWS Shield 페이지에는 최근에 감지된 이벤트와 현재 상태가 나열됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-events.png)
**이벤트 발생 전에 리소스 보호**
리소스가 DDoS 공격을 받기 전에 정상적인 예상 트래픽을 수신하는 동안 Shield Advanced로 리소스를 보호하여 이벤트 탐지의 정확도를 개선하십시오.
보호된 리소스에 대한 이벤트를 정확하게 보고하려면 Shield Advanced는 먼저 해당 리소스에 대한 예상 트래픽 패턴의 기준을 설정해야 합니다.
+ Shield Advanced는 리소스를 최소 15분 동안 보호한 후에 인프라 계층 이벤트를 보고합니다.
+ Shield Advanced는 리소스를 최소 24시간 동안 보호한 후에 리소스에 대한 웹 애플리케이션 계층 이벤트를 보고합니다. 애플리케이션 계층 이벤트의 탐지는 Shield Advanced가 30일 동안 예상 트래픽을 관찰한 이후에 가장 정확합니다.
**AWS Shield 콘솔에서 이벤트 정보에 액세스하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **이벤트를** 선택합니다. 콘솔이 **이벤트** 페이지를 보여줍니다.
1. **이벤트** 페이지의 목록에 있는 이벤트를 선택하여 이벤트에 대한 추가 요약 정보 및 세부 정보를 볼 수 있습니다.
**Topics**
+ [
# AWS Shield Advanced 이벤트 요약의 필드 목록
](ddos-event-summaries.md)
+ [
# AWS Shield Advanced 이벤트 세부 정보 보기
](ddos-event-details.md)
# AWS Shield Advanced 이벤트 요약의 필드 목록
이 페이지에는 Shield Advanced 이벤트 요약의 필드가 나오고 정의되어 있습니다.
이벤트의 콘솔 페이지에서 이벤트에 대한 요약 및 세부 정보를 볼 수 있습니다. 이벤트 페이지를 열려면 **이벤트** 페이지 목록에서 해당 AWS 리소스 이름을 선택합니다.
다음 스크린샷은 네트워크 계층 이벤트에 대한 이벤트 요약의 예를 보여줍니다.
![\[AWS Shield 콘솔 이벤트 페이지의 요약 창에는 이벤트에 대한 정보가 나열되며 영향을 받는 AWS 리소스, 공격 벡터, 시작 및 종료 시간, 완화 및 상태 정보가 포함됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-event-summary2.png)
이벤트 페이지 요약 정보에는 다음 내용이 포함됩니다.
+ **현재 상태** — 이벤트의 상태와 Shield Advanced가 이벤트에 대해 취한 조치를 나타내는 값입니다. 상태 값은 인프라 계층(계층 3 또는 4) 및 애플리케이션 계층(계층 7)이벤트에 적용됩니다.
+ **식별됨(진행 중)** 및 **식별됨(진정됨)** — Shield Advanced가 이벤트를 감지했지만 지금까지 조치를 취하지 않았음을 나타냅니다. **식별됨(진정됨)** — Shield가 감지한 의심스러운 트래픽이 개입 없이 중단되었음을 나타냅니다.
+ **완화 조치 진행 중** 및 **완화됨** — Shield Advanced가 이벤트를 감지하고 조치를 취했음을 나타냅니다. **완화됨** 값은 대상 리소스가 자체 자동 인라인 완화 기능을 갖춘 Amazon CloudFront 배포 또는 Amazon Route 53 호스팅 영역인 경우에도 사용됩니다.
+ **공격 벡터** — DDoS 공격 벡터(예: TCP SYN flood) 및 Shield Advanced 탐지 휴리스틱(예: 요청 플러드). 이는 DDoS 공격의 지표가 될 수 있습니다.
+ **시작 시간** - 첫 번째 변칙적 트래픽 데이터 요소가 감지된 날짜 및 시간입니다.
+ **지속 시간 또는 종료 시간** — 이벤트 시작 시간과 Shield Advanced가 마지막으로 관찰한 변칙적 데이터 요소 사이에 경과된 시간을 나타냅니다. 이벤트가 진행되는 동안 이 값은 계속 증가할 것입니다.
+ **보호** - 리소스와 관련된 Shield Advanced 보호의 이름을 지정하고 보호 페이지로 연결되는 링크를 제공합니다. 이는 개별적인 이벤트 페이지에서 확인할 수 있습니다.
+ **자동 애플리케이션 계층 DDoS 완화** — 애플리케이션 계층 보호에 사용되며, Shield Advanced 자동 애플리케이션 계층 DDoS 완화가 리소스에 대해 활성화되었는지 여부를 나타냅니다. 활성화된 경우 구성에 액세스하고 관리할 수 있는 링크가 제공됩니다. 이는 개별적인 이벤트 페이지에서 확인할 수 있습니다.
+ **네트워크 계층 자동 완화** - 리소스에 네트워크 계층 자동 완화 기능이 있는지 여부를 나타냅니다. 리소스에 네트워크 계층 구성 요소가 있는 경우 이 구성 요소가 활성화됩니다. 이 정보는 개별적인 이벤트의 페이지에서 확인할 수 있습니다.
자주 표적이 되는 리소스의 경우, Shield는 초과 트래픽이 감소한 후에도 추가 재발을 방지하기 위해 완화 조치를 그대로 둘 수 있습니다.
**참고**
또한 AWS Shield API 작업인 [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)를 통해 보호된 리소스에 대한 이벤트 요약에 액세스할 수도 있습니다.
# AWS Shield Advanced 이벤트 세부 정보 보기
콘솔 이벤트 페이지 하단 섹션에서 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.
+ **탐지 및 완화** — 관찰된 이벤트와 이에 대해 적용된 모든 완화 조치에 대한 정보를 제공합니다. 완화 이벤트에 대한 자세한 내용은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md)(을)를 참조하세요.
+ **상위 기여자** — 이벤트와 관련된 트래픽을 분류하고 Shield가 카테고리별로 식별한 트래픽의 기본 소스를 나열합니다. 애플리케이션 계층 이벤트의 경우 상위 기여자 정보를 사용하여 이벤트의 특성에 대한 일반적인 아이디어를 얻지만 보안 결정에 AWS WAF 로그를 사용합니다. 자세한 내용은 이어지는 섹션을 참조하세요.
Shield Advanced 콘솔의 이벤트 정보는 Shield Advanced 지표를 기준으로 합니다. Shield Advanced 지표에 대한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요.
Amazon CloudFront 또는 Amazon Route 53 리소스에는 완화 지표가 포함되어 있지 않은데, 이러한 서비스는 항상 활성화되어 개별 리소스에 대한 완화 조치가 필요하지 않은 완화 시스템으로 보호되기 때문입니다.
세부 정보 섹션은 정보가 인프라 계층 이벤트 또는 애플리케이션 계층 이벤트에 대한 정보인지 여부에 따라 달라집니다.
**Topics**
+ [
# Shield Advanced에서 애플리케이션 계층(계층 7) 이벤트 세부 정보 보기
](ddos-event-details-application-layer.md)
+ [
# Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기
](ddos-event-details-infrastructure-layer.md)
# Shield Advanced에서 애플리케이션 계층(계층 7) 이벤트 세부 정보 보기
이벤트에 대한 콘솔 페이지 하단 섹션에서 애플리케이션 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield Advanced 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.
완화 세부 정보는 공격에 대응하여 특별히 배포되는 규칙과 웹 ACL에 정의된 속도 기반 규칙을 포함하여 리소스와 연결된 웹 ACL의 모든 규칙에 대한 것입니다. 애플리케이션에 대해 자동 애플리케이션 계층 DDoS 완화를 활성화하는 경우 완화 지표에는 이러한 추가 규칙에 대한 지표가 포함됩니다. 이러한 애플리케이션 계층 보호에 대한 자세한 내용은 [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md) 섹션을 참조하세요.
## 감지 및 완화
애플리케이션 계층(계층 7) 이벤트의 경우 **탐지 및 완화** 탭에는 AWS WAF 로그에서 얻은 정보를 기반으로 하는 탐지 지표가 표시됩니다. 완화 지표는 원치 않는 트래픽을 차단하도록 구성된, 연결된 웹 ACL의 AWS WAF 규칙을 기반으로 합니다.
Amazon CloudFront 배포의 경우, 자동 완화 기능을 적용하도록 Shield Advanced를 구성할 수 있습니다. 모든 애플리케이션 계층 리소스를 사용하여 웹 ACL에서 자체 완화 규칙을 정의하도록 선택하고 Shield 대응 팀(SRT)에 도움을 요청할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md) 섹션을 참조하세요.
다음 스크린샷은 몇 시간 후에 진정된 애플리케이션 계층 이벤트에 대한 탐지 지표의 예를 보여줍니다.
![\[탐지 지표 그래프는 11:30부터 16:00에 감소할 때까지 요청 플러드 트래픽 감지를 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-app-detection-metrics.png)
완화 규칙이 적용되기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 웹 요청 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다.
## 상위 기여자
애플리케이션 계층 이벤트에 대한 **상위 기여자** 탭에는 Shield가 검색한 AWS WAF 로그를 기반으로 이벤트에 대해 식별한 상위 5명의 기여자가 표시됩니다. Shield는 소스 IP, 소스 국가, 대상 URL과 같은 측정기준별로 상위 기여자 정보를 분류합니다.
**참고**
애플리케이션 계층 이벤트에 기여하는 트래픽에 대한 가장 정확한 정보를 보려면 AWS WAF 로그를 사용합니다.
Shield 애플리케이션 계층의 상위 기여자 정보는 공격의 성격을 전반적으로 파악하기 위한 용도로만 사용하고, 이를 기반으로 보안 결정을 내리지 마십시오. 애플리케이션 계층 이벤트의 경우 AWS WAF 로그는 공격의 원인을 이해하고 완화 전략을 수립하는 데 가장 적합한 정보 소스입니다.
Shield 상위 기여자 정보가 항상 AWS WAF 로그의 데이터를 완전히 반영하는 것은 아닙니다. Shield는 로그를 수집할 때 로그에서 전체 데이터 세트를 검색하는 것보다 시스템 성능에 미치는 영향을 줄이는 것을 우선시합니다. 이로 인해 Shield에서 분석에 사용할 수 있는 데이터의 세부 수준이 손실될 수 있습니다. 대부분의 경우 대부분의 정보를 사용할 수 있지만, 어떤 공격에서든 상위 기여자 데이터가 어느 정도 왜곡될 수 있습니다.
다음 스크린샷은 애플리케이션 계층 이벤트에 대한 **상위 기여자** 탭의 예를 보여줍니다.
![\[애플리케이션 계층 이벤트의 상위 기여자 탭에서는 여러 웹 요청 특성에 대한 상위 5개의 기여자를 설명합니다. 화면에는 상위 5개의 소스 IP 주소, 상위 5개의 대상 URL, 상위 5개의 소스 국가, 상위 5개의 사용자 에이전트가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-app-event-top-contributors.png)
기여자 정보는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대한 요청을 기반으로 합니다. 볼륨이 큰 이벤트와 요청 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield Advanced가 특정 카테고리의 주요 기여자를 식별하지 못하면 데이터가 사용할 수 없음으로 표시됩니다.
# Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기
이벤트에 대한 콘솔 페이지 하단 섹션에서 인프라 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.
## 감지 및 완화
인프라 계층(계층 3 또는 4)이벤트의 경우 **감지 및 완화** 탭에는 샘플링된 네트워크 흐름을 기반으로 하는 탐지 지표와 완화 시스템에서 관찰된 트래픽을 기반으로 하는 완화 지표가 표시됩니다. 완화 지표는 리소스로 유입되는 트래픽을 보다 정확하게 측정한 것입니다.
Shield는 보호된 리소스 유형인 탄력적 IP(EIP), Classic Load Balancer(CLB), Application Load Balancer(ALB) 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화를 자동으로 생성합니다. EIP 주소 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화 지표는 전달 및 삭제된 패킷 수를 나타냅니다.
다음 스크린샷은 인프라 계층 이벤트에 대한 **감지 및 완화** 탭의 예를 보여줍니다.
![\[네트워크 이벤트에 대한 감지 및 완화 그래프에서는 탐지 지표의 SYN flood 및 패킷 플러드 트래픽 증가를 나타내며, 이는 완화 지표에서는 몇 초 후에 트래픽을 감소시키는 완화 기능의 증가와 일치합니다. 완화 조치가 약 30초 동안 강화되면 트래픽 플러드가 멈춥니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)
Shield가 완화를 적용하기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다.
## 상위 기여자
인프라 계층 이벤트의 **상위 기여자** 탭에는 여러 트래픽 측정기준의 최대 100개의 상위 기여자에 대한 지표가 나열됩니다. 세부 정보에는 중요한 트래픽 소스를 5개 이상 식별할 수 있는 모든 측정기준에 대한 네트워크 계층 속성이 포함됩니다. 트래픽 소스의 예로는 소스 IP와 소스 ASN이 있습니다.
다음 스크린샷은 인프라 계층 이벤트에 대한 **상위 기여자** 탭의 예를 보여줍니다.
![\[네트워크 이벤트의 상위 기여자 탭에는 이벤트에 가장 많이 기여한 트래픽 카테고리가 표시됩니다. 이 경우 카테고리에는 프로토콜별 볼륨, 프로토콜 및 대상 포트별 볼륨, 프로토콜 및 소스 ASN별 볼륨, TCP 플래그별 볼륨이 포함됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-network-event-top-contributors.png)
기여자 지표는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대해 샘플링된 네트워크 흐름을 기반으로 합니다. 볼륨이 큰 이벤트와 트래픽 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield가 특정 지표나 카테고리의 주요 기여자를 식별하지 못하면 해당 데이터를 사용할 수 없음으로 표시합니다.
인프라 계층 DDoS 공격에서는 트래픽 소스가 스푸핑되거나 반영될 수 있습니다. 스푸핑된 소스는 공격자가 의도적으로 위조한 것입니다. 반영된 소스는 탐지된 트래픽의 실제 소스이지만 공격에 기꺼이 참여하지는 않습니다. 예를 들어 공격자는 일반적으로 합법적인 인터넷 서비스 비활성화 공격을 반영하여 표적으로 대량의 증폭된 트래픽을 생성할 수 있습니다. 이 경우 소스 정보는 공격의 실제 소스는 아니지만 유효할 수 있습니다. 이러한 요인으로 인해 패킷 헤더를 기반으로 소스를 차단하는 완화 기술의 실행 가능성이 제한될 수 있습니다.
# AWS Firewall Manager 및를 AWS 계정 사용하여 여러에서 Shield Advanced 이벤트 보기 AWS Security Hub CSPM
AWS Firewall Manager 및 AWS Security Hub CSPM 를 사용하여 여러 계정에서 AWS Shield Advanced 보호된 리소스를 관리하고 모니터링할 수 있습니다.
Firewall Manager를 사용하면 모든 계정에서 DDoS 보호 규정 준수를 보고하고 강제 적용하는 Shield Advanced 보안 정책을 생성할 수 있습니다. Firewall Manager는 Shield Advanced 정책 범위에 할당되는 새 리소스에 보호 기능을 추가하는 것을 포함하여 보호된 리소스를 모니터링합니다.
Firewall Manager AWS Security Hub CSPM 를와 통합하여 Firewall Manager가 Shield Advanced 보안 정책을 준수하지 않는 리소스를 식별할 때 Shield Advanced 및 Firewall Manager 규정 준수 조사 결과에서 감지된 DDoS 이벤트를 보고하는 단일 대시보드를 얻을 수 있습니다.
다음 그림은 Firewall Manager 및 Security Hub CSPM을 사용하여 Shield Advanced 보호 리소스를 모니터링하기 위한 일반적인 아키텍처를 보여줍니다.
![\[그림 상단에 아이콘이 AWS Organizations 있습니다. 아래쪽을 가리키는 화살표가 한 개 있는데 이는 분할되어 나란히 있는 두 개의 아이콘을 가리킵니다. 왼쪽 아이콘에는 Production OU 제목이 있고 오른쪽 아이콘에는 Security OU 제목이 있습니다. 이 아이콘 아래에는 왼쪽에서 오른쪽으로 제목이 지정된 세 개의 아이콘인 AWS Shield Advanced, 및 AWS Firewall Manager가 있습니다 AWS Security Hub CSPM. Production OU 아이콘에는 아래로 Shield Advanced 아이콘을 가리키는 화살표가 있습니다. 보안 OU 아이콘에는 Firewall Manager 및 Security Hub CSPM 아이콘을 가리키도록 분할되는 아래쪽을 가리키는 화살표가 있습니다. Shield Advanced 아이콘에는 아래쪽으로 Shield Advanced protected resources(이)라는 제목의 사각형을 가리키는 화살표가 있습니다. 사각형 안에는 Application Load Balancer, CloudFront 배포, 탄력적 IP 주소 아이콘이 있습니다. Firewall Manager 아이콘에도 아래쪽으로 Shield Advanced protected resources 사각형을 가리키는 화살표가 있으며 Enforces compliance of protected resources(이)라는 레이블이 지정되어 있습니다. Shield Advanced 아이콘에는 Firewall Manager 아이콘을 가리키며 DDoS alarm 레이블이 지정된 가로 방향 화살표가 있습니다. Firewall Manager 아이콘에는 레이블이 지정된 Security Hub CSPM 아이콘을 가리키는 가로 화살표가 있습니다DDoS alarm and compliance findings.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-arch-fms-ash-integration.png)
Firewall Manager를 Security Hub CSPM과 통합하면 실행 중인 애플리케이션에 대한 다른 알림 및 규정 준수 상태 정보와 함께 한 곳에서 보안 조사 결과를 볼 수 있습니다 AWS.
다음 스크린샷은이 유형의 통합이 있을 때 Security Hub CSPM 콘솔 내에서 Shield Advanced 이벤트에 대해 볼 수 있는 정보를 강조 표시합니다.
![\[스크린샷은 Security Hub CSPM 콘솔 조사 결과 페이지를 보여 줍니다. 자막 조사 결과는 보안 문제 또는 실패한 보안 검사입니다. 섹션에는 다음과 같은 문자열을 강조 표시하는 빨간색 테두리가 있습니다. Title EQUALS Shield Advanced는 모니터링 대상 리소스에 대한 공격을 탐지했으며 제품명 EQUAL Firewall Manager입니다. 화면에는 특정 공격과 해당 상태에 대한 일체의 세부 정보가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-security-hub-event.png)
Firewall Manager 및 Security Hub CSPM을 Shield Advanced와 통합하여 보호된 계정 전체에서 이벤트 및 규정 준수 모니터링을 중앙 집중화하는 방법을 알아보려면 AWS 보안 블로그 [ DDoS 이벤트에 대한 중앙 집중식 모니터링 설정 및 규정 미준수 리소스 자동 해결을](https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/) 참조하세요.