이벤트 기반 대응

이벤트 기반 대응 시스템을 사용하면 감지 메커니즘이 대응 메커니즘을 트리거하여 이벤트를 자동으로 수정합니다. 이벤트 기반 대응 기능을 사용하여 감지 메커니즘과 대응 메커니즘 간의 가치 실현 시간을 단축할 수 있습니다. 이러한 이벤트 기반 아키텍처를 생성하기 위해 이벤트에 대한 대응으로 코드를 실행하고 기본 컴퓨팅 리소스를 자동으로 관리하는 서버리스 컴퓨팅 서비스인 AWS Lambda를 사용할 수 있습니다.

예를 들어 AWS CloudTrail 서비스가 활성화된 AWS 계정이 있다고 가정해 보겠습니다. AWS CloudTrail이 cloudtrail:StopLogging API를 통해 비활성화되어 있는 경우 대응 절차는 서비스를 다시 활성화하고 AWS CloudTrail 로깅을 비활성화한 사용자를 조사하는 것입니다. AWS Management Console에서 이러한 단계를 수동으로 수행하는 대신 cloudtrail:StartLogging API를 통해 프로그래밍 방식으로 로깅을 다시 활성화할 수 있습니다. 코드를 사용하여 구현하는 경우 대응 목표는 가능한 한 빨리 이 작업을 수행하고 대응 담당자에게 대응이 수행되었음을 알리는 것입니다.

로직을 간단한 코드로 분해하고 AWS Lambda 함수에서 실행하여 이러한 작업을 수행할 수 있습니다. 그런 다음 Amazon CloudWatch Events를 사용하여 특정 cloudtrail:StopLogging 이벤트를 모니터링하고 이벤트가 발생하면 함수를 호출할 수 있습니다. Amazon CloudWatch Events에서 이 AWS Lambda 대응 담당 함수를 호출하면 비활성화된 AWS CloudTrail 보안 주체의 정보, 비활성화된 시간, 영향을 받은 특정 리소스 및 기타 관련 정보와 함께 특정 이벤트의 세부 정보를 이 함수에 전달할 수 있습니다. 이 정보를 사용하여 로그에서 검색 결과를 보강한 다음 응답 분석가가 필요로 하는 특정 값만 사용하여 알림을 생성할 수 있습니다.

이벤트 기반 응답의 목표는 Lambda 대응 담당 함수가 응답 작업을 수행한 후 대응 담당자에게 관련 컨텍스트 정보로 예외 항목이 성공적으로 해결되었음을 알리는 것입니다. 그런 다음 발생한 이유와 향후 재발을 예방할 수 있는 방법을 결정하는 것은 인간 대응 담당자의 몫입니다. 이 피드백 루프는 클라우드 환경의 보안을 더욱 향상시킵니다. 이 목표를 달성하려면 보안 팀이 개발 및 운영 팀과 더 긴밀하게 협력할 수 있는 문화가 조성되어야 합니다.