Detective가 조사에 사용되는 방법 - Amazon Detective
조사 단계Detective 조사의 시작점탐지 조사 흐름

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Detective가 조사에 사용되는 방법

Amazon Detective를 사용하면 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 분석 및 조사하고 신속하게 식별할 수 있습니다. Detective는 전체 조사 프로세스를 지원하는 도구를 제공합니다. Detective에서의 조사는 조사 결과, 조사 결과 그룹 또는 엔터티로부터 시작할 수 있습니다.

Detective의 조사 단계

모든 Detective 조사 프로세스에는 다음 단계가 포함됩니다.

심사

조사 프로세스는 악의적이거나 고위험 활동으로 의심되는 사례가 있다는 통지를 받으면 시작됩니다. 예를 들어 Amazon GuardDuty 및 Amazon Inspector와 같은 서비스에서 발견된 조사 결과 또는 알림을 살펴보도록 할당됩니다.

심사 단계에서는 해당 활동이 참 긍정(진정한 악의적 활동)인지 아니면 거짓 긍정(악의적이거나 고위험 활동이 아님)인지 판단합니다. Detective 프로필은 관련 엔터티의 활동에 대한 통찰력을 제공하여 분류 프로세스를 지원합니다.

참 긍정 인스턴스의 경우 다음 단계로 넘어갑니다.

범위 지정

범위 지정 단계에서 분석가는 악의적 또는 고위험 활동의 범위와 근본 원인을 파악합니다.

범위 지정은 다음과 같은 유형의 질문에 대한 답을 제공합니다.

  • 어떤 시스템과 사용자가 피해를 입었습니까?

  • 공격이 어디에서 시작되었습니까?

  • 공격이 일어난 지 얼마나 되었습니까?

  • 밝혀내야 할 다른 관련 활동이 있습니까? 예를 들어 공격자가 시스템에서 데이터를 추출하는 경우 어떻게 데이터를 얻었을까요?

Detective 시각화는 관련되었거나 영향을 받은 다른 엔터티를 식별하는 데 도움이 될 수 있습니다.

응답

마지막 단계는 공격에 대응하여 공격을 막고 피해를 최소화하며 유사한 공격이 다시 발생하지 않도록 하는 것입니다.

Detective 조사의 시작점

Detective의 모든 조사에는 필수적인 시작점이 있습니다. 예를 들어 조사할 Amazon GuardDuty 또는 AWS Security Hub 조사 결과가 할당될 수 있습니다. 또는 특정 IP 주소의 비정상적인 활동이 우려될 수도 있습니다.

조사의 일반적인 시작점에는 가 탐지한 조사 결과와 Detective 소스 데이터에서 추출한 개체 GuardDuty 가 포함됩니다.

에서 감지한 결과 GuardDuty

GuardDuty 는 로그 데이터를 사용하여 악의적이거나 고위험 활동이 의심되는 인스턴스를 찾아냅니다. Detective는 이러한 조사 결과를 조사하는 데 도움이 되는 리소스를 제공합니다.

각 조사 결과에 대해 Detective는 관련 조사 결과 세부 정보를 제공합니다. 또한 Detective는 결과에 연결된 IP 주소 및 AWS 계정과 같은 엔터티도 표시합니다.

그런 다음 관련 엔터티의 활동을 탐색하여 조사 결과에서 탐지된 활동이 진정한 우려 원인인지 확인할 수 있습니다.

자세한 내용은 Detective에서 결과 개요 분석 단원을 참조하십시오.

AWS Security Hub에서 집계한 보안 조사 결과

AWS Security Hub 는 다양한 조사 결과 공급자의 보안 조사 결과를 한 곳에서 집계하고 에서 보안 상태를 포괄적으로 볼 수 있도록 합니다 AWS. Security Hub를 사용하면 여러 공급자로부터 많은 양의 조사 결과를 처리해야 하는 복잡성을 없앨 수 있습니다. 이를 통해 모든 AWS 계정, 리소스 및 워크로드의 보안을 관리하고 개선하는 데 필요한 노력을 줄일 수 있습니다. Detective는 이러한 조사 결과를 조사하는 데 도움이 되는 리소스를 제공합니다.

각 조사 결과에 대해 Detective는 관련 조사 결과 세부 정보를 제공합니다. 또한 Detective는 결과에 연결된 IP 주소 및 AWS 계정과 같은 엔터티도 표시합니다.

자세한 내용은 Detective에서 결과 개요 분석 단원을 참조하십시오.

Detective 소스 데이터에서 추출한 엔터티

수집된 Detective 소스 데이터에서 Detective는 IP 주소 및 AWS 사용자와 같은 엔터티를 추출합니다. 이중 하나를 조사 시작점으로 사용할 수 있습니다.

Detective는 IP 주소 또는 사용자 이름과 같은 엔터티에 대한 일반적인 세부 정보를 제공합니다. 또한 활동 기록에 대한 세부 정보도 제공합니다. 예를 들어 Detective는 엔터티가 연결되었거나 사용된 다른 IP 주소를 보고할 수 있습니다.

자세한 내용은 Amazon Detective에서 개체 분석 단원을 참조하십시오.

탐지 조사 흐름

Amazon Detective를 사용하여 EC2 인스턴스 또는 AWS 사용자와 같은 엔터티를 조사할 수 있습니다. 보안 조사 결과를 조사할 수도 있습니다.

다음 이미지는 Detective 조사의 프로세스를 높은 수준에서 보여줍니다.

Detective 조사 프로세스를 보여주는 다이어그램입니다.
1단계: 조사할 엔터티 선택

에서 결과를 볼 때 GuardDuty분석가는 Detective에서 관련 엔터티를 조사하도록 선택할 수 있습니다. 기업 프로필로 전환하거나 GuardDuty Amazon에서 개요를 찾거나 AWS Security Hub을 참조하세요.

엔터티를 선택하면 Detective의 엔터티 프로필로 이동합니다.

2단계: 프로필의 시각화 분석

각 엔터티 프로필에는 동작 그래프에서 생성된 시각화 세트가 포함되어 있습니다. 동작 그래프는 Detective에 입력되는 로그 파일 및 기타 데이터에서 생성됩니다.

시각화는 엔터티와 관련된 활동을 보여줍니다. 이러한 시각화를 사용하여 질문에 답하고 엔터티 활동이 비정상적인지 여부를 확인할 수 있습니다. Amazon Detective에서 개체 분석을 참조하세요.

각 시각화에 제공된 Detective 지침을 사용하면 조사를 안내하는 데 도움이 됩니다. 이 지침은 표시된 정보를 간략하게 설명하고, 질문할 질문을 제안하고, 답변을 기반으로 다음 단계를 제안합니다. 조사 중 프로필 패널 지침 사용을 참조하세요.

각 프로필에는 관련 결과 조사 결과가 포함되어 있습니다. 조사 결과에 대한 세부 정보 및 조사 결과 개요를 볼 수 있습니다. Detective에서 관련 결과에 대한 세부 정보 보기을 참조하세요.

엔터티 프로필에서 다른 엔터티 및 조사 결과 프로필로 피벗하여 관련 자산의 활동을 더 자세히 조사할 수 있습니다.

3단계: 작업 수행

조사 결과에 따라 적절한 조치를 취합니다.

조사 결과가 거짓 긍정인 경우 조사 결과를 보관할 수 있습니다. Detective에서 GuardDuty 조사 결과를 보관할 수 있습니다. 자세한 내용은 Amazon GuardDuty 결과 보관을 참조하세요.

그렇지 않으면 적절한 조치를 취해 취약성을 해결하고 피해를 줄일 수 있습니다. 예를 들어 리소스 구성을 업데이트해야 할 수 있습니다.