기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Detective 행동 그래프에 사용된 소스 데이터
Amazon Detective는 동작 그래프를 채우기 위해 동작 그래프 관리자 계정 및 멤버 계정의 소스 데이터를 사용합니다.
Detective를 사용하면 최대 1년 분량의 과거 이벤트 데이터에 액세스할 수 있습니다. 이 데이터는 선택한 기간 동안의 활동 유형 및 양의 변화를 보여주는 일련의 시각화를 통해 제공됩니다. Detective는 이러한 변경 사항을 GuardDuty 조사 결과와 연결합니다.
동작 그래프 데이터 구조에 대한 자세한 내용은 Detective 사용 설명서의 동작 그래프 데이터 구조 개요를 참조하세요.
Detective의 핵심 데이터 소스 유형
Detective는 다음과 같은 유형의 로그에서 데이터를 수집합니다. AWS
-
AWS CloudTrail 로그
-
Amazon Virtual Private Cloud (아마존VPC) 플로우 로그
-
Elastic Fabric Adapters에서 생성한 MAC 레코드는 수집하지 않고 두 레코드를 모두 IPv4 수집합니다. IPv6
-
log-status
필드 값이 상태에 있을 때 로그 레코드를 수집합니다.OK
자세한 내용은 Amazon VPC 사용 설명서의 흐름 로그 레코드를 참조하십시오. -
해당 VPCs 인스턴스에서만 실행되는 Amazon Elastic Compute Cloud 인스턴스에서 생성된 흐름 로그를 수집합니다. NAT게이트웨이, RDS 인스턴스 또는 Fargate 클러스터와 같은 다른 리소스는 사용되지 않습니다.
-
허용된 트래픽과 거부된 트래픽을 모두 수집합니다.
-
-
Detective는 등록된 계정의 GuardDuty 경우 조사 결과도 GuardDuty 수집합니다.
Detective는 CloudTrail 독립적이고 중복되는 VPC 흐름 로그 스트림을 사용하여 로그 이벤트를 소비하고 플로우합니다. CloudTrail VPC 이러한 프로세스는 기존 CloudTrail 및 VPC 흐름 로그 구성에 영향을 주거나 사용하지 않습니다. 또한 이러한 서비스의 성능에 영향을 미치거나 비용을 증가시키지 않습니다.
Detective의 선택적 데이터 소스 유형
Detective는 Detective 코어 패키지에서 제공되는 세 가지 데이터 소스 외에도 선택적 소스 패키지를 제공합니다 (핵심 패키지에는 AWS CloudTrail 로그, VPC 흐름 로그 및 검색 결과가 포함됨). GuardDuty 동작 그래프의 선택적 데이터 소스 패키지는 언제든지 시작하거나 중지할 수 있습니다.
Detective는 리전별 모든 핵심 및 선택적 소스 패키지에 대해 30일 무료 평가판을 제공합니다.
참고
Detective는 각 데이터 소스 패키지에서 받은 모든 데이터를 최대 1년 동안 보관합니다.
현재 사용 가능한 선택적 소스 패키지는 다음과 같습니다.
-
EKS 감사 로그
이 선택적 데이터 소스 패키지를 사용하면 Detective가 사용자 환경의 EKS 클러스터에 대한 세부 정보를 수집하고 해당 데이터를 동작 그래프에 추가할 수 있습니다. Detective는 로그를 수동으로 활성화하거나 저장할 필요 없이 사용자 활동을 AWS CloudTrail 관리 이벤트 및 Amazon VPC Flow Logs와 네트워크 활동과 연결합니다. 세부 정보는 아마존 EKS 감사 로그를 참조하세요.
-
AWS 보안 조사 결과
이 선택적 데이터 소스 패키지를 사용하면 Detective가 Security Hub에서 데이터를 수집하여 동작 그래프에 추가할 수 있습니다. 세부 정보는 AWS 보안 조사 결과를 참조하세요.
선택적 데이터 소스 시작 또는 중지:
-
에서 Detective 콘솔을 엽니다. https://console.aws.amazon.com/detective/
-
탐색 창의 설정 아래에서 일반을 선택합니다.
-
선택적 소스 패키지에서 업데이트를 선택합니다. 그런 다음 활성화하려는 데이터 소스를 선택하거나 이미 활성화된 데이터 소소의 확인란을 선택 취소하고 업데이트를 선택하여 활성화된 데이터 소스 패키지를 변경합니다.
참고
선택적 데이터 소스를 중지했다가 다시 시작하면 일부 엔터티 프로필에 표시된 데이터에 차이가 있는 것을 확인할 수 있습니다. 이 차이는 콘솔 디스플레이에 표시되며 데이터 소스가 중지된 기간을 나타냅니다. 데이터 소스가 재시작되면 Detective는 데이터를 소급하여 수집하지 않습니다.
Detective가 소스 데이터를 수집하고 저장하는 방법
Detective가 활성화되면 Detective는 동작 그래프 관리자 계정에서 소스 데이터를 수집하기 시작합니다. 멤버 계정이 동작 그래프에 추가되면 Detective는 해당 멤버 계정의 데이터도 사용하기 시작합니다.
Detective 소스 데이터는 원본 피드의 구조화된 버전과 처리된 버전으로 구성됩니다. Detective 분석을 지원하기 위해 Detective는 Detective 소스 데이터의 사본을 저장합니다.
Detective 수집 프로세스는 Detective 소스 데이터 스토어의 Amazon Simple Storage Service(S3) 버킷에 데이터를 제공합니다. 새 소스 데이터가 도착하면 다른 Detective 구성 요소가 데이터를 수집하여 추출 및 분석 프로세스를 시작합니다. 자세한 내용은 Detective 사용 설명서의 Detective가 소스 데이터를 사용하여 동작 그래프를 채우는 방법 참조하세요.
Detective가 동작 그래프의 데이터 볼륨 할당량을 적용하는 방법
Detective는 각 동작 그래프에서 허용하는 데이터의 볼륨에 대해 엄격한 할당량을 적용합니다. 데이터 볼륨은 Detective 동작 그래프에 유입되는 일일 데이터 양입니다.
Detective는 관리자 계정이 Detective를 활성화하고 멤버 계정이 동작 그래프에 제공하도록 초대를 수락할 때 이러한 할당량을 적용합니다.
-
관리자 계정의 데이터 볼륨이 하루 10TB를 초과하는 경우 관리자 계정에서 Detective를 활성화할 수 없습니다.
-
멤버 계정에서 추가된 데이터 볼륨으로 인해 동작 그래프가 하루 10TB를 초과하는 경우 멤버 계정을 활성화할 수 없습니다.
동작 그래프의 데이터 볼륨은 시간 경과에 따라 자연스럽게 증가할 수도 있습니다. Detective는 매일 동작 그래프 데이터 볼륨을 확인하여 할당량을 초과하지 않는지 확인합니다.
동작 그래프 데이터 볼륨이 할당량에 가까워지면 Detective는 콘솔에 경고 메시지를 표시합니다. 할당량을 초과하지 않도록 멤버 계정을 제거할 수 있습니다.
동작 그래프 데이터 용량이 하루 10TB를 초과하는 경우 동작 그래프에 새 멤버 계정을 추가할 수 없습니다.
동작 그래프 데이터 용량이 하루 15TB를 초과하는 경우 Detective는 동작 그래프에 대한 데이터 수집을 중단합니다. 일일 15TB 할당량은 일반적인 데이터 볼륨과 데이터 볼륨 급증을 모두 반영합니다. 이 할당량에 도달하면 동작 그래프에 새 데이터가 수집되지 않지만 기존 데이터는 제거되지 않습니다. 해당 과거 데이터를 조사에 계속 사용할 수 있습니다. 콘솔에 동작 그래프에 대한 데이터 수집이 일시 중단되었음을 알리는 메시지가 표시됩니다.
데이터 수집이 일시 중단된 경우 데이터 수집을 다시 AWS Support 활성화하기 위해 협력해야 합니다. 가능하면 AWS Support연락하기 전에 회원 계정을 삭제하여 데이터 용량이 할당량 이하로 떨어지도록 하세요. 그러면 동작 그래프에 대한 데이터 수집을 다시 활성화하기가 더 쉬워집니다.