동작 그래프 데이터 구조 개요 - Amazon Detective
동작 그래프 데이터 구조의 요소 유형동작 그래프 데이터 구조의 엔터티 유형

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

동작 그래프 데이터 구조 개요

동작 그래프 데이터 구조는 추출 및 분석된 데이터의 구조를 정의합니다. 또한 소스 데이터를 동작 그래프에 매핑하는 방법도 정의합니다.

동작 그래프 데이터 구조의 요소 유형

동작 그래프 데이터 구조는 다음 정보 요소로 이루어집니다.

엔터티

엔터티는 Detective 소스 데이터에서 추출한 항목을 나타냅니다.

각 엔터티에는 엔터티가 나타내는 객체 유형을 식별하는 유형이 있습니다. 엔티티 유형의 예로는 IP 주소, Amazon EC2 인스턴스, AWS 사용자 등이 있습니다.

각 엔터티의 소스 데이터는 엔터티 속성을 채우는 데에도 사용됩니다. 속성 값은 소스 레코드에서 직접 추출하거나 여러 레코드에서 집계할 수 있습니다.

일부 속성은 단일 스칼라 또는 집계된 값으로 구성됩니다. 예를 들어, EC2 인스턴스의 경우 Detective는 인스턴스 유형과 처리된 총 바이트 수를 추적합니다.

시계열 속성은 시간 경과에 따른 활동을 추적합니다. 예를 들어, EC2 인스턴스의 경우 Detective는 시간이 지남에 따라 사용된 고유 포트를 추적합니다.

관계

관계는 개별 엔터티 간에 발생하는 활동을 나타냅니다. Detective 소스 데이터에서도 관계가 추출됩니다.

엔터티와 마찬가지로 관계에도 유형이 있으며, 이를 통해 관련된 엔터티의 유형과 연결 방향을 식별할 수 있습니다. 관계 유형의 예로는 EC2 인스턴스에 연결하는 IP 주소를 들 수 있습니다.

Detective는 특정 인스턴스에 연결하는 특정 IP 주소와 같은 각 개별 관계에 대해 시간 경과에 따른 발생 상황을 추적합니다.

동작 그래프 데이터 구조의 엔터티 유형

동작 그래프 데이터 구조는 다음을 수행하는 엔터티 및 관계 유형으로 구성됩니다.

  • 사용 중인 서버, IP 주소, 사용자 에이전트 추적

  • 사용 중인 AWS 사용자, 역할 및 계정을 추적합니다.

  • AWS 환경에서 발생하는 네트워크 연결 및 권한 부여 추적

동작 그래프 데이터 구조에는 다음과 같은 엔터티 유형이 포함됩니다.

AWS 계정

AWS Detective 소스 데이터에 있는 계정

Detective는 각 계정에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • 해당 계정은 어떤 API 통화를 사용했나요?

  • 해당 계정에서 사용한 사용자 에이전트는 무엇입니까?

  • 해당 계정을 사용한 자율 시스템 조직 (ASOs) 은 무엇입니까?

  • 해당 계정이 활성화된 지리적 위치는 어디입니까?

AWS 역할

AWS Detective 소스 데이터에 있는 역할

Detective는 각 역할에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • 역할이 사용한 API 통화는 무엇입니까?

  • 해당 역할에서 사용한 사용자 에이전트는 무엇입니까?

  • 어떤 ASOs 역할을 사용했나요?

  • 해당 역할이 활성화된 지리적 위치는 어디입니까?

  • 이 역할을 맡은 리소스는 무엇입니까?

  • 이 역할을 맡은 역할은 무엇입니까?

  • 이 역할과 관련된 역할 세션은 무엇입니까?

AWS 사용자

AWS Detective 소스 데이터에 있는 사용자

Detective는 각 사용자에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • 사용자는 어떤 API 통화를 사용했나요?

  • 해당 사용자가 사용한 사용자 에이전트는 무엇입니까?

  • 해당 사용자가 활성화된 지리적 위치는 어디입니까?

  • 이 사용자를 맡은 역할은 무엇입니까?

  • 이 사용자와 관련된 역할 세션은 무엇입니까?

페더레이션 사용자

페더레이션 사용자의 인스턴스. 페더레이션 사용자의 예는 다음과 같습니다.

  • 보안 어설션 마크업 언어 () 를 사용하여 로그인하는 ID SAML

  • 웹 ID 페더레이션을 사용하여 로그인하는 자격 증명

Detective는 각 페더레이션 사용자에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • 페더레이션 사용자가 인증한 자격 증명 공급자는 무엇입니까?

  • 페더레이션 사용자의 대상은 무엇입니까? 대상은 페더레이션 사용자의 웹 자격 증명 토큰을 요청한 애플리케이션을 식별합니다.

  • 페더레이션 사용자가 활성화된 지리적 위치는 어디입니까?

  • 페더레이션 사용자가 사용한 사용자 에이전트는 무엇입니까?

  • 페더레이션 ASOs 사용자는 무엇을 사용했나요?

  • 이 페더레이션 사용자를 맡은 역할은 무엇입니까?

  • 이 페더레이션 사용자와 관련된 역할 세션은 무엇입니까?

EC2인스턴스

EC2Detective 소스 데이터에 있는 인스턴스

예를 들어, EC2 Detective는 다음과 같은 몇 가지 질문에 답합니다.

  • 인스턴스와 통신한 IP 주소는 무엇입니까?

  • 인스턴스와 통신하는 데 사용된 포트는 무엇입니까?

  • 인스턴스와 주고받은 데이터의 양은 얼마입니까?

  • VPC인스턴스에는 무엇이 들어 있나요?

  • EC2인스턴스에서 어떤 API 호출을 사용했나요?

  • EC2인스턴스에서 어떤 사용자 에이전트를 사용했나요?

  • EC2인스턴스에서 무엇을 ASOs 사용했나요?

  • EC2인스턴스가 활성화된 지리적 위치는 어디입니까?

  • EC2인스턴스는 어떤 역할을 맡았나요?

역할 세션

역할을 수임하고 있는 리소스의 인스턴스. 각 역할 세션은 역할 식별자와 세션 이름으로 식별됩니다.

Detective는 각 역할에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • 이 역할 세션에 참여한 리소스는 무엇입니까? 즉, 어떤 역할을 맡았고, 어떤 리소스가 해당 역할을 맡았습니까?

    단, 크로스 계정 역할 수임에서는 Detective에서 역할을 맡은 리소스를 식별할 수 없습니다.

  • 역할 세션에서 사용한 API 호출은 무엇입니까?

  • 해당 역할 세션에서 사용한 사용자 에이전트는 무엇입니까?

  • 역할 ASOs 세션은 무엇을 사용했나요?

  • 해당 역할 세션이 활성화된 지리적 위치는 어디입니까?

  • 이 역할 세션을 시작한 사용자 또는 역할은 무엇입니까?

  • 이 역할 세션을 시작한 역할 세션은 무엇입니까?

결과

GuardDuty Amazon에서 발견한 결과를 Detective 소스 데이터에 반영합니다.

각 조사 결과에 대해 Detective는 조사 결과 유형, 출처 및 조사 결과 활동의 기간을 추적합니다.

또한 탐지된 활동과 관련된 역할 또는 IP 주소와 같은 조사 결과와 관련된 정보도 저장합니다.

IP 주소

Detective 소스 데이터에 있는 IP 주소.

Detective는 각 IP 주소에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • 해당 주소는 어떤 API 통화를 사용했나요?

  • IP 주소가 사용한 포트는 무엇입니까?

  • IP 주소가 사용한 사용자 및 사용자 에이전트는 무엇입니까?

  • 해당 IP 주소가 활성화된 지리적 위치는 어디입니까?

  • 이 IP 주소는 어떤 EC2 인스턴스에 할당되고 통신되었습니까?

S3 버킷

Detective 소스 데이터에 있는 S3 버킷

Detective는 각 S3 버킷에 대해 다음과 같은 몇 가지 질문에 답변합니다.

  • S3 버킷과 상호 작용한 보안 주체는 무엇입니까?

  • S3 버킷에 어떤 API 호출이 걸렸습니까?

  • 보안 주체가 S3 버킷으로 API 전화를 건 지리적 위치는 어디입니까?

  • S3 버킷과 상호 작용하는 데 사용된 사용자 에이전트는 무엇입니까?

  • S3 버킷과 상호 작용하는 데 ASOs 사용된 것은 무엇입니까?

S3 버킷을 삭제한 다음 같은 이름으로 새 버킷을 만들 수 있습니다. Detective는 S3 버킷 이름을 사용하여 S3 버킷을 식별하므로 이를 단일 S3 버킷 엔터티로 취급합니다. 엔터티 프로필에서 생성 시간은 첫 번째 생성 시간입니다. 삭제 시간은 가장 최근의 삭제 시간입니다.

모든 생성 및 삭제 이벤트를 보려면 생성 시간부터 시작하고 삭제 시간까지 종료되도록 범위 시간을 설정합니다. 전체 API 통화량 프로필 패널에 범위 시간에 대한 활동 세부 정보를 표시합니다. 표시할 API Create 메서드와 메서드를 필터링합니다. Delete 전체 API 통화 볼륨에 대한 활동 세부 정보을 참조하세요.

사용자 에이전트

Detective 소스 데이터에 있는 사용자 에이전트.

Detective는 각 사용자 에이전트에 대해 다음과 같은 질문에 답변합니다.

  • 유저 에이전트는 어떤 API 통화를 사용했나요?

  • 사용자 에이전트가 사용한 사용자 및 역할은 무엇입니까?

  • 사용자 에이전트가 사용한 IP 주소는 무엇입니까?

EKS클러스터

EKSDetective 소스 데이터에 있는 클러스터

참고

이 엔티티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 선택적 데이터 소스를 참조하세요.

각 EKS 클러스터에 대해 Detective는 다음과 같은 질문에 답합니다.

  • 이 클러스터에서 어떤 Kubernetes API 호출이 실행되었나요?

  • 이 클러스터에서 활성화된 Kubernetes 사용자 및 서비스 계정(보안 주체)은 무엇입니까?

  • 이 클러스터에서 시작된 컨테이너는 무엇입니까?

  • 이 클러스터에서 컨테이너를 시작하는 데 사용되는 이미지는 무엇입니까?

Kubernetes 포드

Detective 소스 데이터에 있는 Kubernetes 포드.

참고

이 엔티티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 선택적 데이터 소스를 참조하세요.

Detective는 각 포드에 대해 다음과 같은 질문에 답변합니다.

  • 내 계정에서 흔히 볼 수 있는 이 포드의 컨테이너 이미지는 무엇입니까?

  • 이 포드에는 지시되는 활동은 무엇입니까?

  • 이 포드에서 실행되는 컨테이너는 무엇입니까?

  • 이 포드에 있는 컨테이너의 레지스트리를 내 계정에서 흔히 볼 수 있습니까?

  • 워크로드의 다른 포드에서 실행 중인 다른 컨테이너는 무엇입니까?

  • 이 포드에는 워크로드의 다른 포드에는 없는 변칙 컨테이너가 있습니까?

컨테이너 이미지

Detective 소스 데이터에 있는 컨테이너 이미지.

참고

이 엔티티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 선택적 데이터 소스를 참조하세요.

Detective는 각 컨테이너 이미지에 대해 다음과 같은 질문에 답변합니다.

  • 내 환경에서 이 이미지와 동일한 리포지토리 또는 레지스트리를 공유하는 다른 이미지는 무엇입니까?

  • 내 환경에서 실행 중인 이 이미지의 복사본은 몇 개입니까?

Kubernetes 객체

Detective 소스 데이터에 있는 Kubernetes 객체. Kubernetes 객체는 사용자 또는 서비스 계정입니다.

참고

이 엔티티 유형에 대한 전체 세부 정보를 보려면 선택적 EKS 감사 로그 데이터 소스를 활성화해야 합니다. 자세한 내용은 선택적 데이터 소스를 참조하세요.

Detective는 각 객체에 대해 다음과 같은 질문에 답변합니다.

  • 어떤 IAM 주체가 이 주제로 인증되었나요?

  • 이 객체와 관련된 조사 결과는 무엇입니까?

  • 해당 객체가 사용하는 IP 주소는 무엇입니까?