기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조사 결과 그룹 분석
Amazon Detective 조사 결과 그룹을 사용하면 잠재적 보안 이벤트와 관련된 여러 활동을 검사할 수 있습니다. Amazon Detective의 결과 그룹은 Detective가 동일한 잠재적 보안 인시던트와 관련이 있음을 암시하는 여러 결과 간의 패턴 또는 관계를 탐지할 때 생성됩니다. 이 그룹화는 관련 조사 결과를 보다 효율적으로 관리하고 조사하는 데 도움이 됩니다.
결과 그룹을 사용하여 심각도가 높은 GuardDuty 결과에 대한 근본 원인을 분석할 수 있습니다. 위협 행위자가 AWS 환경을 손상시키려는 경우 일반적으로 여러 보안 조사 결과 및 비정상적인 행동으로 이어지는 일련의 작업을 수행합니다. 이러한 동작은 시간 및 엔터티 전반에 걸쳐 발생하는 경우가 많습니다. 보안 조사 결과를 개별적으로 조사하면 해당 중요성이 잘못 해석되어 근본 원인을 찾는 데 어려움이 있을 수 있습니다. Amazon Detective는 조사 결과와 엔터티 간의 관계를 추론하고 이들을 그룹화하는 그래프 분석 기법을 적용하여 이 문제를 해결합니다. 관련 엔터티 및 조사 결과를 조사하기 위한 출발점으로 조사 결과 그룹을 처리하는 것이 좋습니다.
Detective는 조사 결과의 데이터를 분석하고 공유 리소스를 기반으로 관련될 가능성이 있는 다른 조사 결과와 그룹화합니다. 예를 들어, 동일한 IAM 역할 세션에서 수행되거나 동일한 IP 주소에서 시작된 작업과 관련된 조사 결과는 동일한 기본 활동의 일부일 가능성이 매우 높습니다. Detective가 식별한 연관성이 관련 없더라도 그룹으로 조사 결과와 증거를 조사하는 것이 중요합니다.
결과 그룹은 다음 기준에 따라 생성됩니다.
-
시간적 근접성 - 가까운 기간 내에 발생하는 결과는 동일한 인시던트와 관련이 있을 가능성이 높기 때문에 종종 함께 그룹화됩니다.
-
일반 엔터티 - IP 주소, 사용자 또는 리소스와 같은 동일한 엔터티와 관련된 결과는 함께 그룹화됩니다. 이렇게 하면 환경의 여러 부분에서 인시던트의 범위를 이해하는 데 도움이 됩니다.
-
패턴 및 행동 - Detective는 유사한 유형의 공격 또는 의심스러운 활동과 같은 조사 결과의 패턴 및 행동을 분석하여 관계를 결정하고 그에 따라 그룹화합니다.
-
전술, 기법 및 절차(TTPs) - MITRE ATT&CK와 같은 프레임워크에 설명된 TTPs것과 유사한 를 공유하는 결과는 조정된 잠재적 공격을 강조하기 위해 함께 그룹화됩니다.
이러한 기준은 조사 프로세스를 간소화하는 데 도움이 되므로 동일한 보안 인시던트를 나타낼 수 있는 상관관계가 있는 조사 결과에 집중할 수 있습니다.
조사 결과 외에도 각 그룹에는 조사 결과와 관련된 엔터티가 포함됩니다. 엔터티에는 IP 주소 또는 사용자 에이전트 AWS 와 같은 외부 리소스가 포함될 수 있습니다.
참고
다른 GuardDuty 조사 결과와 관련된 초기 조사 결과가 발생하면 모든 관련 조사 결과와 모든 관련 엔터티가 있는 조사 결과 그룹이 48시간 이내에 생성됩니다.
