조사 결과 그룹 페이지 이해 - Amazon Detective

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조사 결과 그룹 페이지 이해

결과 그룹 페이지에는 동작 그래프에서 Amazon Detective가 수집한 모든 결과 그룹이 나열됩니다. 결과 그룹의 다음 속성을 기록해 둡니다.

그룹의 심각도

각 결과 그룹에는 관련 조사 결과의 AWS 보안 조사 결과 형식(ASFF) 심각도를 기반으로 심각도가 할당됩니다. ASFF 조사 결과 심각도 값은 심각함 , 높음 , 중간 , 낮음 또는 가장 심각함에서 가장 덜 심각함까지 정보 제공입니다. 그룹화의 심각도는 해당 그룹의 조사 결과 중에서 가장 높은 심각도 조사 결과와 같습니다.

다수의 엔터티에 영향을 미치는 심각 또는 높은 심각도 조사 결과로 구성된 그룹은 영향력이 큰 보안 문제를 나타낼 가능성이 높으므로 조사 우선 순위를 지정해야 합니다.

그룹 제목

제목 열에서 각 그룹에는 고유한 ID와 고유하지 않은 제목이 있습니다. 이는 그룹의 ASFF 유형 네임스페이스와 클러스터의 해당 네임스페이스 내 조사 결과 수를 기반으로 합니다. 예를 들어 그룹화에 (TTP2), 효과(1) 및 이상 동작(2)이 있는 그룹이라는 제목이 있는 경우 TTP 네임스페이스의 두 가지 조사 결과, 효과 네임스페이스의 한 가지 조사 결과, 이상 동작 네임스페이스의 두 가지 조사 결과로 구성된 총 5개의 조사 결과가 포함됩니다. 네임스페이스의 전체 목록은 에 대한 유형 분류를 참조하세요ASFF.

그룹 내 전술

그룹의 전술 열에는 해당 활동이 속하는 전술 범주가 자세히 나와 있습니다. 다음 목록의 전술, 기법 및 절차 범주는 MITRE ATT&CK 행렬 과 일치합니다.

체인에서 전술을 선택하여 전술에 대한 설명을 볼 수 있습니다. 체인 다음에는 그룹 내에서 탐지된 전술 목록이 있습니다. 이러한 범주와 이들이 일반적으로 나타내는 활동은 다음과 같습니다.

  • 초기 액세스 - 공격자가 다른 사람의 네트워크에 침입하려고 합니다.

  • 실행 - 공격자가 다른 사람의 네트워크에 침입하려고 합니다.

  • 지속성 - 공격자가 거점을 유지하려고 합니다.

  • 권한 에스컬레이션 - 공격자가 더 높은 수준의 권한을 얻으려고 합니다.

  • 방어 회피 - 공격자가 탐지를 피하려고 합니다.

  • 보안 인증 정보 액세스 - 공격자가 계정 이름과 암호를 도용하려고 합니다.

  • 검색 - 공격자가 환경을 이해하고 알아내려고 합니다.

  • 측면 이동 - 공격자가 환경을 통해 이동하려고 합니다.

  • 수집 - 공격자가 목표를 달성하기 위해 관심 있는 데이터를 수집하려고 합니다.

  • 명령 및 제어 - 공격자가 다른 사람의 네트워크에 침입하려고 합니다.

  • 유출 - 공격자가 데이터를 훔치려고 합니다.

  • 영향 - 공격자가 시스템과 데이터를 조작, 방해 또는 파괴하려고 합니다.

  • 기타 - 매트릭스에 나열된 전술과 일치하지 않는 조사 결과로 인한 활동을 나타냅니다.

그룹 내 엔터티

엔터티 열에는 이 그룹 내에서 탐지된 특정 엔터티에 대한 세부 정보가 들어 있습니다. ID, 네트워크, 스토리지, 컴퓨팅 등의 범주를 기준으로 엔터티를 분류하려면 이 값을 선택합니다. 각 범주에 속하는 엔터티의 예는 다음과 같습니다.

  • 자격 증명 - 사용자 및 역할과 AWS 계정같은 보안 IAM 주체 및

  • 네트워크 - IP 주소 또는 기타 네트워킹 및 VPC 엔터티

  • 스토리지 - Amazon S3 버킷 또는 DDBs

  • Amazon EC2 인스턴스 또는 Kubernetes 컨테이너 계산

그룹 내 계정

계정 열은 그룹의 조사 결과와 관련된 엔터티를 소유한 AWS 계정을 알려줍니다. AWS 계정은 이름 및 AWS ID별로 나열되므로 중요한 계정과 관련된 활동에 대한 조사의 우선 순위를 지정할 수 있습니다.

그룹 내 조사 결과

조사 결과 열에는 심각도별로 그룹 내 엔터티가 나열되어 있습니다. 조사 결과에는 Amazon GuardDuty 조사 결과, Amazon Inspector 조사 결과, AWS 보안 조사 결과 및 Detective의 증거가 포함됩니다. 그래프를 선택하여 심각도별로 정확한 조사 결과 수를 확인할 수 있습니다.

GuardDuty 조사 결과는 Detective 코어 패키지의 일부이며 기본적으로 수집됩니다. Security Hub에서 집계한 다른 모든 AWS 보안 조사 결과는 선택적 데이터 소스로 수집됩니다. 자세한 내용은 동작 그래프에 사용된 소스 데이터를 참조하세요.