Amazon Detective란 무엇인가요?

탐지 결과 그룹을 사용하면 잠재적 보안 이벤트와 관련된 여러 활동을 검사할 수 있습니다. 결과 그룹을 사용하여 심각도가 높은 GuardDuty 결과에 대한 근본 원인을 분석할 수 있습니다. 위협 행위자가 AWS 환경을 손상시키려는 경우 일반적으로 여러 보안 조사 결과와 비정상적인 행동을 생성하는 일련의 작업을 수행합니다.

Detective의 결과 그룹 페이지에는 동작 그래프에서 추출된 모든 관련 결과 그룹이 표시됩니다. 조사 결과 그룹을 활용하여 보안 조사 결과의 근본 원인을 분석하는 방법에 대한 자세한 내용은 Detective의 조사 결과 그룹 분석을 참조하세요.

Detective는 각 결과 그룹에 대한 대화형 시각화를 제공하여 보안 문제를 더 빠르고 철저하게 조사하는 데 도움이 됩니다. 시각화는 보안 인시던트와 관련된 엔터티와 조사 결과를 표시하도록 설계되어 연결 및 근본 원인을 더 쉽게 이해할 수 있습니다. 는 적은 노력으로 문제를 더 빠르고 철저하게 조사할 수 있도록 도와줍니다. 조사 결과 그룹 시각화 패널에는 조사 결과 그룹과 관련된 조사 결과 및 개체가 표시됩니다.

Detective Investigation를 사용하면 침해 지표를 사용하여 IAM 사용자와 IAM 역할을 조사할 수 있으며, 이는 리소스가 보안 인시던트에 관여하고 있는지 확인하는 데 도움이 될 수 있습니다. 침해 지표(IOC)는 네트워크, 시스템 또는 환경에서 (높은 수준의 신뢰도로) 악성 활동 또는 보안 인시던트를 식별할 수 있는 아티팩트입니다. Detective 조사를 사용하면 효율성을 극대화하고, 보안 위협에 집중하고, 발생률 대응 기능을 강화할 수 있습니다.

Detective Investigation는 기계 학습 모델과 위협 인텔리전스를 사용하여 가장 중요하고 의심스러운 문제만 표시하므로 상위 수준의 조사에 집중할 수 있습니다. 환경의 리소스를 자동으로 분석 AWS 하여 침해 또는 의심스러운 활동의 잠재적 지표를 식별합니다. 이를 통해 패턴을 식별하고 보안 이벤트의 영향을 받는 리소스를 파악하여 위협 식별 및 완화에 대한 사전 예방적인 접근 방식을 제공할 수 있습니다.

Detective 조사 를 실행하여 Detective 콘솔에서 Detective 조사 시작 을 사용할 수 있습니다. 프로그래밍 방식으로 조사를 실행하려면 Detective 의 StartInvestigation 작업을 사용합니다API. AWS Command Line Interface (AWS CLI)를 사용하여 조사를 실행하려면 start-investigation 명령을 실행합니다.

Detective는 Amazon Security Lake 와 통합되므로 Security Lake에 저장된 원시 로그 데이터를 쿼리하고 검색할 수 있습니다. 이 통합을 통해 Security Lake가 기본적으로 지원하는 다음 소스에서 로그와 이벤트를 수집할 수 있습니다.

Detective를 Security Lake와 통합한 후 Detective는 AWS CloudTrail 관리 이벤트 및 Amazon VPC Flow Logs와 관련된 Security Lake에서 원시 로그를 가져오기 시작합니다. 원시 로그를 쿼리하여 Detective에서 로그와 이벤트를 볼 수 있습니다.

Detective를 사용하면 Amazon Elastic Compute Cloud(AmazonVPC) 인스턴스 및 Kubernetes 포드의 가상 프라이빗 클라우드() 네트워크 흐름의 활동 세부 정보를 대화형으로 검사할 수 있습니다. EC2 Detective는 모니터링된 계정에서 VPC 흐름 로그를 자동으로 수집하고 인스턴스별로 집계EC2하며 이러한 네트워크 흐름에 대한 시각적 요약 및 분석을 제공합니다.

EC2 인스턴스의 경우 전체 VPC 흐름 볼륨에 대한 활동 세부 정보는 선택한 시간 범위 동안 EC2 인스턴스와 IP 주소 간의 상호 작용을 보여줍니다.

Kubernetes 포드의 경우 전체 VPC 흐름 볼륨은 모든 대상 IP 주소에 대해 Kubernetes 포드의 할당된 IP 주소 안팎의 전체 바이트 볼륨을 표시합니다.

AWS Management Console 는 리소스를 생성하고 관리하는 AWS 데 사용할 수 있는 브라우저 기반 인터페이스입니다. 해당 콘솔의 일부로 Amazon Detective 콘솔은 Detective 계정, 데이터 및 리소스에 대한 액세스를 제공합니다. Detective 콘솔을 사용하여 모든 Detective 작업을 수행할 수 있습니다. 즉, 잠재적 보안 위협을 검토하고 보안 조사 결과의 근본 원인을 분석, 조사 및 식별할 수 있습니다.

AWS 명령줄 도구를 사용하면 시스템의 명령줄에서 명령을 실행하여 Detective 작업 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS 는 AWS Command Line Interface (AWS CLI)와 의 두 가지 명령줄 도구 세트를 제공합니다 AWS Tools for PowerShell. 설치 및 사용에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서 섹션을 AWS CLI참조하세요. 용 도구 설치 및 사용에 대한 자세한 내용은 AWS Tools for PowerShell 사용 설명서 섹션을 PowerShell참조하세요.

AWS 는 Java, Go, Python, C++ 및 와 같은 다양한 프로그래밍 언어 및 플랫폼의 라이브러리 및 샘플 코드로 SDKs 구성된 를 제공합니다NET. 는 Detective 및 기타 에 대한 편리하고 프로그래밍 방식의 액세스를 SDKs 제공합니다 AWS 서비스. SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 포함합니다. 설치 및 사용에 대한 자세한 내용은 에서 빌드할 도구를 AWS AWS SDKs참조하세요.

Amazon Detective는 Detective 계정, 데이터 및 리소스에 대한 포괄적이고 프로그래밍 방식의 액세스를 REST API 제공합니다. 이 를 사용하면 Detective에 직접 HTTPS 요청을 보낼 API수 있습니다. 그러나 AWS 명령줄 도구 및 와 달리 를 SDKs사용하려면 API 애플리케이션이 요청에 서명하기 위한 해시 생성과 같은 하위 수준의 세부 정보를 처리해야 합니다. 이 에 대한 자세한 내용은 Detective API 참조 를 API참조하세요.

AWS Security Hub 는 AWS 리소스의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례를 기준으로 AWS 환경을 확인하는 데 도움이 됩니다. 이는 여러 AWS 서비스 (Detective 포함) 및 지원되는 AWS Partner Network(APN) 제품의 보안 조사 결과를 부분적으로 소비, 집계, 구성 및 우선 순위를 지정하여 수행됩니다. Security Hub를 사용하면 보안 추세를 분석하고 AWS 환경 전체에서 가장 우선 순위가 높은 보안 문제를 식별할 수 있습니다.

에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.

Amazon GuardDuty 은 Amazon S3에 대한 AWS CloudTrail 데이터 이벤트 AWS 로그 및 CloudTrail 관리 이벤트 로그와 같은 특정 유형의 로그를 분석하고 처리하는 보안 모니터링 서비스입니다. 악성 IP 주소 및 도메인 목록, 기계 학습과 같은 위협 인텔리전스 피드를 사용하여 AWS 환경 내에서 예기치 않고 잠재적으로 승인되지 않은 악성 활동을 식별합니다.

에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서 섹션을 GuardDuty참조하세요.

Amazon Security Lake는 완전 관리형 보안 데이터 레이크 서비스입니다. Security Lake를 사용하여 AWS 환경, SaaS 공급자, 온프레미스 소스, 클라우드 소스 및 타사 소스의 보안 데이터를 AWS 계정에 저장된 전용 데이터 레이크로 자동으로 중앙 집중화할 수 있습니다. Security Lake를 사용하면 보안 데이터를 분석할 수 있으므로 조직 전체의 보안 상태를 더 완벽하게 이해할 수 있습니다. Security Lake를 사용하면 워크로드, 애플리케이션 및 데이터에 대한 보호도 개선할 수 있습니다.

Security Lake에 대한 자세한 내용은 Amazon Security Lake 사용 설명서 섹션을 참조하세요. Detective와 Security Lake를 함께 사용하는 방법에 대한 자세한 내용은 섹션을 참조하세요Amazon Security Lake와 Amazon Detective 통합.