보안 팀 예제: Security Hub 자동화 규칙 생성 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 팀 예제: Security Hub 자동화 규칙 생성

보안 팀은 Amazon 조사 결과를 포함하여 위협 탐지와 관련된 GuardDuty 조사 결과를 받습니다. AWS 리소스 유형별로 분류된 GuardDuty 검색 결과 유형의 전체 목록은 GuardDuty 설명서의 검색 유형을 참조하십시오. 보안 팀은 이러한 모든 검색 유형을 잘 알고 있어야 합니다.

이 예시에서 보안팀은 중요하거나 민감한 데이터는 포함하지 않고 학습 목적으로만 사용되는 보안 탐지 결과에 대한 관련 위험 수준을 수용하고 있습니다. AWS 계정 이 계정의 이름은 sandbox 이고 계정 ID는 입니다123456789012. 보안팀은 이 계정에서 GuardDuty 발견된 모든 결과를 차단하는 AWS Security Hub 자동화 규칙을 만들 수 있습니다. 템플릿에서 여러 일반적인 사용 사례를 다루는 규칙을 만들거나 사용자 지정 규칙을 만들 수 있습니다. Security Hub에서는 기준 결과를 미리 보고 규칙이 의도한 결과를 반환하는지 확인하는 것이 좋습니다.

참고

이 예제에서는 자동화 규칙의 기능을 중점적으로 설명합니다. 계정에 대한 모든 GuardDuty 검색 결과를 표시하지 않는 것이 좋습니다. 컨텍스트가 중요하므로 각 조직은 데이터 유형, 분류 및 완화 통제에 따라 숨길 결과를 선택해야 합니다.

이 자동화 규칙을 만드는 데 사용되는 매개 변수는 다음과 같습니다.

  • 규칙:

    • 규칙 이름은 Suppress findings from Sandbox account

    • 규칙 설명은 다음과 같습니다. Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

  • 기준:

    • AwsAccountId = 123456789012

    • ProductName = GuardDuty

    • WorkflowStatus = NEW

    • RecordState = ACTIVE

  • 자동 조치:

    • Workflow.statusSUPPRESSED일 시

자세한 내용은 Security Hub 설명서의 자동화 규칙을 참조하십시오. 보안팀은 탐지된 위협에 대한 조사 결과를 조사하고 수정할 수 있는 다양한 옵션을 제공합니다. 광범위한 지침은 AWS 보안 사고 대응 가이드를 참조하십시오. 이 가이드를 검토하여 강력한 사고 대응 프로세스를 수립했는지 확인하는 것이 좋습니다.