1단계: AWS 보안 인시던트 대응 활성화

AWS 보안 인시던트 대응를 활성화하려면

1. 관리 계정을 사용하여 AWS Management Console에 로그인합니다.

2. AWS 보안 인시던트 대응 콘솔을 열고 가입을 선택합니다.

   

3. 보안 도구 계정을 위임된 관리자로 지정합니다.

   • 지침은 AWS 권장 가이드 및 위임된 관리자의 보안 참조 아키텍처를 참조하세요.

   

4. 위임된 관리자 계정에 로그인하기

5. 멤버십 세부 정보를 입력하고 관련 계정을 연결합니다.

6. 계정 범위에서 전체 AWS 조직 또는 특정 OU에 대해 AWS 보안 인시던트 대응를 활성화합니다. OU 수준에서는 적용 범위를 선택할 수 있지만 개별 계정 수준에서는 선택할 수 없습니다.

7. 선제적 대응에서 설정이 활성화되어 있는지 확인합니다. 선제적 대응은 기본적으로 활성화되어 있고 이를 통해 AWS SIRT가 GuardDuty 조사 결과를 수집하고 위협이 탐지될 때 선제적 조사 사례를 열 수 있는 서비스 연결 역할이 생성됩니다. 자세한 내용은 선제적 대응을 참조하세요.

   중요

   서비스 연결 역할은 관리 계정에 자동으로 배포되지 않습니다. 수동으로 구성해야 전체 범위가 적용됩니다. 지침은 선제적 대응 및 알림 분류 워크플로 설정 섹션을 참조하세요.

8. (선택 사항) 선택하면 활성 인시던트 발생 시 AWS SIRT가 사용자를 대신하여 격리 작업을 수행하도록 사전 승인합니다. 지원되는 격리 작업에는 손상된 S3 버킷, EC2 인스턴스 및 IAM 보안 주체에 대한 런북이 포함됩니다. 이 단계를 건너뛰면 SIRT는 조사 도중 수동 지침을 제공합니다. 자세한 내용은 격리 작업을 참조하세요.

9. 서비스 권한 및 온보딩 구성을 검토한 다음 가입을 선택합니다.