아마존 디텍티브 조사 흐름

Amazon Detective를 사용하여 EC2 인스턴스 또는 사용자와 같은 개체를 조사할 수 있습니다. AWS 보안 조사 결과를 조사할 수도 있습니다.

다음 이미지는 Detective Investorage의 프로세스를 개괄적으로 보여줍니다.

1단계: 조사할 엔터티 선택

분석 결과를 살펴볼 때 분석가는 GuardDuty Detective에서 관련 개체를 조사하도록 선택할 수 있습니다. 기업 프로필로 전환하거나 GuardDuty Amazon에서 개요를 찾거나 AWS Security Hub 섹션을 참조하십시오.

엔터티를 선택하면 Detective의 엔터티 프로필로 이동합니다.

2단계: 프로필의 시각화 분석

각 엔터티 프로필에는 동작 그래프에서 생성된 시각화 세트가 포함되어 있습니다. 동작 그래프는 Detective에 입력되는 로그 파일 및 기타 데이터에서 생성됩니다.

시각화는 엔터티와 관련된 활동을 보여줍니다. 이러한 시각화를 사용하여 질문에 답하고 엔터티 활동이 비정상적인지 여부를 확인할 수 있습니다. Amazon Detective의 개체 분석 섹션을 참조하십시오.

각 시각화에 제공된 Detective 지침을 사용하면 조사를 안내하는 데 도움이 됩니다. 이 지침은 표시된 정보를 간략하게 설명하고, 질문할 질문을 제안하고, 답변을 기반으로 다음 단계를 제안합니다. 조사 중 프로필 패널 지침 사용 섹션을 참조하십시오.

각 프로필에는 관련 결과 조사 결과가 포함되어 있습니다. 조사 결과에 대한 세부 정보 및 조사 결과 개요를 볼 수 있습니다. 관련 조사 결과 세부 정보 보기 섹션을 참조하십시오.

엔터티 프로필에서 다른 엔터티 및 조사 결과 프로필로 피벗하여 관련 자산의 활동을 더 자세히 조사할 수 있습니다.

3단계: 작업 수행

조사 결과에 따라 적절한 조치를 취합니다.

조사 결과가 거짓 긍정인 경우 조사 결과를 보관할 수 있습니다. Detective에서 결과를 보관할 GuardDuty 수 있습니다. 아마존 GuardDuty 검색 결과 보관하기 섹션을 참조하십시오.

그렇지 않으면 적절한 조치를 취해 취약성을 해결하고 피해를 줄일 수 있습니다. 예를 들어 리소스 구성을 업데이트해야 할 수 있습니다.