조사 결과 그룹 분석 - Amazon Detective
조사 결과 그룹 페이지 이해조사 결과 그룹에 대한 정보용 조사 결과조사 결과 그룹 프로필조사 결과 그룹 시각화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조사 결과 그룹 분석

Amazon Detective 조사 결과 그룹을 사용하면 잠재적 보안 이벤트와 관련된 여러 활동을 검사할 수 있습니다. 그룹 검색을 사용하여 심각도가 높은 GuardDuty 결과의 근본 원인을 분석할 수 있습니다. 위협 행위자가 AWS 환경을 손상시키려고 시도하는 경우 일반적으로 여러 보안 탐지 결과 및 비정상적인 동작으로 이어지는 일련의 조치를 취합니다. 이러한 동작은 시간 및 엔터티 전반에 걸쳐 발생하는 경우가 많습니다. 보안 조사 결과를 개별적으로 조사하면 해당 중요성이 잘못 해석되어 근본 원인을 찾는 데 어려움이 있을 수 있습니다. Amazon Detective는 조사 결과와 엔터티 간의 관계를 추론하고 이들을 그룹화하는 그래프 분석 기법을 적용하여 이 문제를 해결합니다. 관련 엔터티 및 조사 결과를 조사하기 위한 출발점으로 조사 결과 그룹을 처리하는 것이 좋습니다.

Detective는 조사 결과의 데이터를 분석하고 공유 리소스를 기반으로 관련될 가능성이 있는 다른 조사 결과와 그룹화합니다. 예를 들어, 동일한 IAM 역할 세션에서 취하거나 동일한 IP 주소에서 발생한 조치와 관련된 조사 결과는 동일한 기본 활동의 일부일 가능성이 큽니다. Detective가 식별한 연관성이 관련 없더라도 그룹으로 조사 결과와 증거를 조사하는 것이 중요합니다.

조사 결과 외에도 각 그룹에는 조사 결과와 관련된 엔터티가 포함됩니다. 엔티티에는 IP 주소 또는 사용자 에이전트와 AWS 같은 외부 리소스가 포함될 수 있습니다.

참고

다른 GuardDuty 검색 결과와 관련된 초기 검색 결과가 발생한 후 48시간 이내에 모든 관련 검색 결과 및 모든 관련 개체가 포함된 검색 결과 그룹이 생성됩니다.

조사 결과 그룹 페이지 이해

조사 결과 그룹 페이지에는 Amazon Detective가 동작 그래프에서 수집한 모든 조사 결과 그룹이 나열됩니다. 조사 결과 그룹의 다음 속성을 참고하세요.

그룹의 심각도

각 검색 결과 그룹에는 관련 검색 결과의 ASFF ( AWS 보안 검색 결과 형식) 심각도에 따라 심각도가 할당됩니다. ASFF 조사 결과 심각도 값은 가장 높은 심각도부터 가장 낮은 심각도 순으로 심각, 높음, 중간, 낮음 또는 정보용입니다. 그룹화의 심각도는 해당 그룹의 조사 결과 중에서 가장 높은 심각도 조사 결과와 같습니다.

다수의 엔터티에 영향을 미치는 심각 또는 높은 심각도 조사 결과로 구성된 그룹은 영향력이 큰 보안 문제를 나타낼 가능성이 높으므로 조사 우선 순위를 지정해야 합니다.

그룹 제목

제목 열에서 각 그룹에는 고유한 ID와 고유하지 않은 제목이 있습니다. 이는 그룹의 ASFF 유형 네임스페이스와 클러스터의 해당 네임스페이스 내 조사 결과 수를 기반으로 합니다. 예를 들어 그룹화 제목이 TTP(2), 효과(1), 비정상 동작(2)인 그룹인 경우 TTP 네임스페이스의 조사 결과 2개, 효과 네임스페이스의 조사 결과 1개, 비정상 동작 네임스페이스의 조사 결과 2개로 구성된 총 5개의 조사 결과가 포함됩니다. 네임스페이스의 전체 목록은 ASFF의 유형 분류를 참조하세요.

그룹 내 전술

그룹의 전술 열에는 해당 활동이 속하는 전술 범주가 자세히 나와 있습니다. 다음 목록의 전술, 기법 및 절차 범주는 MITRE ATT&CK matrix와 일치합니다.

체인에서 전술을 선택하면 해당 전술에 대한 설명과 해당 범주에 속하는 그룹 내 조사 결과를 확인할 수 있습니다. 체인 다음에는 그룹 내에서 탐지된 전술 목록이 있습니다. 이러한 범주와 이들이 일반적으로 나타내는 활동은 다음과 같습니다.

  • 초기 액세스 - 공격자가 다른 사람의 네트워크에 침입하려고 합니다.

  • 실행 - 공격자가 다른 사람의 네트워크에 침입하려고 합니다.

  • 지속성 - 공격자가 거점을 유지하려고 합니다.

  • 권한 에스컬레이션 - 공격자가 더 높은 수준의 권한을 얻으려고 합니다.

  • 방어 회피 - 공격자가 탐지를 피하려고 합니다.

  • 자격 증명 액세스 - 공격자가 계정 이름과 암호를 도용하려고 합니다.

  • 검색 - 공격자가 환경을 이해하고 알아내려고 합니다.

  • 측면 이동 - 공격자가 환경을 통해 이동하려고 합니다.

  • 수집 - 공격자가 목표를 달성하기 위해 관심 있는 데이터를 수집하려고 합니다.

  • 명령 및 제어 - 공격자가 다른 사람의 네트워크에 침입하려고 합니다.

  • 수집 - 공격자가 목표를 달성하기 위해 관심 있는 데이터를 수집하려고 합니다.

  • 유출 - 공격자가 데이터를 훔치려고 합니다.

  • 영향 - 공격자가 시스템과 데이터를 조작, 방해 또는 파괴하려고 합니다.

  • 기타 - 매트릭스에 나열된 전술과 일치하지 않는 조사 결과로 인한 활동을 나타냅니다.

그룹 내 엔터티

엔터티 열에는 이 그룹 내에서 탐지된 특정 엔터티에 대한 세부 정보가 들어 있습니다. ID, 네트워크, 스토리지, 컴퓨팅 등의 범주를 기준으로 엔티티를 분류하려면 이 값을 선택합니다. 각 범주에 속하는 엔티티의 예는 다음과 같습니다.

  • ID — IAM 보안 주체 및 (예: 사용자 및 AWS 계정역할)

  • 네트워크 - IP 주소 또는 기타 네트워킹 및 VPC 엔티티

  • 스토리지 - Amazon S3 버킷 또는 DDB

  • 컴퓨팅 - Amazon EC2 인스턴스 또는 Kubernetes 컨테이너

그룹 내 계정

Accounts 열에는 그룹 내 조사 결과와 관련된 엔티티를 소유한 AWS 계정이 표시됩니다. 계정은 이름 및 AWS ID별로 나열되므로 중요한 AWS 계정과 관련된 활동에 대한 조사의 우선 순위를 정할 수 있습니다.

그룹 내 조사 결과

조조사 결과 열에는 심각도별로 그룹 내 엔터티가 나열되어 있습니다. 조사 결과에는 아마존 GuardDuty 조사 결과, Amazon Inspector 조사 결과, AWS 보안 조사 결과 및 Detective의 증거가 포함됩니다. 그래프를 선택하여 심각도별로 정확한 조사 결과 수를 확인할 수 있습니다.

GuardDuty 검색 결과는 Detective 코어 패키지의 일부이며 기본적으로 수집됩니다. Security Hub에서 집계한 다른 모든 AWS 보안 결과는 선택적 데이터 원본으로 수집됩니다. 자세한 내용은 동작 그래프에 사용된 소스 데이터를 참조하세요.

조사 결과 그룹에 대한 정보용 조사 결과

Amazon Detective는 지난 45일 이내에 수집된 동작 그래프의 데이터를 기반으로 조사 결과 그룹과 관련된 추가 정보를 식별합니다. Detective는 이 정보를 정보용 심각도가 포함된 조사 결과로 제시합니다. 증거는 조사 결과 그룹 내에서 볼 때 잠재적으로 의심스러울 수 있는 특이한 활동이나 알려지지 않은 동작을 강조하는 지원 정보를 제공합니다. 여기에는 새로 관찰된 지리적 위치 또는 조사 결과 범위 내에서 관찰된 API 직접 호출이 포함될 수 있습니다. 증거 조사 결과는 Detective에서만 볼 수 있으며 전송되지 않습니다. AWS Security Hub

Detective는 GeoIP MaxMind 데이터베이스를 사용하여 요청 위치를 결정합니다. MaxMind 정확도는 국가 및 IP 유형과 같은 요인에 따라 다르지만 국가 수준에서 매우 높은 데이터 정확도를 보고합니다. 에 대한 MaxMind 자세한 내용은 MaxMind IP 지리적 위치를 참조하십시오. GeoIP 데이터가 잘못되었다고 생각되면 GeoIP2 데이터 MaxMind 수정에서 Maxmind에 수정 요청을 제출할 수 있습니다.

다양한 보안 주체 유형(예: IAM 사용자 또는 IAM 역할)에 대한 증거를 관찰할 수 있습니다. 일부 증거 유형의 경우 모든 계정의 증거를 관찰할 수 있습니다. 즉, 증거가 전체 동작 그래프에 영향을 미칩니다. 모든 계정에서 증거 조사 결과가 관찰되면 개별 IAM 역할에 대해 동일한 유형의 추가 정보용 증거 조사 결과도 하나 이상 확인할 수 있습니다. 예를 들어 모든 계정에 대해 관찰된 새로운 지리적 위치 조사 결과가 관찰된 경우, 보안 주체에 대해 관찰된 새로운 지리적 위치에 대한 또 다른 지리적 위치가 표시됩니다.

조사 결과 그룹의 증거 유형

  • 새로운 지리적 위치가 관찰됨

  • 새로운 자율 시스템 조직(ASO)이 관찰됨

  • 새로운 사용자 에이전트가 관찰됨

  • 새로운 API 직접 호출이 실행됨

  • 모든 계정에 대해 관찰된 새로운 지리적 위치

  • 모든 계정에 대해 관찰된 새로운 IAM 보안 주체

조사 결과 그룹 프로필

그룹 제목을 선택하면 해당 그룹에 대한 추가 세부 정보가 포함된 조사 결과 그룹 프로필이 열립니다. 조사 결과 그룹 프로필 페이지의 세부 정보 패널에는 상위 및 하위 그룹을 찾기 위한 항목 및 조사 결과를 최대 1000개까지 표시할 수 있습니다.

그룹 프로필 페이지에는 그룹에 설정된 범위 시간이 표시됩니다. 이는 그룹에 포함된 가장 빠른 조사 결과 또는 증거부터 그룹에서 가장 최근에 업데이트된 조사 결과 또는 증거까지의 날짜 및 시간입니다. 또한 그룹 내 조사 결과 중 가장 높은 심각도 범주에 해당하는 조사 결과 그룹 심각도도 확인할 수 있습니다. 이 프로필 패널의 기타 세부 정보는 다음과 같습니다.

  • 관련 전술 체인은 그룹 내 조사 결과에 따른 전술이 무엇인지 보여줍니다. 전술은 MITRE ATT&CK Matrix for Enterprise를 기반으로 합니다. 전술은 초기 단계부터 최신 단계까지의 일반적인 공격 진행 상황을 나타내는 컬러 도트 체인으로 표시됩니다. 즉, 사슬에서 가장 왼쪽에 있는 원은 공격자가 주변 환경에 대한 접근 권한을 얻거나 유지하려는 경우 일반적으로 덜 심각한 활동을 나타냅니다. 반대로 오른쪽으로의 활동은 가장 심각하며 데이터 변조 또는 파기를 포함할 수 있습니다.

  • 이 그룹이 다른 그룹과 맺고 있는 관계. 때로는 이전에 연결되지 않은 하나 이상의 조사 결과 그룹이 새로 발견된 연결을 기반으로 새 그룹으로 병합될 수 있습니다(예: 기존 그룹의 엔터티가 포함된 조사 결과). 이 경우 Amazon Detective는 상위 그룹을 비활성화하고 하위 그룹을 생성합니다. 모든 그룹의 계보를 추적하여 상위 그룹까지 추적할 수 있습니다. 그룹은 다음과 같은 관계를 가질 수 있습니다.

    • 하위 조사결과 그룹 - 다른 두 개의 조사 결과 그룹에 포함된 조사 결과가 새 조사 결과에 포함될 때 생성되는 조사 결과 그룹입니다. 모든 하위 그룹에 대해 조사 결과의 상위 그룹이 나열됩니다.

    • 상위 조사 결과 그룹 - 하위 그룹이 생성된 경우 조사 결과 그룹은 상위 그룹입니다. 조사 결과 그룹이 상위인 경우 관련 하위 그룹도 함께 나열됩니다. 상위 그룹이 활성 하위 그룹에 병합되면 상위 그룹의 상태는 비활성 상태가 됩니다.

프로필 패널을 여는 두 개의 정보 탭이 있습니다. 관련 엔터티관련 조사 결과 탭을 사용하여 그룹에 대한 추가 세부 정보를 볼 수 있습니다.

조사 실행을 사용하여 조사 보고서를 생성합니다. 생성된 보고서에는 손상을 나타내는 이상 동작이 자세히 설명되어 있습니다. Detective 조사에 대한 자세한 내용은 Detective 조사를 통한 IAM 리소스 조사 단원을 참조하세요.

그룹 내 프로필 패널

관련 엔터티

각 엔터티가 연결된 그룹 내의 조사 결과를 포함하여 조사 결과 그룹의 엔터티에 초점을 맞춥니다. 각 엔터티에 연결된 태그도 표시되므로 태그 지정을 기반으로 중요한 엔터티를 빠르게 식별할 수 있습니다. 엔터티를 선택하면 해당 엔터티 프로필을 볼 수 있습니다.

관련 조사 결과

조사 결과의 심각도, 관련된 각 엔터티, 해당 조사 결과가 처음 발견되고 마지막으로 확인된 시기 등 각 조사 결과에 대한 세부 정보가 있습니다. 목록에서 조사 결과 유형을 선택하면 해당 조사 결과에 대한 추가 정보가 포함된 조사 결과 세부 정보 패널이 열립니다. 관련 조사 결과 패널의 일부로 동작 그래프의 Detective 증거를 기반으로 한 정보용 조사 결과를 볼 수 있습니다.

조사 결과 그룹 시각화

Amazon Detective는 조사 결과 그룹에 대한 대화형 시각화를 제공합니다. 이 시각화는 적은 노력으로 문제를 더 빠르고 철저하게 조사할 수 있도록 설계되었습니다. 조사 결과 그룹 시각화 패널에는 조사 결과 그룹과 관련된 조사 결과 및 엔터티가 표시됩니다. 이 대화형 시각화를 사용하여 조사 결과 그룹의 영향을 분석, 이해 및 분류할 수 있습니다. 이 패널은 관련 엔터티관련 조사 결과 테이블에 표시된 정보를 시각화하는 데 도움이 됩니다. 시각적 프레젠테이션에서 추가 분석을 위한 조사 결과 또는 엔터티를 선택할 수 있습니다.

조사 결과가 집계된 Detective조사 결과 그룹은 동일한 유형의 리소스에 연결된 조사 결과의 클러스터입니다. 조사 결과를 집계하면 조사 결과 그룹의 구성을 빠르게 평가하고 보안 문제를 더 빠르게 해석할 수 있습니다. 조사 결과 그룹 세부 정보 패널에는 유사한 조사 결과가 결합되어 있으며 조사 결과를 확장하여 비교적 유사한 조사 결과를 함께 볼 수 있습니다. 예를 들어, 동일한 유형의 정보용 조사 결과 및 중간 조사 결과가 있는 증거 노드가 집계됩니다. 현재 집계된 조사 결과를 통해 조사 결과 그룹의 제목, 소스, 유형 및 심각도를 볼 수 있습니다.

이 대화형 패널에서 다음을 수행할 수 있습니다.

  • 조사 실행을 사용하여 조사 보고서를 생성합니다. 생성된 보고서에는 손상을 나타내는 이상 동작이 자세히 설명되어 있습니다. Detective 조사에 대한 자세한 내용은 Detective 조사를 통한 IAM 리소스 조사 단원을 참조하세요.

  • 집계된 조사 결과가 포함된 조사 결과 그룹에 대한 자세한 내용을 확인하여 관련 증거, 엔터티 및 조사 결과를 분석할 수 있습니다.

  • 엔터티 및 조사 결과의 레이블을 확인하여 잠재적 보안 문제가 있는 영향을 받는 엔터티를 식별할 수 있습니다. 레이블을 끌 수 있습니다.

  • 엔터티 및 조사 결과를 재정렬하여 상호 연관성을 더 잘 이해합니다. 조사 결과 그룹에서 선택한 항목을 이동하여 항목과 조사 결과를 그룹에서 분리합니다.

  • 증거, 엔터티 및 조사 결과를 선택하면 이에 대한 자세한 내용을 볼 수 있습니다. 여러 항목을 선택하려면 command/control을 선택하고 항목을 선택하거나 포인터를 사용하여 끌어다 놓습니다.

  • 모든 엔터티 및 조사 결과가 조사 결과 그룹 창에 맞도록 레이아웃을 조정합니다. 조사 결과 그룹에 널리 사용되는 엔터티 유형을 확인합니다.

참고

조사 결과 그룹 시각화 패널은 최대 100개의 엔터티 및 조사 결과가 포함된 조사 결과 그룹을 표시할 수 있습니다.

레이아웃 선택을 선택하여 조사 결과 및 엔티티를 , 힘 방향 또는 그리드 레이아웃으로 볼 수 있습니다. 힘 방향 레이아웃에서는 항목 간에 링크 길이가 일정하고 링크가 균등하게 분산되도록 엔터티 및 조사 결과를 배치합니다. 이렇게 하면 중복을 줄이는 데 도움이 됩니다. 선택한 레이아웃에 따라 시각화 패널에서의 조사 결과 배치가 정의됩니다.

조사 결과 그룹에 포함된 엔터티 및 조사 결과 간의 상호 연결을 보여주는 시각화 패널입니다. 힘 방향 레이아웃에서는 항목 간에 링크 길이가 일정하고 링크가 균등하게 분산되도록 엔터티 및 조사 결과를 배치합니다.

동적 범례는 현재 그래프의 엔터티 및 조사 결과에 따라 달라집니다. 이를 통해 각 시각적 요소가 무엇을 나타내는지 식별할 수 있습니다.