조사 단계 및 시작점 - Amazon Detective
조사 단계Detective 수사의 출발점

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조사 단계 및 시작점

Amazon Detective는 전체 조사 프로세스를 지원하는 도구를 제공합니다. Detective에서의 조사는 조사 결과, 조사 결과 그룹 또는 엔터티로부터 시작할 수 있습니다.

조사 단계

모든 조사 프로세스에는 다음과 같은 단계들이 포함됩니다.

심사

조사 프로세스는 악의적이거나 고위험 활동으로 의심되는 사례가 있다는 통지를 받으면 시작됩니다. 예를 들어, 귀하는 Amazon GuardDuty 및 Amazon Inspector와 같은 서비스에서 발견한 결과 또는 경고를 조사하도록 배정됩니다.

심사 단계에서는 해당 활동이 참 긍정(진정한 악의적 활동)인지 아니면 거짓 긍정(악의적이거나 고위험 활동이 아님)인지 판단합니다. Detective 프로필은 관련 엔터티의 활동에 대한 통찰력을 제공하여 분류 프로세스를 지원합니다.

참 긍정 인스턴스의 경우 다음 단계로 넘어갑니다.

범위 지정

범위 지정 단계에서 분석가는 악의적 또는 고위험 활동의 범위와 근본 원인을 파악합니다.

범위 지정은 다음과 같은 유형의 질문에 대한 답을 제공합니다.

  • 어떤 시스템과 사용자가 피해를 입었습니까?

  • 공격이 어디에서 시작되었습니까?

  • 공격이 일어난 지 얼마나 되었습니까?

  • 밝혀내야 할 다른 관련 활동이 있습니까? 예를 들어 공격자가 시스템에서 데이터를 추출하는 경우 어떻게 데이터를 얻었을까요?

Detective 시각화는 관련되었거나 영향을 받은 다른 엔터티를 식별하는 데 도움이 될 수 있습니다.

응답

마지막 단계는 공격에 대응하여 공격을 막고 피해를 최소화하며 유사한 공격이 다시 발생하지 않도록 하는 것입니다.

Detective 수사의 출발점

Detective의 모든 조사에는 필수적인 시작점이 있습니다. 예를 들어, GuardDuty Amazon이나 AWS Security Hub 조사 대상 조사를 배정받을 수 있습니다. 또는 특정 IP 주소의 비정상적인 활동이 우려될 수도 있습니다.

일반적인 조사 시작점에는 Detective 소스 데이터에서 탐지한 GuardDuty 결과와 추출한 개체가 포함됩니다.

탐지된 결과는 다음과 같습니다. GuardDuty

GuardDuty 로그 데이터를 사용하여 악의적이거나 고위험 활동이 의심되는 사례를 찾아냅니다. Detective는 이러한 조사 결과를 조사하는 데 도움이 되는 리소스를 제공합니다.

각 조사 결과에 대해 Detective는 관련 조사 결과 세부 정보를 제공합니다. Detective는 또한 IP 주소 및 AWS 계정과 같은 탐지 결과와 관련된 엔티티를 보여줍니다.

그런 다음 관련 엔터티의 활동을 탐색하여 조사 결과에서 탐지된 활동이 진정한 우려 원인인지 확인할 수 있습니다.

자세한 정보는 결과 개요 분석을 참조하세요.

AWS Security Hub에서 집계한 보안 조사 결과

AWS Security Hub 다양한 조사 결과 제공자의 보안 결과를 한 곳에서 집계하고 보안 상태를 종합적으로 보여줍니다. AWS Security Hub를 사용하면 여러 공급자로부터 많은 양의 조사 결과를 처리해야 하는 복잡성을 없앨 수 있습니다. 모든 AWS 계정, 리소스 및 워크로드의 보안을 관리하고 개선하는 데 필요한 노력을 줄여줍니다. Detective는 이러한 조사 결과를 조사하는 데 도움이 되는 리소스를 제공합니다.

각 조사 결과에 대해 Detective는 관련 조사 결과 세부 정보를 제공합니다. Detective는 또한 IP 주소 및 AWS 계정과 같은 탐지 결과와 관련된 엔티티를 보여줍니다.

자세한 정보는 결과 개요 분석을 참조하세요.

Detective 소스 데이터에서 추출한 엔터티

수집된 Detective 소스 데이터에서 Detective는 IP 주소 및 AWS 사용자와 같은 엔터티를 추출합니다. 이중 하나를 조사 시작점으로 사용할 수 있습니다.

Detective는 IP 주소 또는 사용자 이름과 같은 엔터티에 대한 일반적인 세부 정보를 제공합니다. 또한 활동 기록에 대한 세부 정보도 제공합니다. 예를 들어 Detective는 엔터티가 연결되었거나 사용된 다른 IP 주소를 보고할 수 있습니다.

자세한 정보는 Amazon Detective의 개체 분석을 참조하세요.