Amazon Detective란 무엇인가요?

Amazon Detective는 사용자가 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 분석 및 조사하고 신속하게 식별하는 데 도움이 됩니다. Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집합니다. 그런 다음 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적으로 보안 조사를 수행할 수 있도록 시각화를 생성합니다. Detective의 사전 구축된 데이터 집계, 요약 및 컨텍스트는 가능한 보안 문제의 특성과 범위를 신속하게 분석하고 확인하는 데 도움이 됩니다.

Detective를 사용하면 최대 1년 분량의 과거 이벤트 데이터에 액세스할 수 있습니다. 이 데이터는 선택한 기간 동안의 활동 유형 및 양의 변화를 보여주는 일련의 시각화를 통해 제공됩니다. Detective는 이러한 변경 사항을 GuardDuty 조사 결과와 연결합니다. Detective의 소스 데이터에 대한 자세한 내용은 동작 그래프에 사용된 소스 데이터 섹션을 참조하세요.

Amazon Detective는 데이터를 자동으로 집계하고 시각적 도구를 제공하므로 보안 조사를 더 빠르고 효율적으로 수행할 수 있습니다. 잠재적 문제를 신속하게 분석하고 보안 위협의 범위를 결정할 수 있습니다.

아마존 디텍티브의 특징

Amazon Detective가 사용자 AWS 환경의 의심스러운 활동을 조사하고 리소스를 분석하여 보안 문제의 근본 원인을 식별하는 데 도움이 되는 몇 가지 주요 방법은 다음과 같습니다.

디텍티브 파인딩 그룹

Detective Finding 그룹을 사용하면 잠재적 보안 이벤트와 관련된 여러 활동을 조사할 수 있습니다. 검색 그룹을 사용하여 심각도가 높은 GuardDuty 조사 결과의 근본 원인을 분석할 수 있습니다. 위협 행위자가 AWS 환경을 손상시키려고 시도하는 경우 일반적으로 여러 보안 탐지 결과와 비정상적인 동작을 생성하는 일련의 작업을 수행합니다.

Detective의 그룹 검색 결과 페이지에는 검색 결과 그룹 페이지의 행동 그래프에서 추출한 모든 관련 검색 결과 그룹이 표시됩니다. 다양한 주요 유형 (예: IAM 사용자 또는 IAM 역할) 에 대한 증거를 관찰할 수 있습니다. 일부 증거 유형의 경우 모든 계정의 증거를 관찰할 수 있습니다.

Detective는 각 검색 결과 그룹을 대화식으로 시각화하여 보안 문제를 더 빠르고 철저하게 조사할 수 있도록 도와줍니다. 시각화는 보안 사고와 관련된 항목 및 결과를 표시하도록 설계되어 연결 및 근본 원인을 더 쉽게 이해할 수 있습니다. 적은 노력으로 문제를 더 빠르고 철저하게 조사할 수 있습니다. 조사 결과 그룹 시각화 패널에는 조사 결과 그룹과 관련된 조사 결과 및 엔터티가 표시됩니다.

조사 결과를 분류하기 위한 탐정 조사

Detective Investigation을 사용하면 보안 침해 지표를 사용하여 IAM 사용자 및 IAM 역할을 조사할 수 있으며, 이를 통해 리소스가 보안 사고에 연루되었는지 여부를 판단할 수 있습니다. 손상 지표(IOC)는 네트워크, 시스템 또는 환경에서 관찰된 아티팩트로, 높은 수준의 신뢰도로 악의적인 활동이나 보안 인시던트를 식별할 수 있습니다. Detective 조사를 통해 효율성을 극대화하고, 보안 위협에 집중하고, 사고 대응 역량을 강화할 수 있습니다.

Detective Investigation은 기계 학습 모델과 위협 인텔리전스를 사용하여 가장 중요하고 의심스러운 문제만 찾아내므로 사용자는 높은 수준의 조사에 집중할 수 있습니다. AWS 환경의 리소스를 자동으로 분석하여 침해나 의심스러운 활동의 잠재적 지표를 식별합니다. 이를 통해 패턴을 식별하고 보안 이벤트의 영향을 받는 리소스를 파악하여 위협 식별 및 완화에 대한 사전 예방적 접근 방식을 제공할 수 있습니다.

Detective 콘솔에서 탐정 조사를 실행하여 Detective 조사를 시작할 수 있습니다. 프로그래밍 방식으로 조사를 실행하려면 Detective StartInvestigationAPI의 작업을 사용하십시오. AWS Command Line Interface (AWS CLI) 를 사용하는 경우 조사 시작 명령을 실행하십시오.

Amazon Security Lake와의 Detective 통합

Detective는 Amazon Security Lake와 통합되므로 Security Lake에 저장된 원시 로그 데이터를 쿼리하고 검색할 수 있습니다. 이 통합을 통해 Security Lake에서 기본적으로 지원하는 다음 소스에서 로그와 이벤트를 수집할 수 있습니다.

• AWS CloudTrail 관리 이벤트

• Amazon Virtual Private Cloud(VPC) 흐름 로그

Detective를 Security Lake와 통합하면 Detective는 Security Lake에서 관리 이벤트 AWS CloudTrail 및 Amazon VPC 흐름 로그와 관련된 원시 로그를 가져오기 시작합니다. 원시 로그를 쿼리하여 Detective에서 로그 및 이벤트를 볼 수 있습니다.

VPC 흐름량 조사

Detective를 사용하면 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 및 쿠버네티스 포드의 가상 사설 클라우드 (VPC) 네트워크 흐름의 활동 세부 정보를 대화식으로 검토할 수 있습니다. Detective는 모니터링되는 계정에서 VPC 흐름 로그를 자동으로 수집하여 EC2 인스턴스별로 집계하고 이러한 네트워크 흐름에 대한 시각적 요약 및 분석을 제공합니다.

EC2 인스턴스의 경우 전체 VPC 흐름량의 활동 세부 정보에는 선택한 시간 범위 동안의 EC2 인스턴스와 IP 주소 간의 상호 작용이 표시됩니다.

Kubernetes 포드의 경우 전체 VPC 흐름량은 모든 대상 IP 주소에 대해 Kubernetes 포드에 할당된 IP 주소로 들어오고 나가는 전체 바이트 볼륨을 표시합니다.

아마존 디텍티브에 접속하기

Amazon Detective는 대부분의 기기에서 사용할 수 있습니다. AWS 리전현재 Detective를 사용할 수 있는 지역 목록은 의 Amazon Detective 엔드포인트 및 할당량을 참조하십시오. AWS 일반 참조 사용자를 AWS 리전 위한 관리에 대한 자세한 내용은 참조 안내서의 AWS 계정사용자 AWS 리전 계정에서 사용할 수 있는 계정 지정을 참조하십시오.AWS Account Management

각 지역에서 다음과 같은 방법으로 Detective와 협력할 수 있습니다.

AWS Management Console

리소스를 AWS Management Console 만들고 관리하는 데 사용할 수 있는 브라우저 기반 인터페이스입니다. AWS Amazon Detective 콘솔은 해당 콘솔의 일부로 사용자의 Detective 계정, 데이터 및 리소스에 대한 액세스를 제공합니다. Detective 콘솔을 사용하여 모든 Detective 작업을 수행할 수 있습니다. 즉, 잠재적 보안 위협을 검토하고 보안 탐지 결과의 근본 원인을 분석, 조사 및 식별할 수 있습니다.

AWS 명령줄 도구

AWS 명령줄 도구를 사용하면 시스템의 명령줄에서 명령을 실행하여 Detective 작업 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS 는 두 가지 명령줄 도구 세트, 즉 AWS Command Line Interface (AWS CLI) 와 를 AWS Tools for PowerShell제공합니다. 설치 및 사용에 대한 자세한 내용은 사용 AWS Command Line Interface 설명서를 참조하십시오. AWS CLI도구 설치 및 사용에 대한 자세한 내용은 사용 AWS Tools for PowerShell 설명서를 참조하십시오. PowerShell

AWS SDK

AWS Java, Go, Python, C++, .NET과 같은 다양한 프로그래밍 언어 및 플랫폼에 대한 라이브러리 및 샘플 코드로 구성된 SDK를 제공합니다. SDK를 사용하면 Detective 및 기타 장치에 편리하고 프로그래밍 방식으로 액세스할 수 있습니다. AWS 서비스 SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 포함합니다. AWS SDK 설치 및 사용에 대한 자세한 내용은 빌드 기반 도구를 참조하십시오. AWS

아마존 디텍티브 REST API

Amazon Detective REST API를 사용하면 Detective 계정, 데이터 및 리소스에 포괄적이고 프로그래밍 방식으로 액세스할 수 있습니다. 이 API를 사용하면 HTTPS 요청을 Detective에 직접 보낼 수 있습니다. 하지만 AWS 명령줄 도구 및 SDK와 달리 이 API를 사용하려면 애플리케이션에서 요청에 서명하기 위한 해시 생성과 같은 낮은 수준의 세부 정보를 처리해야 합니다. 이 API에 대한 자세한 내용은 Detective API 레퍼런스를 참조하십시오.

아마존 디텍티브 요금

다른 AWS 제품과 마찬가지로 Amazon Detective 사용에 대한 계약 또는 최소 약정은 없습니다.

Detective 요금은 여러 차원을 기반으로 하며, 출처에 관계없이 모든 데이터에 대해 GB당 계층화된 고정 요금을 부과합니다. 자세한 내용은 Amazon Detective 요금을 참조하십시오.

Detective 사용 비용을 이해하고 예측할 수 있도록 Detective는 계정의 예상 사용 비용을 제공합니다. Amazon Detective 콘솔에서 이러한 추정치를 검토하고 Amazon Detective API를 사용하여 이에 액세스할 수 있습니다. 서비스 사용 방식에 따라 Security Lake 통합 및 Detective Investigation과 같은 특정 Detective 기능과 함께 다른 AWS 서비스 기능을 함께 사용하면 추가 비용이 발생할 수 있습니다.

Detective를 처음 활성화하면 Detective의 30일 무료 평가판에 자동으로 AWS 계정 등록됩니다. 여기에는 AWS Organizations에서 조직의 일부로 활성화된 개별 계정도 포함됩니다. 무료 평가판 기간 동안에는 해당 버전에서 Detective 사용에 대한 요금이 부과되지 않습니다. AWS 리전

Detective는 무료 평가판 종료 후 Detective 사용 비용을 이해하고 예측할 수 있도록 평가판 사용 기간 중 Detective 사용에 따른 예상 사용 비용을 제공합니다. 사용량 데이터에는 무료 평가판이 종료될 때까지 남은 시간도 표시됩니다. Amazon Detective 콘솔에서 이 데이터를 검토하고 Amazon Detective API를 사용하여 데이터에 액세스할 수 있습니다.

Detective는 어떻게 작동하나요?

Detective는 AWS CloudTrail Amazon VPC 흐름 로그에서 로그인 시도, API 호출, 네트워크 트래픽과 같은 시간 기반 이벤트를 자동으로 추출합니다. 에서 탐지한 결과도 수집합니다. GuardDuty

Detective는 이러한 이벤트를 기반으로 기계 학습과 시각화를 사용하여 리소스 동작과 시간 경과에 따른 리소스 동작 간의 상호 작용에 대한 통합된 대화형 보기를 생성합니다. 이 동작 그래프를 탐색하여 실패한 로그인 시도 또는 의심스러운 API 직접 호출과 같은 잠재적으로 악의적인 작업을 검사할 수 있습니다. 또한 이러한 작업이 AWS 계정 및 Amazon EC2 인스턴스와 같은 리소스에 미치는 영향을 확인할 수 있습니다. 다음과 같이 다양한 작업에 맞게 동작 그래프의 범위와 타임라인을 조정할 수 있습니다.

• 규범을 벗어나는 모든 활동을 신속하게 조사합니다.

• 보안 문제를 나타낼 수 있는 패턴을 식별합니다.

• 조사 결과의 영향을 받는 모든 리소스를 이해합니다.

Detective 맞춤형 시각화는 계정 정보의 기준을 제공하고 요약합니다. 이러한 조사 결과는 “이 역할을 위한 비정상적인 API 직접 호출입니까?” 또는 “이 인스턴스에서 트래픽이 급증할 것으로 예상됩니까?”와 같은 질문에 답하는 데 도움이 될 수 있습니다.

Detective를 사용하면 데이터를 구성하거나 자체 쿼리 및 알고리즘을 개발, 구성 또는 조정할 필요가 없습니다. 선결제 비용은 없으며 분석된 이벤트에 대해서만 비용을 지불합니다. 추가 소프트웨어를 배포하거나 구독할 다른 피드는 없습니다.

누가 Detective를 사용하나요?

계정이 Detective를 활성화하면 동작 그래프의 관리자 계정이 됩니다. 행동 그래프는 하나 이상의 AWS 계정에서 추출 및 분석된 데이터의 연결된 집합입니다. 관리자 계정은 멤버 계정을 초대하여 관리자 계정의 동작 그래프에 데이터를 제공합니다.

Detective도 통합되어 있습니다. AWS Organizations조직 관리 계정은 조직의 Detective 관리자 계정을 지정합니다. Detective 관리자 계정을 사용하면 조직 동작 그래프에서 조직 계정을 멤버 계정으로 사용할 수 있습니다.

Detective가 동작 그래프 계정의 소스 데이터를 사용하는 방법에 대한 자세한 내용은 동작 그래프에 사용된 소스 데이터 섹션을 참조하세요.

관리자 계정이 동작 그래프를 관리하는 방법에 대한 자세한 내용은 계정 관리 섹션을 참조하세요. 멤버 계정이 동작 그래프 초대와 멤버십을 관리하는 방법에 대한 자세한 내용은 멤버 계정의 경우: 동작 그래프 초대 및 멤버십 관리 섹션을 참조하세요.

관리자 계정은 행동 그래프에서 생성된 분석 및 시각화를 사용하여 AWS 리소스 및 결과를 조사합니다. GuardDuty GuardDuty및 AWS Security Hub와의 Detective 통합을 사용하면 이러한 서비스의 GuardDuty 검색 결과를 Detective 콘솔로 직접 전환할 수 있습니다.

Detective 조사는 관련 AWS 리소스와 관련된 활동에 초점을 맞춥니다. Detective의 조사 프로세스에 대한 개요는 Detective 사용 설명서의 Amazon Detective를 조사에 사용하는 방법을 참조하세요.

관련 서비스

에서 데이터, 워크로드 및 애플리케이션을 더욱 안전하게 보호하려면 Amazon AWS Detective와 함께 다음을 AWS 서비스 사용하는 것이 좋습니다.

AWS Security Hub

AWS Security Hub AWS 리소스의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례와 비교하여 AWS 환경을 점검하는 데 도움이 됩니다. 이는 부분적으로 여러 제품 (Detective AWS 서비스 포함) 및 지원되는 AWS 파트너 네트워크 (APN) 제품의 보안 결과를 사용하고, 집계하고, 구성하고, 우선 순위를 지정함으로써 이루어집니다. Security Hub를 사용하면 AWS 환경 전반에서 보안 동향을 분석하고 우선 순위가 가장 높은 보안 문제를 식별할 수 있습니다.

에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요.

아마존 GuardDuty

GuardDuty Amazon은 Amazon S3의 AWS CloudTrail 데이터 이벤트 로그 및 CloudTrail 관리 이벤트 로그와 같은 특정 유형의 AWS 로그를 분석하고 처리하는 보안 모니터링 서비스입니다. 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예상치 못한 잠재적으로 무단 악의적인 활동을 식별합니다.

자세한 GuardDuty 내용은 Amazon GuardDuty 사용 설명서를 참조하십시오.

Amazon Security Lake

Amazon Security Lake는 완전 관리형 보안 데이터 레이크 서비스입니다. Security Lake를 사용하면 AWS 환경, SaaS 공급업체, 온프레미스 소스, 클라우드 소스 및 타사 소스의 보안 데이터를 계정에 저장되는 용도에 맞게 구축된 데이터 레이크로 자동 중앙 집중화할 수 있습니다. AWS Security Lake를 사용하면 보안 데이터를 분석할 수 있으므로 조직 전체의 보안 상태를 더 완벽하게 이해할 수 있습니다. Security Lake를 사용하면 워크로드, 애플리케이션 및 데이터에 대한 보호도 개선할 수 있습니다.

시큐리티 레이크에 대해 자세히 알아보려면 Amazon Security Lake 사용 설명서를 참조하십시오. Detective와 Security Lake를 함께 사용하는 방법에 대한 자세한 내용은 을 참조하십시오. Amazon Security Lake 통합

추가 AWS 보안 서비스에 대해 알아보려면 보안, ID 및 규정 준수를 참조하십시오. AWS