Amazon Macie Classic 알림 - Amazon Macie Classic

이 문서는 Amazon Macie Classic에 대한 사용 설명서입니다. 새로운 Amazon Macie에 대한 자세한 내용은 Amazon Macie 사용 설명서를 참조하십시오. Macie Classic 콘솔에 액세스하려면 https://console.aws.amazon.com/macie/에서 Macie 콘솔을 열고 탐색 창에서 Macie Classic을 선택합니다.

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon Macie Classic 알림

알림은 Amazon Macie Classic에서 발견한 잠재적 보안 문제에 대한 알림입니다.

기본 및 예측 Macie Classic 알림

Macie Classic는 다음 두 가지 유형의 알림을 생성합니다.

  • 기본 알림 – Macie Classic가 수행하는 보안 검사에서 생성된 알림입니다. 에는 두 가지 유형의 기본 알림이 있습니다.

    • 수정할 수 없는 관리형(Macie Classic 큐레이트) 기본 알림. 기존 관리형 기본 알림을 활성화하거나 비활성화할 수 있습니다.

      참고

      설정 탭의 기본 알림 목록의 생성한 사람 필드에 있는 Default 값으로 관리형 기본 알림을 식별할 수 있습니다.

    • 해당 사양에 맞게 생성하여 수정할 수 있는 사용자 지정 기본 알림. 자세한 내용은 새/기존 사용자 지정 기본 알림 추가 및 편집 단원을 참조하십시오.

  • 예측 알림 – AWS 인프라 내에서 설정된 '정상' 활동 기준과 벗어나는 활동이 발생할 때 자동으로 생성되는 알림입니다. 즉, Macie Classic가 AWS 인프라 내에서 활동을 지속적으로 모니터링하고 정상 동작의 기준을 설정합니다. 그런 다음 정상 기준과의 차이를 검사하여 그러한 활동을 감지하면 자동으로 예측 알림을 생성합니다. 예를 들어 하루에 많은 양의 S3 객체를 업로드하거나 다운로드하는 사용자가 한 주 동안 한 개 내지 두 개의 S3 객체만 다운로드할 경우 알림이 발생할 수 있습니다.

Macie Classic의 알림 범주

Macie Classic의 기본 알림(관리형 및 사용자 지정)은 다음 범주 중 하나일 수 있습니다.

  • 구성 규정 준수 – 규정 준수가 관리되는 콘텐츠, 정책, 구성 설정, 제어 및 데이터 영역 로깅, 패치 수준과 관련됩니다.

  • 데이터 규정 준수 – 규정 준수 또는 보안 관리 콘텐츠(예: 개인 식별 정보(PII) 또는 액세스 자격 증명을 포함하는 콘텐츠)의 검색과 관련됩니다.

  • 파일 호스팅 – 보안이 침해된 호스트 또는 스토리지 서비스를 통해 맬웨어, 안전하지 않은 소프트웨어 또는 공격자의 명령 및 제어 인프라를 호스팅하는 경우와 관련됩니다.

  • 서비스 중단 – 환경의 리소스에 액세스하지 못하도록 할 수 있는 구성 변경입니다.

  • 랜섬웨어 – 금액이 지불될 때까지 컴퓨터 시스템에 대한 액세스를 차단하기 위해 설계된 악의적인 소프트웨어 또는 활동입니다.

  • 의심스러운 액세스 – 위험하고 비정상적인 IP 주소, 사용자 또는 시스템(예: 손상된 호스트를 통해 연결을 위장하는 공격자)에서 시도하는 리소스에 대한 액세스입니다.

  • 자격 증명 열거 – 공격 또는 손상된 자격 증명의 초기 단계를 나타낼 수 있는 시스템에 대한 액세스 수준을 열거하는 일련의 API 호출 또는 액세스입니다.

  • 권한 상승 – 애플리케이션 또는 사용자로부터 정상적으로 보호되는 리소스에 대한 상승된 액세스 권한을 얻기 위한 성공하거나 실패한 시도, 또는 장기간 시스템 또는 네트워크에 대한 액세스 권한을 얻기 위한 시도입니다.

  • 익명 액세스 – 사용자의 실제 신원을 숨길 의도로 IP 주소, 사용자 또는 서비스에서 리소스에 대해 시도한 액세스입니다. 예를 들어 프록시 서버 사용, 가상 프라이빗 네트워크, Tor와 같은 익명 서비스 등이 포함됩니다.

  • 개방 권한 – 지나치게 허용적일 수 있는(따라서 위험한) 액세스 제어 메커니즘으로 보호되는 민감한 리소스가 확인됩니다.

  • 위치 비정상 – 민감한 데이터에 대한 비정상적이고 위험한 액세스 시도 위치입니다.

  • 정보 손실 – 민감한 데이터에 대한 비정상적이고 위험한 액세스입니다.

  • 자격 증명 손실 – 자격 증명이 손상될 가능성입니다.

특정 범주의 기존 알림 목록을 보려면 Macie Classic 콘솔의 알림 탭에 있는 범주 목록에서 해당 범주를 선택합니다.

Macie Classic에서 알림의 심각도 수준

각 Macie Classic 알림에는 심각도 수준이 할당되어 있습니다. 이는 분석에서 알림의 우선 순위를 지정할 필요성을 줄여 줍니다. 또한 알림이 잠재적인 문제를 강조 표시할 때 응답을 결정하는 데 도움이 될 수도 있습니다. 심각, 높음, 중간, 낮음 수준은 인프라 내 정보 기밀성, 무결성 및 가용성이 손상될 수 있는 보안 문제를 나타냅니다. 정보 수준은 Macie Classic에서 모니터링하는 인프라의 보안 구성 세부 정보를 강조 표시합니다. 다음은 각각의 수준에 대응하는 권장 방법입니다.

  • 심각 – 인프라 내 정보 기밀성, 무결성 및 가용성이 손상될 수 있는 보안 문제를 설명합니다. 이 보안 문제는 긴급으로 처리하고 즉각적으로 해결하는 것이 좋습니다. 심각 심각도와 높음 심각도 간의 주요 차이점은 심각 심각도 알림은 다수의 리소스 또는 시스템의 보안 손상을 알리는 것일 수 있다는 점입니다. 높음 심각도 알림은 하나 이상의 리소스 또는 시스템의 보안 손상을 알립니다.

  • 높음 – 인프라 내 정보 기밀성, 무결성 및 가용성이 손상될 수 있는 보안 문제를 설명합니다. 이 보안 문제는 긴급으로 처리하고 즉각적으로 해결하는 것이 좋습니다.

  • 중간 – 인프라 내 정보 기밀성, 무결성 및 가용성이 손상될 수 있는 보안 문제를 설명합니다. 가능한 다음 기회(예: 다음 서비스 업데이트)에 이 문제를 해결하는 것이 좋습니다.

  • 낮음 – 인프라 내 정보 기밀성, 무결성 및 가용성이 손상될 수 있는 보안 문제를 설명합니다. 이후 서비스 업데이트 시 이 문제를 해결하는 것이 좋습니다.

  • 정보 – 인프라의 특정 보안 구성 세부 정보를 설명합니다. 비즈니스 및 조직 목표에 따라 이 정보를 기록해 두거나 이 정보를 사용하여 시스템과 리소스의 보안을 강화할 수 있습니다.

Macie Classic 알림 찾기 및 분석

다음 절차를 사용하여 기존 알림을 찾고 분석할 수 있습니다.

  1. 생성된 알림(Active(활성)Archived(보관된) 기본 또는 예측 알림)을 보려면 Macie Classic 콘솔에서 알림 페이지로 이동합니다.

    각 알림에는 다음 정보가 포함된 요약 섹션이 있습니다.

    • 알림 심각도로, 이는 심각, 높음, 중간, 낮음 또는 정보일 수 있습니다. 자세한 내용은 Macie Classic에서 알림의 심각도 수준 단원을 참조하십시오.

    • 알림이 생성되었거나 마지막으로 업데이트된 시기를 나타내는 타임스탬프

    • 알림 범주입니다. 자세한 내용은 Macie Classic의 알림 범주 단원을 참조하십시오.

    • 다음 중 하나:

      • 알림의 인덱스가 CloudTrail 데이터인 경우, Macie Classic가 알림을 생성하도록 유도한 활동에 관여한 사용자. 자세한 내용은 개념 및 용어에서 Macie Classic의 맥락에서의 사용자 개념의 정의를 참조하십시오.

      • 알림의 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 경우, Macie Classic가 알림을 생성하도록 유도한 활동에 관여한 객체와 관련되었거나 이 객체를 포함한 버킷 이름

      중요

      Macie Classic에서 각 알림은 다음 중 하나에 기반합니다.

      • 인덱스가 CloudTrail 데이터인 알림의 경우, Macie Classic가 알림을 생성하도록 유도한 활동을 수행한 단 한 명의 사용자, 즉 IAM 자격 증명.

      • 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 알림의 경우, Macie Classic가 알림을 생성하도록 유도한 활동에 관여한 객체와 관련되었거나 이 객체를 포함한 단 하나의 S3 버킷

    • 알림에 남겨진 의견 수.

    • 총 결과 수로, 이는 알림의 정의에 포함된 쿼리와 일치하는 사용자 세션 목록, S3 버킷 목록, S3 객체 목록으로 구성될 수 있습니다. 자세한 내용은 새/기존 사용자 지정 기본 알림 추가 및 편집 단원을 참조하십시오.

    • 알림의 조회 수.

    • 이 알림에 캡처된 활동이 발생한 AWS 리전.

  2. 알림을 추가로 분석하려면 해당 알림을 선택하여 세부 정보 창을 확장합니다. 다음 정보가 알림 세부 정보에 포함되어 있습니다.

    • 설명 및 총 결과 수(알림의 정의에 포함된 쿼리와 일치하는 사용자 세션 수, S3 버킷 수 또는 S3 객체 수)가 포함된 알림 요약.

    • 알림 결과 목록. 이는 사용자 세션, S3 버킷 또는 S3 객체 목록으로, 이 알림의 정의에 지정된 인덱스에 따라 다릅니다. 자세한 내용은 새/기존 사용자 지정 기본 알림 추가 및 편집 단원을 참조하십시오.

      • 인덱스로 CloudTrail data를 지정한 경우, 알림 세부 정보에는 특정 사용자의 알림 정의에 지정된 쿼리와 일치하는 사용자 세션 목록이 포함됩니다.

      • 인덱스로 S3 buckets을 지정한 경우, 알림 세부 정보에는 특정 사용자의 알림 정의에 지정된 쿼리와 일치하는 S3 버킷 목록이 포함됩니다.

      • 인덱스로 S3 objects(S3 객체)를 지정한 경우, 알림 세부 정보에는 특정 사용자의 알림 정의에 지정된 쿼리와 일치하는 S3 객체 목록이 포함됩니다.

      각 결과를 선택하여 이를 검토하고 해당하는 모든 필드를 볼 수 있습니다. 자세한 내용은 Amazon Macie Classic에서 모니터링한 데이터 조사AWS 데이터 조사, S3 버킷 속성 데이터 조사 또는 S3 객체 데이터 조사 단원을 참조하십시오.

      Research(조사) 돋보기 아이콘을 사용하여 Research(조사) 탭으로 이동하고 거기에서 특정 알림의 결과를 볼 수도 있습니다. Research(조사) 탭의 쿼리 구문 분석기는 이러한 결과를 생성하는 데 사용할 수 있는 쿼리로 미리 채워져 있습니다.

새/기존 사용자 지정 기본 알림 추가 및 편집

다음 절차를 사용하여 새/기존 사용자 지정 기본 알림을 추가 및 편집할 수 있습니다.

  1. Macie Classic 콘솔에서 설정 페이지로 이동하고 기본 알림 아이콘을 선택합니다.

  2. Basic alerts(기본 알림) 페이지에서 수정할 알림의 편집 아이콘을 선택하거나, 기본 알림을 추가하려면 새로 추가를 선택합니다.

  3. 다음 중 하나를 수행합니다.

    • 기존 알림을 편집하려는 경우 알림 활성화 또는 비활성화 등의 변경을 한 후 저장을 선택합니다.

    • 새 알림을 추가하려는 경우 Basic alert definition(기본 알림 정의) 페이지에서 다음을 지정합니다.

      • 알림 제목 – 예: "S3 버킷에 모든 사람에게 읽기 권한을 부여하는 S3 버킷 정책 또는 S3 ACL이 있습니다."

      • 알림에 대한 설명 – 예: "S3 버킷의 S3 버킷 정책 또는 S3 ACL에는 모든 사용자에게 읽기 액세스 권한을 효과적으로 부여하는 절이 포함되어 있습니다. 이 S3 버킷과 그 데이터를 감사하고 이것이 의도한 바인지 확인하는 것이 좋습니다.

      • 알림 범주 – 자세한 내용은 Macie Classic의 알림 범주를 참조하십시오.

      • 알림 쿼리 – Macie Classic에서 알림을 생성하도록 할 활동을 설명하는 쿼리입니다. 예: s3_world_readability:"true". 이 쿼리는 모든 사용자에게 읽기 액세스 권한을 부여하는 S3 버킷의 S3 버킷 정책 또는 S3 ACL 정책을 찾습니다. 쿼리 생성에 대한 자세한 내용은 Macie Classic에서 쿼리 작성 단원을 참조하십시오.

        참고

        기존 알림 옆의 돋보기 아이콘을 사용하여 Research(조사) 탭으로 이동할 수 있습니다. 그러면 이 알림의 쿼리가 Query Parser(쿼리 구문 분석기)에 자동으로 표시되고, 이 쿼리의 결과가 Research(조사) 탭에 표시됩니다.

      • 쿼리 인덱스 – 이는 Macie Classic가 이 알림에 지정된 쿼리를 실행할 데이터의 리포지토리입니다. CloudTrail 데이터, S3 버킷 또는 S3 객체 중에 선택할 수 있습니다. 사용자가 선택한 항목에 따라 알림에는 알림에서 정의한 활동과 일치하는 CloudTrail 사용자 세션(원시 CloudTrail 데이터의 5분 집계), S3 버킷 또는 S3 객체 목록이 포함됩니다.

      • 알림이 생성되기 전에 발생해야 하는 최소 활동 일치 수

      • 알림 심각도 – 자세한 내용은 Macie Classic에서 알림의 심각도 수준 단원을 참조하십시오.

      • 선택한 알림 인덱스에 따라 알림이 정의하는 활동을 수행하도록 명시적으로 허용된 사용자 또는 버킷입니다. 사용자 또는 버킷을 명시적으로 허용하면 이 사용자 또는 버킷이 알림에서 정의한 활동에 관여할 때 Macie Classic는 이에 대한 알림을 생성하지 않습니다.

        중요

        Macie Classic에서 각 알림은 다음 중 하나에 기반합니다.

        • 인덱스가 CloudTrail 데이터인 알림의 경우, Macie Classic가 알림을 생성하도록 유도한 활동을 수행한 단 한 명의 사용자, 즉 IAM 자격 증명.

        • 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 알림의 경우, Macie Classic가 알림을 생성하도록 유도한 활동에 관여한 객체와 관련되었거나 이 객체를 포함한 단 하나의 S3 버킷

        인덱스가 CloudTrail 데이터인 기본 알림에서 사용자를 명시적으로 허용할 때 macieUniqueId라는 특별한 Macie Classic 형식을 사용해야 합니다. 예를 들어 사용자의 자격 증명 유형에 따라 123456789012:root, 123456789012:user/Bob123456789012:assumed-role/Accounting-Role/Mary 등이 있습니다. 자세한 내용은 사용자 활동별로 Amazon Macie Classic–에서 모니터링하는 데이터 분석에서 사용자의 정의를 참조하십시오.

      • 이 알림을 활성화할지 비활성화할지 지정

기존 알림 작업

다음 절차를 사용하여 알림을 보관 또는 보관 취소하거나 기존 기본 알림을 편집할 수 있습니다.

  1. Macie Classic 콘솔에서 알림 페이지로 이동하고 보관, 보관 취소(보관된 알림의 경우) 또는 편집할 알림을 찾습니다.

  2. 알림 요약 창에서 아래쪽 화살표를 선택한 후 다음 중 하나를 선택합니다.

    • 아카이브

      참고

      또는 Unarchive(보관 취소)(보관된 알림의 경우)

    • Edit basic alert(기본 알림 편집)

      중요

      이 옵션은 예측 알림에는 사용할 수 없습니다. AWS 인프라 내에서 설정된 정상 알림 기준을 벗어나는 활동을 기반으로 Macie Classic에서 자동으로 생성하는 예측 알림은 편집할 수 없습니다. 자세한 내용은 기본 및 예측 Macie Classic 알림 단원을 참조하십시오.

보관 알림 그룹화

다음 절차를 사용하여 보관 알림을 그룹화할 수 있습니다.

  1. Macie Classic 콘솔의 알림 페이지에서 Group Archive(보관 그룹화)를 선택합니다.

  2. Group archive(보관 그룹화) 창에서 사용 가능한 설정을 사용하여 동시에 여러 알림을 보관하거나 보관 취소합니다.

기본 알림에 대해 사용자 또는 버킷을 명시적으로 허용

Macie Classic를 사용하여 관리형 및 사용자 지정 기본 알림 모두에 대해 사용자(알림의 인덱스가 CloudTrail 데이터인 경우) 및 버킷(알림의 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 경우)을 명시적으로 허용할 수 있습니다. (예측 알림에 이 작업을 수행할 수 없습니다.)

다음 절차를 사용하여 Macie Classic가 특정 알림을 생성하도록 유도한 활동에 참여했거나 관여한 특정 사용자 또는 특정 버킷을 명시적으로 허용합니다.

중요

Macie Classic에서 각 알림은 다음 중 하나에 기반합니다.

  • 인덱스가 CloudTrail 데이터인 알림의 경우, Macie Classic가 알림을 생성하도록 유도한 활동을 수행한 단 한 명의 사용자, 즉 IAM 자격 증명.

  • 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 알림의 경우, Macie Classic가 알림을 생성하도록 유도한 활동에 관여한 객체와 관련되었거나 이 객체를 포함한 단 하나의 S3 버킷

알림 탭을 사용하여 사용자 지정 기본 알림에 대해 사용자 또는 S3 버킷을 명시적으로 허용

  1. Macie Classic 콘솔의 알림 탭에서 알림의 요약에 나열된 사용자 또는 S3 버킷을 명시적으로 허용할 사용자 지정 기본 알림을 찾습니다.

  2. 알림 요약 창에서 아래쪽 화살표를 선택한 후 Whitelist user(사용자를 허용)(이 알림의 인덱스가 CloudTrail 데이터인 경우) 또는 Whitelist bucket(버킷을 허용)(이 알림의 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 경우)을 선택합니다.

  3. 표시되는 창에서 허용할 사용자 또는 버킷을 확인한 후(자동으로 미리 선택되어 있고 알림의 요약에 나열된 사용자 또는 버킷과 일치), 제출을 선택합니다.

다음 절차를 사용하여 사용자 지정 기본 알림에 대해 동시에 여러 사용자 또는 버킷을 명시적으로 허용할 수 있습니다.

설정 탭을 사용하여 사용자 지정 기본 알림에 대해 사용자 또는 S3 버킷을 명시적으로 허용

  1. Macie Classic 콘솔의 설정 탭에서 기본 알림을 선택한 후 사용자 또는 S3 버킷을 명시적으로 허용할 사용자 지정 기본 알림을 찾습니다.

  2. 알림 옆의 편집 아이콘을 선택합니다.

  3. Whitelisted users(허용된 사용자)(이 알림의 인덱스가 CloudTrail 데이터인 경우) 또는 Whitelisted buckets(허용된 버킷)(이 알림의 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 경우) 필드에서 허용할 사용자 또는 S3 버킷을 지정한 후 저장을 선택합니다.

    참고

    인덱스가 CloudTrail 데이터인 기본 알림에서 사용자를 명시적으로 허용할 때 macieUniqueId라는 특별한 Macie Classic 형식을 사용해야 합니다. 예를 들어 사용자의 자격 증명 유형에 따라 123456789012:root, 123456789012:user/Bob123456789012:assumed-role/Accounting-Role/Mary 등이 있습니다. 자세한 내용은 사용자 활동별로 Amazon Macie Classic–에서 모니터링하는 데이터 분석에서 사용자 개념의 정의를 참조하십시오.

Macie Classic 관리형 기본 알림에 대해 사용자 또는 S3 버킷을 명시적으로 허용

  1. Macie Classic 콘솔의 알림 탭에서 사용자 또는 S3 버킷을 명시적으로 허용할 Macie Classic 관리형 기본 알림을 찾습니다.

  2. 알림 요약 창에서 아래쪽 화살표를 선택한 후 Whitelist user(사용자를 허용)(이 알림의 인덱스가 CloudTrail 데이터인 경우) 또는 Whitelist bucket(버킷을 허용)(이 알림의 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 경우)을 선택합니다.

  3. 표시되는 창에서 Clone and disable the default managed alert(기본 관리형 알림 복제 및 비활성화) 확인란을 선택한 후 제출을 선택합니다.

  4. Macie Classic 콘솔의 설정 탭으로 이동합니다.

    이전 단계에서 작업한 원래 관리형 알림이 이제 비활성화됩니다. 또한 이 알림은 새 사용자 지정 기본 알림에 복제되었습니다. 예를 들어 원래 관리형 기본 알림 제목이 "S3 버킷에 모든 사람에게 읽기 권한을 부여하는 S3 버킷 정책 또는 S3 ACL이 있습니다"인 경우, 이 알림이 이제 비활성화되고 "S3 버킷에 모든 사람에게 읽기 권한을 부여하는 S3 버킷 정책 또는 S3 ACL이 있습니다(수정됨)"라는 (복제된) 사용자 지정 기본 알림이 생성됩니다.

  5. 복제된 사용자 지정 기본 알림 옆의 편집 아이콘을 선택합니다.

  6. Whitelisted users(허용된 사용자)(이 알림의 인덱스가 CloudTrail 데이터인 경우) 또는 Whitelisted buckets(허용된 버킷)(이 알림의 인덱스가 S3 bucket properties(S3 버킷 속성) 또는 S3 objects(S3 객체)인 경우) 필드에서 명시적으로 허용할 사용자 또는 S3 버킷을 지정한 후 저장을 선택합니다.

    참고

    인덱스가 CloudTrail 데이터인 기본 알림에서 사용자를 명시적으로 허용할 때 macieUniqueId라는 특별한 Macie Classic 형식을 사용해야 합니다. 예를 들어 사용자의 자격 증명 유형에 따라 123456789012:root, 123456789012:user/Bob123456789012:assumed-role/Accounting-Role/Mary 등이 있습니다. 자세한 내용은 사용자 활동별로 Amazon Macie Classic–에서 모니터링하는 데이터 분석에서 사용자의 정의를 참조하십시오.