Amazon Macie Classic에서 모니터링한 데이터 조사 - Amazon Macie Classic

이 문서는 Amazon Macie Classic에 대한 사용 설명서입니다. 새로운 Amazon Macie에 대한 자세한 내용은 Amazon Macie 사용 설명서를 참조하십시오. Macie Classic 콘솔에 액세스하려면 https://console.aws.amazon.com/macie/에서 Macie 콘솔을 열고 탐색 창에서 Macie Classic을 선택합니다.

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon Macie Classic에서 모니터링한 데이터 조사

Macie Classic 콘솔의 Research(조사) 탭을 사용하여 쿼리 구문 분석기에서 쿼리를 작성 및 실행하고 Macie Classic에서 모니터링하는 데이터와 활동을 심층적으로 연구 조사할 수 있습니다. 언제든지 Research(조사) 탭으로 이동하여 빈 구문 분석기에서 쿼리를 작성할 수 있습니다. 자세한 내용은 Macie Classic에서 쿼리 작성 단원을 참조하십시오. Macie Classic 콘솔 전체의 다양한 위치에서 Research(조사) 탭으로 리디렉션될 수 있습니다. 예를 들어 대시보드 보기(Amazon Macie Classic가 모니터링하는 데이터 및 활동 보기 참조) 또는 Basic alerts(기본 알림) 목록(Amazon Macie Classic 알림 참조)에서 이 탭으로 리디렉션될 수 있습니다. 콘솔의 다른 위치에서 Research(조사) 탭으로 리디렉션되면 데이터 선택이 자동 생성되는 쿼리로 변환되어 쿼리 구문 분석기에 표시됩니다.

Macie Classic에서 쿼리 작성

Macie Classic Research(조사) 탭의 쿼리 구문 분석기에서 쿼리를 작성할 수 있습니다. 이 쿼리 구문 분석기는 JavaCC를 사용하여 문자열을 Lucene 쿼리로 해석하는 Lexer입니다. 쿼리 구문에 대한 자세한 내용은 Apache Lucene - 쿼리 구문 분석기 구문을 참조하십시오.

다음은 일반 검색을 위한 예제 쿼리입니다.

  • Amazon에서 소유한 IP 주소가 출처가 아닌 콘솔 로그인을 검색하려면: eventNameIsp.compound:/ConsoleLogin:~(Amazon.*)/

  • 퍼블릭 S3 버킷 내 PII 아티팩트를 검색하려면: filesystem_metadata.bucket:"my-public-bucket" AND (pii_impact:"moderate" OR pii_impact:"high")

다음 표에 Macie Classic 날짜, 정수 및 문자열 필드 유형에 대한 쿼리 예제제가 나와 있습니다.

쿼리 예제: 날짜 필드 유형

예제 쿼리

설명

데이터 리포지토리

objectsRead.key:* AND @timestamp:[2017-08-01 TO 2017-12-31]

2017년 4분기에 읽은 S3 객체를 검색합니다.

CloudTrail 데이터

sourceIPAddress.ip_intel.type:"TOR" AND @timestamp:[now-1M TO now]

지난달 동안 Tor 출구 노드의 Macie Classic 모니터링 데이터에 대한 익명 액세스를 검색합니다.

CloudTrail 데이터

macieUniqueId:"085924634393\:assumed-role\:malicious_user" AND @timestamp:[2018-01-18 TO *]

2018년 1월 18일부터 AWS 계정 ID 085924634393의 "malicious_user"라는 위임된 역할의 AWS 활동을 검색합니다.

CloudTrail 데이터

쿼리 예제: 정수 필드 유형

예제 쿼리

설명

데이터 리포지토리

dlp_risk>6 AND filesystem_metadata.server_encryption:"none"

dlp_risk 점수가 6보다 크고 서버 측 암호화가 없는 S3 객체를 검색합니다.

S3 객체

filesystem_metadata.size: [10240 TO 1024000] AND pii_types:*

크기가 10MB~1GB이고 잠재적 PII 데이터가 포함된 S3 객체를 검색합니다.

S3 객체

쿼리 예제: 문자열 필드 유형

예제 쿼리

설명

데이터 리포지토리

dlp_risk>5 AND key: /.*contract.*|.*agreement.*|.*terms.*/ AND @timestamp:[now-1M/M TO now]

키워드 "contract", "agreement" 또는 "terms"가 포함되어 있고, dlp_risk 점수가 5보다 크며, 한 달 미만 전에 마지막으로 수정된 S3 객체 키(이름)를 검색합니다.

참고

일부 regex 쿼리는 검색 시간이 오래 걸릴 수 있습니다. 제한된 시간 동안 검색을 수행하는 것이 좋습니다.

S3 객체

mimetypes:"Adobe PDF \(application/pdf\)" AND key: /~(.*\.pdf|.*\.PDF)/

PDF 데이터를 포함하지만 파일 확장명이 PDF/pdf가 아닌 파일의 S3 객체를 검색합니다.

참고

이 쿼리는 PDF 문서가 포함된 보관된 객체(zip,7z 등)도 반환합니다.

S3 객체

acl.Grants.Grantee.DisplayName: admin

ACL 피부여자 표시 이름이 "admin"으로 설정된 S3 버킷을 검색합니다.

S3 버킷 속성

acl.Grants.Grantee.DisplayName: admi?

ACL 피부여자 표시 이름이 "admi(?)"(와일드카드)("admin" 포함)으로 설정된 S3 버킷을 검색합니다.

S3 버킷 속성

bucket: *test*

키워드가 "test"인 S3 버킷을 검색합니다.

S3 버킷 속성

Research 필터

Macie Classic Research(조사) 탭에서 다음 필터를 검색에 적용할 수 있습니다.

첫 번째 Research(조사) 탭 필터(드롭다운)는 CloudTrail data 기본값이 미리 선택되어 있으며 이를 통해 Macie Classic에서 검색하려는 인덱스(또는 데이터 리포지토리)를 지정할 수 있습니다. 이 필터에는 다음 옵션이 포함되어 있습니다.

  • CloudTrail data – 원시 CloudTrail 데이터의 5분 집계 모음

  • S3 버킷 속성 – Macie Classic에서 모니터링하는 S3 버킷에 대한 메타데이터 모음

  • S3 객체 – Macie Classic에서 모니터링하는 버킷에 저장된 S3 객체에 대한 메타데이터 모음

표시할 결과 수

Research(조사) 탭의 다음 필터는 Top 10(상위 10) 기본값이 사전 선택되어 있으며, 이를 통해 처음 검색을 수행할 때 표시할 결과의 개수와 추가로 결과가 있을 때 표시할 추가 결과 수를 제어할 수 있습니다. 이 필터에는 다음 옵션이 포함되어 있습니다.

  • 상위 10개

  • 상위 50개

  • 상위 100개

  • 상위 500개

시간 범위

Research(조사) 탭의 세 번째 필터는 Past 30 days(지난 30일) 기본값이 사전 선택되어 있으며, 이를 통해 검색 결과를 표시하려는 시간 범위를 지정할 수 있습니다. 이 필터에는 다음 옵션이 포함되어 있습니다.

  • 지난 7일

  • 지난 30일

  • 지난 90일

  • 지난 365일

  • 모두

  • 사용자 지정 시간 범위

쿼리를 알림으로 저장

다음 절차를 사용하여 쿼리 구문 분석기에 표시된 쿼리를 기본 알림으로 저장할 수 있습니다. 기본 알림에 대한 자세한 내용은 Amazon Macie Classic 알림 단원을 참조하십시오.

  1. Macie Classic 콘솔의 Research(조사) 탭에서 쿼리 구문 분석기에 쿼리를 자동 생성하거나 작성합니다.

  2. Save query as alert(쿼리를 알림으로 저장) 아이콘을 선택합니다.

  3. Basic alert definition(기본 알림 정의) 양식을 작성한 후 저장을 선택합니다. 자세한 내용은 새/기존 사용자 지정 기본 알림 추가 및 편집 단원을 참조하십시오.

즐겨 사용하는 쿼리

자주 실행하는 쿼리를 즐겨찾기로 표시하거나 즐겨 사용하는 쿼리 목록을 확인할 수 있습니다.

  1. Macie Classic 콘솔의 Research(조사) 탭에서 쿼리 구문 분석기에 쿼리를 자동 생성하거나 작성합니다.

  2. Mark query favorite(쿼리를 즐겨찾기로 표시) 아이콘을 선택합니다.

  3. Favorite query definition(즐겨 사용하는 쿼리 정의) 양식에서 즐겨 사용하는 쿼리의 이름과 설정을 지정하고 저장을 선택합니다.

  4. 즐겨 사용하는 쿼리 목록을 보려면 Macie Classic 콘솔의 Research(조사) 탭에서 Favorite queries(즐겨 사용하는 쿼리) 아이콘을 선택합니다.