사용자 활동별로 Amazon Macie Classic–에서 모니터링하는 데이터 분석 - Amazon Macie Classic

이 문서는 Amazon Macie Classic에 대한 사용 설명서입니다. 새로운 Amazon Macie에 대한 자세한 내용은 Amazon Macie 사용 설명서를 참조하십시오. Macie Classic 콘솔에 액세스하려면 https://console.aws.amazon.com/macie/에서 Macie 콘솔을 열고 탐색 창에서 Macie Classic을 선택합니다.

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

사용자 활동별로 Amazon Macie Classic–에서 모니터링하는 데이터 분석

The 사용자 탭을 통해 모니터링되는 모든 데이터와 활동을 종합적으로 파악할 수 있습니다. Macie Classic 특정 사용자 에 대해 를 선택합니다. 이 항목에서는 사용자 탭. 또한 이 탭에서 사용할 수 있는 보기는 다양한 이자 포인트로 그룹화된 선택한 사용자의 모니터링되는 데이터를 볼 수 있습니다. 각 보기는 Macie Classic 콘솔 연구 탭. 여기서 쿼리를 구사하고 쿼리할 수 있으며, 데이터 및 활동에 대한 심층적인 조사 연구를 수행할 수 있습니다. Macie Classic 를 선택합니다.

Macie ClassicUniqueID

다음과 같은 맥락에서 Macie Classic사용자는 AWS Identity and Access Management (IAM) 특정 요청을 만드는 ID입니다. Macie Classic 사용 AWS CloudTrail userIdentity 요소를 사용하여 다음 사용자 유형을 구분합니다. 자세한 내용은 CloudTrail userIdentity 요소를 참조하십시오.

  • 뿌리 – 요청이 AWS 계정 자격 증명.

  • IAM 사용자 – 이 요청은 IAM 사용자.

  • 추정 역할 – 요청을 통해 받은 임시 보안 자격 증명으로 요청이 이루어졌습니다. AWS Security Token Service (AWS STS) ) AssumeRole API 작업.

  • 연합 사용자 – 요청은 AWS STS GetFederationToken API 작업.

  • AWS 계정 – 다른 계정으로 요청을 했습니다.

  • AWS 서비스 – 이 요청은 AWS 서비스.

사용자를 Macie Classic 콘솔을 사용하여 Macie Classic 형식 macieUniqueId. 사용자를 지정하는 예는 사용자 탭, 연구 탭 및 명시적으로 허용하는 기본 경고의 사용자를 CloudTrail 데이터. The macieUniqueId 은(는) IAM UserIdentity 요소 및 recipientAccountId. 자세한 내용은 CloudTrail 사용자 ID 요소 그리고 recipientAccountId 에서 CloudTrail 내용 기록.

다음 예는 다양한 구조를 나열합니다. macieUniqueId, 사용자 ID 유형에 따라 에 따라

userIdentity MacieUniqueId
"userIdentity": { "type": "AssumedRole" "arn": "arn:aws:sts::123456789012:assumed-role/Accounting-Role/Mary" }

123456789012:assumed-role/accounting-role

"userIdentity": { "type": "IAMUser", "arn": "arn:aws:iam::123456789012:user/Bob", "userName": "Bob" }

123456789012:user:bob

"userIdentity": { "type": "FederatedUser" "arn": "arn:aws:sts::123456789012:federated-user/Alice", "principalId": "123456789012:Alice", }

123456789012:federated-user:alice

"recipientAccountId": "123456789012", "userIdentity": { "type": "AWSAccount" "accountId": "ANONYMOUS_PRINCIPAL", }

123456789012:ANONYMOUS_PRINCIPAL

"macieUniqueId": "123456789012:root:root", "userIdentity": { "type": "Root" "sourceARN": "arn:aws:iam::123456789012:root", }

123456789012:root:root

"recipientAccountId": "123456789012", "userIdentity": { "invokedBy": "codepipeline.amazonaws.com", "type": "AWSService" }

123456789012:codepipeline.amazonaws.com

"recipientAccoundId": "123456789012", "userIdentity": { "type": "AWSAccount" "accountId": "987654321098", "principalId": "AIDABCDEFGHI123456XYZ", }

123456789012:AIDABCDEFGHI123456XYZ

Macie Classic의 사용자 범주

Macie Classic의 사용자는 활동(API 호출)에 따라 다음 범주로 그룹화됩니다.

  • 플래티넘 – 이러한 IAM 사용자 또는 역할은 사용자 생성, 보안 그룹 수집 권한 부여 또는 정책 업데이트 등 관리자 또는 루트 사용자를 나타내는 고위험 API 호출의 이력을 갖습니다. 이러한 계정의 경우 계정 손상의 징후를 면밀하게 모니터링해야 합니다.

  • – 이러한 IAM 사용자 또는 역할은 인프라 관련 API 호출의 이력이 있습니다. 예를 들어 인스턴스 실행 또는 데이터 쓰기와 같은 Amazon Simple Storage Service (Amazon S3) ). 이러한 계정의 경우 계정 손상의 징후를 면밀하게 모니터링해야 합니다.

  • 실버 – 이러한 IAM 사용자 또는 역할은 다음과 같은 많은 양의 중간 위험 API 호출을 발행하는 이력이 있습니다. Describe* and List* 읽기 전용 액세스 요청 Amazon S3.

  • 브론즈 – 이러한 IAM 사용자 또는 역할은 일반적으로 Describe* and List* API 호출 AWS 환경.

사용자 조사

이 절차에 따라 모니터링되는 모든 데이터와 활동의 종합적인 그림을 생성하십시오. Macie Classic 지정한 사용자.

  1. 에서 Macie Classic 콘솔 사용자 탭, 검색 필드를 입력하고 Enter 키를 누릅니다.

    참고

    사용자를 지정할 때, Macie Classic 형식 마시니크예: 123456789012:root, 123456789012:user/Bob, 또는 123456789012:assumed-role/Accounting-Role/Mary사용자의 ID 유형에 따라. 자세한 내용은 사용자 에서 개념 및 용어.

  2. 사용자 데이터가 생성되면 해당 아이콘을 선택하여 다음 보기 중 하나를 선택하여 이 사용자의 데이터 및 활동의 다양한 하위 집합을 표시합니다. Macie Classic 모니터:

  3. 선택한 보기에 Minimum risk(최소 위험) 슬라이더가 있으면 슬라이더를 원하는 값으로 이동합니다. The 최소 위험 슬라이더를 사용하면 지정된 위험이 선택한 값과 같고 선택한 값만 볼 수 있습니다.

고위험 CloudTrail 이벤트

이 보기는 상위 20의 시각적 표현을 제공합니다(할당된 위험에 따라, 그리고 최소 위험 슬라이더) CloudTrail 선택한 사용자 에 대해 지난 60일 동안 발생한 데이터 및 관리 이벤트입니다. 사용 가능한 매일 또는 매주 일일 또는 주간 결과를 보려면 그래프를 수정하기 위한 라디오 버튼.

이 보기에서 연구 탭을 클릭하고, 추가로 조사할 특정 이벤트를 나타내는 모든 사각형을 선택합니다. 이벤트 이름 옆의 괄호 안의 숫자는 사용자 세션 수(5분 집계)를 나타냅니다. CloudTrail 이 이벤트가 에 나와 있습니다. 에서 연구 탭에서는 선택 항목이 쿼리 파서 에 나타나는 쿼리로 자동 전송됩니다. 자세한 정보는 Amazon Macie Classic에서 모니터링한 데이터 조사 단원을 참조하십시오.

고위험 CloudTrail 오류

이 보기는 선택한 사용자에 대해 지난 60일간 발생한 CloudTrail 오류 중 상위 20개(배정된 위험 및 Minimum risk(최소 위험) 슬라이더로 선택한 값 기준)를 시각적으로 보여 줍니다. Daily(일별) 또는 Weekly(주별) 옵션 버튼으로 그래프를 수정하여 일별 또는 주별 결과를 볼 수 있습니다.

이 보기에서 연구 탭을 클릭하고, 추가로 조사하려는 특정 오류를 나타내는 모든 사각형을 선택합니다. 오류 이름 옆의 괄호 안의 숫자는 사용자 세션 수(5분 집계)를 나타냅니다. CloudTrail 이 오류가 에 나와 있습니다. 에서 연구 탭에서는 선택 항목이 쿼리 파서 에 나타나는 쿼리로 자동 전송됩니다. 자세한 정보는 Amazon Macie Classic에서 모니터링한 데이터 조사 단원을 참조하십시오.

활동 위치

이 보기에는 지정된 사용자에 대해 선택한 기간 동안 Macie Classic에서 모니터링하는 활동의 위치를 보여 주는 맵이 포함되어 있습니다. 세부 정보를 보려면 사용 가능한 기간 드롭다운(지난 15일, 지난 30일, 지난 90일 또는 작년)을 사용하고, 모든 위치 핀을 선택합니다.

이 보기에서 연구 탭, 위치 핀에 대한 도구 팁 창에 나타나는 이벤트 수를 선택합니다. 에서 연구 탭에서는 선택 항목이 쿼리 파서 에 나타나는 쿼리로 자동 전송됩니다. 자세한 정보는 Amazon Macie Classic에서 모니터링한 데이터 조사 단원을 참조하십시오.

CloudTrail 이벤트

이 보기는 CloudTrail 데이터 및 관리 이벤트 모니터링 Macie Classic 지정한 사용자. 각 이벤트에 대해 총 사용자 세션 수(5분 통합) CloudTrail (데이터) 이 이벤트가 존재하고 총 사용자 세션의 총 개수가 표시되는 백분율을 표시합니다.

이 보기에서 연구 tab, 표시된 이벤트 옆에 있는 보기 유리 아이콘을 선택합니다. 선택은 쿼리 파서에 있는 쿼리에 자동으로 변환됩니다. 연구 탭. 자세한 정보는 Amazon Macie Classic에서 모니터링한 데이터 조사 단원을 참조하십시오.

활동 ISP

이 보기는 CloudTrail 데이터 및 관리 이벤트 모니터링 Macie Classic지정된 사용자 에 대해 연결된 인터넷 서비스 공급자(isps)가 그룹화했습니다. 각 ISP에 대해 사용자 세션의 총 카운트는 CloudTrail (데이터) 이 ISP가 존재하고 총 사용자 세션의 총 개수가 표시되는 백분율을 표시합니다.

이 보기에서 연구 탭, 표시된 테마 옆에 있는 보기 유리 아이콘을 선택합니다. 선택은 쿼리 파서에 있는 쿼리에 자동으로 변환됩니다. 연구 탭. 자세한 정보는 Amazon Macie Classic에서 모니터링한 데이터 조사 단원을 참조하십시오.

CloudTrail 사용자 ID 유형

이 보기는 CloudTrail 데이터 및 관리 이벤트 모니터링 Macie Classic, 지정된 사용자의 사용자 ID 유형별로 그룹화됩니다. 자세한 내용은 정의를 참조하십시오. 사용자 에서 개념 및 용어. 사용자 ID 유형에 대해 사용자 세션의 총 카운트는 CloudTrail 데이터) 이 사용자 ID 유형이 나타나고 총 사용자 세션의 총 표시가 표시되는 백분율을 표시합니다.

이 보기에서 연구 탭, 표시된 테마 옆에 있는 보기 유리 아이콘을 선택합니다. 선택은 쿼리 파서에 있는 쿼리에 자동으로 변환됩니다. 연구 탭. 자세한 정보는 Amazon Macie Classic에서 모니터링한 데이터 조사 단원을 참조하십시오.