탐지 제어 구현

탐지 제어는 특정 이벤트에 대해 알림이 사용되는 방식을 결정하는 데 도움이 되므로 그 구현 방식을 이해하는 것이 중요합니다. 기술적 탐지 제어에는 두 가지 주요 구현이 있습니다.

동작 탐지는 일반적으로 기계 학습(ML) 또는 인공 지능(AI)이라고 하는 수학적 모델에 의존합니다. 탐지는 추론을 통해 이루어지므로 알림에 실제 이벤트가 반드시 반영되지는 않을 수 있습니다.
규칙 기반 탐지는 결정적입니다. 고객은 알림을 받을 활동의 정확한 파라미터를 설정할 수 있으며, 이는 확실합니다.

침입 탐지 시스템(IDS)과 같은 탐지 시스템의 최신 구현에는 일반적으로 두 메커니즘이 모두 함께 제공됩니다. 다음은 GuardDuty를 사용한 규칙 기반 및 동작 탐지의 몇 가지 예입니다.

Exfiltration:IAMUser/AnomalousBehavior라는 조사 결과가 생성될 때 이는 ‘계정에서 변칙적인 API 요청이 관찰되었음’을 알려줍니다. 설명서를 자세히 살펴보면 "ML 모델은 계정의 모든 API 요청을 평가하고 공격자가 사용하는 기법과 관련된 이상 이벤트를 식별합니다."라는 내용이 있는데,이는 이 조사 결과가 행동 특성을 가지고 있을 나타냅니다.
조사 결과 Impact:S3/MaliciousIPCaller의 경우 GuardDuty는 CloudTrail의 Amazon S3 서비스에서 API 직접 호출을 분석하여 SourceIPAddress 로그 요소를 위협 인텔리전스 피드가 포함된 퍼블릭 IP 주소 테이블과 비교합니다. 항목과 직접 일치하는 항목을 찾으면 조사 결과가 생성됩니다.

위협 모델 내의 모든 활동에 대해 규칙 기반 알림을 구현하는 것이 항상 가능한 것은 아니므로 동작 기반 알림과 규칙 기반 알림을 모두 혼합하여 구현하는 것이 좋습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

보안 제어 엔지니어링의 일부인 탐지

사람 기반 탐지