로그에 대한 쿼리 메커니즘 선택 및 구현 - AWS 보안 인시던트 대응 사용 설명서

로그에 대한 쿼리 메커니즘 선택 및 구현

AWS에서 로그를 쿼리하는 데 사용할 수 있는 주요 서비스는 CloudWatch 로그 그룹에 저장된 데이터의 경우 CloudWatch Logs Insights, Amazon S3에 저장된 데이터의 경우 Amazon AthenaAmazon OpenSearch Service입니다. 보안 정보 및 이벤트 관리(SIEM)와 같은 타사 쿼리 도구를 사용할 수도 있습니다.

로그 쿼리 도구를 선택하는 프로세스는 보안 작업의 인력, 프로세스 및 기술 측면을 고려해야 합니다. 운영, 비즈니스 및 보안 요구 사항을 충족하고 장기적으로 액세스 및 유지 관리 가능한 도구를 선택합니다. 로그 쿼리 도구는 스캔할 로그 수가 도구의 한도 내에서 유지될 때 최적으로 작동합니다. 비용이나 기술적 제약으로 인해 고객이 여러 개의 쿼리 도구를 사용하는 경우는 드물지 않습니다. 예를 들어 지난 90일 데이터에 대한 쿼리를 수행할 때는 타사 SIEM을 사용하고, SIEM의 로그 수집 비용으로 인해 90일 이후 데이터에 대한 쿼리를 수행할 때는 Athena를 사용합니다. 구현에 관계없이, 특히 보안 이벤트 조사 중에 운영 효율성을 극대화하는 데 필요한 도구의 수를 최소화하는 접근 방식인지 확인합니다.