에 대한 새로운 콘솔 환경 소개 AWS WAF
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 사용하여 AWS Shield 네트워크 보안 디렉터 API 호출 로깅 AWS CloudTrail
AWS Shield 네트워크 보안 디렉터는와 통합되어 모든 API 호출 AWS CloudTrail 을 이벤트로 기록합니다. 이 통합은 네트워크 보안 디렉터 콘솔에서 수행된 호출, 네트워크 보안 디렉터 APIs, 다른 AWS 서비스에서 수행된 호출을 캡처합니다.
CloudTrail을 사용하면 이벤트 기록에서 최근 이벤트를 보거나 추적을 생성하여 Amazon Simple Storage Service 버킷에 지속적인 로그를 전달할 수 있습니다. 이러한 로그는 호출자의 자격 증명, 시간, 요청 파라미터 및 응답을 포함하여 각 요청에 대한 세부 정보를 제공합니다.
CloudTrail에 대한 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하세요.
CloudTrail의 네트워크 보안 디렉터 정보
CloudTrail은 AWS 계정에서 자동으로 활성화됩니다. 네트워크 보안 디렉터에서 활동이 발생하면 CloudTrail에 이벤트로 기록됩니다. 이벤트를 지속적으로 기록하려면 Amazon S3 버킷에 로그 파일을 전달하는 추적을 생성합니다.
추적 생성 및 관리에 대한 자세한 내용은 다음을 참조하세요.
CloudTrail에서 로깅한 네트워크 보안 디렉터 API 작업
모든 네트워크 보안 디렉터 API 작업은 CloudTrail에서 로깅되고 API 참조에 문서화됩니다. 다음 작업이 포함됩니다.
-
StartNetworkSecurityScan: 네트워크 보안 스캔을 시작합니다.
-
GetNetworkSecurityScan: 네트워크 보안 스캔에 대한 정보를 검색합니다.
-
ListResources: 서비스에서 사용할 수 있는 리소스를 나열합니다.
-
GetResource: 특정 리소스에 대한 세부 정보를 검색합니다.
-
ListFindings: 보안 조사 결과를 나열합니다.
-
GetFinding: 특정 결과에 대한 세부 정보를 검색합니다.
-
UpdateFinding: 결과의 상태 또는 기타 속성을 업데이트합니다.
-
ListRemediations: 결과에 대한 수정 권장 사항을 나열합니다.
-
ListInsights: 조사 결과 및 리소스를 기반으로 인사이트를 나열합니다.
네트워크 보안 디렉터 로그 파일 항목 이해
CloudTrail 로그 항목에는 요청을 수행한 사람, 요청이 수행된 시간 및 사용된 파라미터에 대한 정보가 포함됩니다. 다음은 StartNetworkSecurityScan 작업의 예입니다.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:02:58Z", "eventSource": "network-director.amazonaws.com", "eventName": "StartNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "RESCANNING", "startTime": "2023-11-28T22:02:58Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
다음은 GetNetworkSecurityScan 작업의 예입니다.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:03:15Z", "eventSource": "network-director.amazonaws.com", "eventName": "GetNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "COMPLETE", "startTime": "2023-11-28T22:02:58Z", "completionTime": "2023-11-28T22:03:15Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Amazon CloudWatch를 사용하여 CloudTrail 로그 모니터링
Amazon CloudWatch를 사용하여 CloudTrail 로그의 특정 API 활동을 모니터링하고 알릴 수 있습니다. 이를 통해 무단 액세스 시도, 구성 변경 또는 비정상적인 활동 패턴을 감지할 수 있습니다.
CloudWatch 모니터링을 설정하려면:
-
CloudWatch Logs로 로그를 전송하도록 CloudTrail 추적 구성 CloudWatch
-
지표 필터를 생성하여 로그 이벤트에서 특정 정보 추출
-
이러한 지표를 기반으로 경보 생성
자세한 지침은 Amazon CloudWatch Logs를 사용하여 CloudTrail 로그 파일 모니터링을 참조하세요.
네트워크 보안 디렉터를 사용한 CloudTrail 모범 사례
CloudTrail을 사용하여 보안 및 감사 가능성을 극대화하려면:
-
포괄적인 적용 범위를 위해 모든 리전에서 CloudTrail 활성화
-
로그 파일 무결성 검증을 활성화하여 무단 수정 감지
-
IAM을 사용하여 최소 권한 원칙에 따라 CloudTrail 로그에 대한 액세스 제어
-
CloudWatch 경보를 사용하여 중요 이벤트에 대한 알림 설정
-
CloudTrail 로그를 정기적으로 검토하여 비정상적인 활동 식별
