SEC04-BP03 Correlate and enrich security alerts
예상치 못한 활동은 여러 출처에서 다양한 보안 알림을 생성할 수 있으므로, 전체 컨텍스트를 이해하려면 추가 상관관계 분석 및 보강이 필요합니다. 자동화된 상관관계 분석을 구현하고 보안 알림을 보강하여 인시던트를 보다 정확하게 식별하고 대응할 수 있습니다.
원하는 결과: 활동이 워크로드 및 환경 내에서 다양한 알림을 생성하면서 자동화된 메커니즘이 데이터의 상관관계를 파악하고 해당 데이터를 추가 정보로 보강합니다. 이러한 사전 처리를 통해 이벤트를 보다 자세히 파악할 수 있으므로, 조사관이 이벤트의 심각성과 정식 대응이 필요한 인시던트인지를 판단하는 데 도움이 됩니다. 이 프로세스를 통해 모니터링 및 조사 팀의 업무가 줄어듭니다.
일반적인 안티 패턴:
-
업무 분담 요구 사항에서 달리 규정하지 않는 한, 여러 그룹의 사람들이 서로 다른 시스템에서 생성된 결과 및 알림을 조사합니다.
-
모든 보안 조사 결과 및 알림 데이터를 표준 위치에 퍼널링하지만, 조사관이 수동으로 상관관계 분석 및 보강 작업을 수행해야 합니다.
-
조사 결과를 보고하고 중요도를 설정하는 데 위협 탐지 시스템의 인텔리전스에만 의존합니다.
이 모범 사례 확립의 이점: 자동 상관관계 분석 및 알림 보강은 조사자가 받는 전반적인 인지 부하와 수작업으로 데이터를 준비하는 시간을 줄이는 데 도움이 됩니다. 이렇게 하면 이벤트가 인시던트인지를 판단하고 정식 대응을 시작하는 데 걸리는 시간을 줄일 수 있습니다. 또한, 추가 맥락 정보를 통해 이벤트의 실제 심각도를 정확하게 평가할 수 있습니다. 이벤트의 심각도는 특정 알림에서 제안하는 것보다 높거나 낮을 수 있기 때문입니다.
이 모범 사례를 따르지 않을 경우 노출되는 위험 수준: 낮음
구현 가이드
보안 알림은 다음을 포함하여 AWS 내부의 다양한 소스에서 비롯될 수 있습니다.
-
Amazon GuardDuty
, AWS Security Hub , Amazon Macie , Amazon Inspector , AWS Config , AWS Identity and Access Management Access Analyzer, Network Access Analyzer 등의 서비스 -
Security Analytics for Amazon OpenSearch Service에서와 같이 AWS 서비스, 인프라 및 애플리케이션 로그의 자동 분석을 통한 알림
-
Amazon CloudWatch
, Amazon EventBridge , AWS Budgets 등의 출처에서 발생한 청구 활동 변경에 대한 경보 -
위협 인텔리전스 피드 및 AWS Partner Network의 보안 파트너 솔루션
과 같은 타사 소스 -
AWS Trust & Safety
또는 기타 소스(예: 고객 또는 내부 직원)로부터의 연락
누가(보안 주체 또는 ID) 무엇(영향을 받는 리소스)에 대해 어떤 일(취해진 조치)을 수행하고 있는지에 대한 정보를 포함하는 것이 알림의 가장 기본적인 형식입니다. 각 소스에 대해 상관관계 분석을 수행하기 위한 토대로 이러한 ID, 작업, 리소스에 대한 식별자 간의 매핑을 생성할 수 있는 방법이 있는지 확인하세요. 이는 알림 소스를 보안 정보 및 이벤트 관리(SIEM) 도구와 통합하여 자동화된 상관관계 분석을 수행하거나, 자체 데이터 파이프라인 및 처리 과정을 구축하거나, 이 둘을 조합한 형태를 취할 수 있습니다.
상관관계 분석을 수행할 수 있는 서비스로는 Amazon Detective
알림의 초기 중요도는 우선순위를 정하는 데 도움이 되지만, 알림이 발생한 맥락에 따라 실제 중요도가 결정됩니다. 예를 들어, Amazon GuardDuty에서 워크로드 내의 Amazon EC2 인스턴스가 예상치 못한 도메인 이름을 쿼리하고 있음을 알릴 수 있습니다. GuardDuty는 이 알림에 자체적으로 중요도를 낮게 할당할 수 있습니다. 그러나 알림이 발생한 당시 다른 활동과의 상관관계를 자동으로 분석하면 수백 개의 EC2 인스턴스가 동일한 ID로 배포되어 전체 운영 비용이 증가할 수 있습니다. 이 경우 GuardDuty는 상관관계가 있는 이벤트 맥락을 새 보안 알림으로 게시하고 중요도를 높음으로 조정하여 추가 조치를 신속하게 처리할 수 있습니다.
구현 단계
-
보안 알림 정보의 소스를 식별합니다. 이러한 시스템의 알림이 ID, 작업 및 리소스를 어떻게 나타내는지 이해하여 상관관계 분석이 가능한 부분을 결정합니다.
-
다양한 소스에서 알림을 캡처하기 위한 메커니즘을 설정합니다. 이러한 용도로는 Security Hub, EventBridge, CloudWatch 등의 서비스를 고려해 보세요.
-
데이터 상관관계 분석과 보강을 위한 소스를 식별합니다. 소스의 예로는 CloudTrail VPC 흐름 로그Amazon Security Lake, 인프라 및 애플리케이션 로그가 있습니다.
-
알림을 데이터 상관관계 분석 및 보강 소스와 통합하여 보다 상세한 보안 이벤트 맥락을 생성하고 중요도를 설정합니다.
-
Amazon Detective, SIEM 도구 또는 기타 타사 솔루션은 특정 수준의 수집, 상관관계 분석, 보강을 자동으로 수행할 수 있습니다.
-
AWS 서비스를 사용하여 직접 구축할 수도 있습니다. 예를 들어, AWS Lambda 함수를 간접 호출하여 AWS CloudTrail 또는 Amazon Security Lake에 대해 Amazon Athena 쿼리를 실행하고 결과를 EventBridge에 게시할 수 있습니다.
-
리소스
관련 모범 사례:
관련 문서:
관련 예시:
관련 도구: