SEC04-BP03 Correlate and enrich security alerts

예상치 못한 활동은 여러 출처에서 다양한 보안 알림을 생성할 수 있으므로, 전체 컨텍스트를 이해하려면 추가 상관관계 분석 및 보강이 필요합니다. 자동화된 상관관계 분석을 구현하고 보안 알림을 보강하여 인시던트를 보다 정확하게 식별하고 대응할 수 있습니다.

원하는 결과: 활동이 워크로드 및 환경 내에서 다양한 알림을 생성하면서 자동화된 메커니즘이 데이터의 상관관계를 파악하고 해당 데이터를 추가 정보로 보강합니다. 이러한 사전 처리를 통해 이벤트를 보다 자세히 파악할 수 있으므로, 조사관이 이벤트의 심각성과 정식 대응이 필요한 인시던트인지를 판단하는 데 도움이 됩니다. 이 프로세스를 통해 모니터링 및 조사 팀의 업무가 줄어듭니다.

일반적인 안티 패턴:

• 업무 분담 요구 사항에서 달리 규정하지 않는 한, 여러 그룹의 사람들이 서로 다른 시스템에서 생성된 결과 및 알림을 조사합니다.  

• 모든 보안 조사 결과 및 알림 데이터를 표준 위치에 퍼널링하지만, 조사관이 수동으로 상관관계 분석 및 보강 작업을 수행해야 합니다.

• 조사 결과를 보고하고 중요도를 설정하는 데 위협 탐지 시스템의 인텔리전스에만 의존합니다.

이 모범 사례 확립의 이점: 자동 상관관계 분석 및 알림 보강은 조사자가 받는 전반적인 인지 부하와 수작업으로 데이터를 준비하는 시간을 줄이는 데 도움이 됩니다. 이렇게 하면 이벤트가 인시던트인지를 판단하고 정식 대응을 시작하는 데 걸리는 시간을 줄일 수 있습니다. 또한, 추가 맥락 정보를 통해 이벤트의 실제 심각도를 정확하게 평가할 수 있습니다. 이벤트의 심각도는 특정 알림에서 제안하는 것보다 높거나 낮을 수 있기 때문입니다.

이 모범 사례를 따르지 않을 경우 노출되는 위험 수준: 낮음 

구현 가이드

보안 알림은 다음을 포함하여 AWS 내부의 다양한 소스에서 비롯될 수 있습니다.

• Amazon GuardDuty, AWS Security Hub, Amazon Macie, Amazon Inspector, AWS Config, AWS Identity and Access Management Access Analyzer, Network Access Analyzer 등의 서비스

• Security Analytics for Amazon OpenSearch Service에서와 같이 AWS 서비스, 인프라 및 애플리케이션 로그의 자동 분석을 통한 알림

• Amazon CloudWatch, Amazon EventBridge, AWS Budgets 등의 출처에서 발생한 청구 활동 변경에 대한 경보

• 위협 인텔리전스 피드 및 AWS Partner Network의 보안 파트너 솔루션과 같은 타사 소스

• AWS Trust & Safety 또는 기타 소스(예: 고객 또는 내부 직원)로부터의 연락

누가(보안 주체 또는 ID) 무엇(영향을 받는 리소스)에 대해 어떤 일(취해진 조치)을 수행하고 있는지에 대한 정보를 포함하는 것이 알림의 가장 기본적인 형식입니다. 각 소스에 대해 상관관계 분석을 수행하기 위한 토대로 이러한 ID, 작업, 리소스에 대한 식별자 간의 매핑을 생성할 수 있는 방법이 있는지 확인하세요. 이는 알림 소스를 보안 정보 및 이벤트 관리(SIEM) 도구와 통합하여 자동화된 상관관계 분석을 수행하거나, 자체 데이터 파이프라인 및 처리 과정을 구축하거나, 이 둘을 조합한 형태를 취할 수 있습니다.

상관관계 분석을 수행할 수 있는 서비스로는 Amazon Detective가 있습니다. Detective는 다양한 AWS 및 타사 소스의 알림을 지속적으로 수집하고 여러 형태의 인텔리전스를 통해 관계를 시각적 그래프로 구성하여 조사를 지원합니다.

알림의 초기 중요도는 우선순위를 정하는 데 도움이 되지만, 알림이 발생한 맥락에 따라 실제 중요도가 결정됩니다. 예를 들어, Amazon GuardDuty에서 워크로드 내의 Amazon EC2 인스턴스가 예상치 못한 도메인 이름을 쿼리하고 있음을 알릴 수 있습니다. GuardDuty는 이 알림에 자체적으로 중요도를 낮게 할당할 수 있습니다. 그러나 알림이 발생한 당시 다른 활동과의 상관관계를 자동으로 분석하면 수백 개의 EC2 인스턴스가 동일한 ID로 배포되어 전체 운영 비용이 증가할 수 있습니다. 이 경우 GuardDuty는 상관관계가 있는 이벤트 맥락을 새 보안 알림으로 게시하고 중요도를 높음으로 조정하여 추가 조치를 신속하게 처리할 수 있습니다.

구현 단계

1. 보안 알림 정보의 소스를 식별합니다. 이러한 시스템의 알림이 ID, 작업 및 리소스를 어떻게 나타내는지 이해하여 상관관계 분석이 가능한 부분을 결정합니다.

2. 다양한 소스에서 알림을 캡처하기 위한 메커니즘을 설정합니다. 이러한 용도로는 Security Hub, EventBridge, CloudWatch 등의 서비스를 고려해 보세요.

3. 데이터 상관관계 분석과 보강을 위한 소스를 식별합니다. 소스의 예로는 CloudTrail VPC 흐름 로그Amazon Security Lake, 인프라 및 애플리케이션 로그가 있습니다.

4. 알림을 데이터 상관관계 분석 및 보강 소스와 통합하여 보다 상세한 보안 이벤트 맥락을 생성하고 중요도를 설정합니다.

   1. Amazon Detective, SIEM 도구 또는 기타 타사 솔루션은 특정 수준의 수집, 상관관계 분석, 보강을 자동으로 수행할 수 있습니다.

   2. AWS 서비스를 사용하여 직접 구축할 수도 있습니다. 예를 들어, AWS Lambda 함수를 간접 호출하여 AWS CloudTrail 또는 Amazon Security Lake에 대해 Amazon Athena 쿼리를 실행하고 결과를 EventBridge에 게시할 수 있습니다.

리소스

관련 모범 사례:

• SEC10-BP03 포렌식 역량 확보

• OPS08-BP04 실행 가능한 알림 생성

• REL06-BP03 알림 전송(실시간 처리 및 경보)

관련 문서:

• AWS 보안 인시던트 대응 가이드

관련 예시:

• How to enrich AWS Security Hub findings with account metadata

• How to use AWS Security Hub and Amazon OpenSearch Service for SIEM

관련 도구:

• Amazon Detective

• Amazon EventBridge

• AWS Lambda

• Amazon Athena