가시성 및 알림 - AWS 보안 인시던트 대응 가이드

가시성 및 알림

AWS Security Hub - AWS Security Hub는 AWS 계정 전체의 우선순위가 높은 보안 알림 및 규정 준수 상태를 종합적으로 보여줍니다. Security Hub를 사용하면 Amazon GuardDuty, Amazon Inspector 및 Amazon Macie와 같은 여러 AWS 서비스 뿐만 아니라 AWS 파트너 솔루션에서 제공되는 보안 경고 또는 평가 결과를 단일 공간에서 수집 및 정리하고 이에 대한 우선순위를 지정하는 서비스를 확보하게 됩니다. 평가 결과는 실행 가능한 그래프 및 표를 포함한 통합 대시보드에 시각적으로 요약됩니다. 또한, AWS 모범 사례 및 조직이 준수하는 업계 표준을 기반으로 하는 자동 규정 준수 검사를 사용하여 환경을 지속적으로 모니터링합니다.

Amazon GuardDuty - Amazon GuardDuty는 악성 또는 인증되지 않은 동작을 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하도록 지원하는 관리형 위협 탐지 서비스입니다. 계정 침해 가능성을 나타내는 무단 배포 또는 비정상적인 API 호출과 같은 활동을 모니터링합니다. 또한, GuardDuty는 잠재적 인스턴스 침해 또는 공격자 정찰과 같은 위협을 탐지합니다

GuardDuty는 통합된 위협 인텔리전스 피드를 통해 의심되는 공격자를 파악하고 기계 학습을 사용해 계정 및 워크로드 활동에서 이상 항목을 탐지합니다. 잠재적 위협이 탐지되면, 서비스에서 상세한 보안 알림을 GuardDuty 콘솔과 AWS CloudWatch Events로 전달합니다. 그러면 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 및 워크로드 시스템에 손쉽게 통합할 수 있습니다.

Amazon Macie - Amazon Macie는 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류 및 보호하여 데이터 손실을 막아주는 AI 기반 보안 서비스입니다. Amazon Macie는 기계 학습을 사용하여 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식하고 비즈니스 가치를 부여하며 이 데이터가 저장된 장소와 이 데이터가 조직에서 어떤 방식으로 사용되는지를 파악합니다. Amazon Macie는 비정상적인 데이터 액세스 활동을 지속적으로 모니터링하여 무단 액세스 또는 의도하지 않은 데이터 유출 위험이 감지될 경우 경고합니다.

AWS Config 규칙 - AWS Config 규칙은 원하는 리소스 구성을 나타내며, AWS Config에서 기록한 관련 리소스의 구성 변경과 비교하여 평가됩니다. 규칙을 리소스 구성과 비교하여 평가한 결과는 대시보드에서 확인할 수 있습니다. Config 규칙을 사용하면 전반적인 규칙 준수 및 위험 상태를 구성 측면에서 평가하고, 시간에 따른 규칙 준수 추세를 확인하여 리소스의 규칙 미준수를 초래한 구성 변경이 무엇인지 찾아낼 수 있습니다.

AWS Trusted Advisor - AWS Trusted Advisor는 AWS 환경을 최적화하여 비용을 줄여주고 성능을 향상시키며 보안을 개선하는 온라인 리소스입니다. Trusted Advisor는 AWS 모범 사례에 따라 리소스를 프로비저닝하는 데 도움이 되는 실시간 가이드를 제공합니다. Business 및 Enterprise Support 플랜 고객은 CloudWatch Events 통합을 비롯하여 모든 Trusted Advisor 검사 항목을 사용할 수 있습니다.

Amazon CloudWatch - Amazon CloudWatch는 AWS 클라우드 리소스 및 AWS에서 실행하는 애플리케이션을 모니터링하는 서비스입니다. Amazon CloudWatch를 사용하여 지표를 수집 및 추적하고, 로그 파일을 수집 및 모니터링하며, 경보를 설정하고, AWS 리소스 변경에 자동으로 대응할 수 있습니다. Amazon CloudWatch는 Amazon EC2 인스턴스, Amazon DynamoDB 테이블, Amazon RDS DB 인스턴스 같은 AWS 리소스 뿐만 아니라 애플리케이션과 서비스에서 생성된 사용자 정의 지표 및 애플리케이션에서 생성된 모든 로그 파일을 모니터링할 수 있습니다. Amazon CloudWatch를 사용하여 시스템 전반의 리소스 사용률, 애플리케이션 성능, 운영 상태를 파악할 수 있습니다. 이러한 분석 정보를 활용해 문제에 빠르게 대응하고 애플리케이션이 원활하게 실행되는 상태를 유지할 수 있습니다.

Amazon Inspector - Amazon Inspector는 AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동 보안 평가 서비스입니다. Amazon Inspector는 애플리케이션의 취약점 또는 모범 사례와의 차이를 자동으로 평가합니다. 평가를 수행한 후, Amazon Inspector는 상세한 보안 평가 결과 목록을 제공하며, 이 목록은 심각도 수준에 따라 우선순위가 지정되어 있습니다. 이러한 평가 결과는 직접 검토하거나, Amazon Inspector 콘솔 또는 API를 통해 제공되는 상세한 평가 보고서에 포함된 내용을 확인해도 됩니다.

Amazon Detective - Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 집합을 구축합니다. Amazon Detective는 Virtual Private Cloud(VPC) 흐름 로그, AWS CloudTrail 및 Amazon GuardDuty와 같은 여러 데이터 원본에서 몇 조에 달하는 이벤트를 분석하고, 시간에 따른 리소스, 사용자 및 이들 간의 상호작용에 대한 통합된 대화형 보기를 자동으로 생성합니다. 이 통합된 보기를 통해 한 곳에서 모든 세부 정보와 컨텍스트를 시각화하여 탐지 결과에 대한 근본적인 이유를 식별하고, 관련 기록 활동을 자세히 탐구하며, 근본 원인을 빠르게 확인할 수 있습니다.