[AWS Security] Amazon Detective 입문하기

[AWS Security] Amazon Detective 입문하기

이 글은 학습 정리 목적으로 AWS Skill Builder의 Getting Started with Amazon Detective  코스를 참고하였습니다.

 

학습 목표

• Detective의 작동 방식 이해하기
• Detective의 기술 개념 익히기
• Detective의 일반적인 사용 사례 나열하기
• 실제 시나리오에서 Detective 구현하기
• Detective의 비용 구조 설명하기
• AWS Management Console에서 Detective 사용하기

 

Amazon Detective란?

 

Amazon Detective는 보안 문제나 의심스러운 활동의 근본 원인을 신속하게 분석하고 조사하며 식별할 수 있도록 도와줍니다. Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집한 후, 머신 러닝, 통계 분석, 그래프 이론을 활용하여 시각화를 생성합니다. 이를 통해 보안 조사를 더 빠르고 효율적으로 수행할 수 있습니다.

 

Detective는 사전 구축된 데이터 집계, 요약 및 컨텍스트를 제공하여 보안 문제의 성격과 범위를 신속하게 분석하고 결정하는 데 도움을 줍니다. 최대 1년간의 과거 이벤트 데이터를 시각화하여 선택한 기간 동안의 활동 유형과 양의 변화를 보여줍니다. 이러한 변화는 GuardDuty 발견 사항과 연결됩니다.

 

Amazon Detective는 데이터를 자동으로 집계하고 시각적 도구를 제공하여 보안 조사를 보다 빠르고 효율적으로 수행할 수 있도록 지원합니다. 잠재적인 문제를 신속하게 분석하고 보안 위협의 범위를 결정할 수 있습니다.

 

 

Amazon Detective 작동 방식

 

Amazon Detective는 조사 프로세스를 단순화하고 보안 팀이 더 빠르고 효과적으로 조사를 수행할 수 있도록 지원합니다.

 

Amazon Detective의 미리 구축된 데이터 집계, 요약 및 컨텍스트를 통해 잠재적 보안 문제의 특성과 범위를 빠르게 분석하고 확인할 수 있습니다.

 

 

Amazon Detective 가격 정책

 

Amazon Detective는 AWS CloudTrail, Amazon VPC Flow Logs, Amazon EKS 감사 로그 및 GuardDuty 결과에서 수집된 데이터 볼륨을 기준으로 가격이 책정됩니다. 계정, 지역 및 월별로 수집된 기가바이트(GB)당 요금이 청구됩니다. 분석을 위해 이러한 로그 소스를 활성화하거나 Detective에 저장된 데이터에 대한 추가 요금은 없습니다. 전 세계적으로 이용 가능한 이 서비스는 분석을 위해 최대 1년 분의 집계된 데이터를 유지합니다.

 

 

Amazon Detective 활용 방안

 

Amazon Detective 시각화는 계정 정보를 요약하는 동시에 기준을 제공합니다. 이러한 조사 결과는 다음과 같은 질문에 답하는 데 도움이 될 수 있습니다.

• 이 역할에 대한 특이한 API 호출인가요?
• 이 인스턴스의 트래픽 급증이 예상됩니까?

Detective를 사용하면 데이터를 정리하거나 자체 쿼리와 알고리즘을 개발, 구성 또는 조정할 필요가 없습니다. 사전 비용이 없이 분석된 이벤트에 대해서만 비용을 지불하면 되며, 배포할 추가 소프트웨어나 구독할 다른 피드가 없습니다.

 

Detective는 AWS 위협 탐지 및 모니터링의 핵심 요소입니다. Detective는 조사를 간소화하는 데 도움이 되는 시각화 및 분석을 제공하여 AWS 환경에서 의심스러운 활동의 전반적인 조사 프로세스를 지원하는 도구를 제공합니다.

 

 

위의 그림과 같이 AWS Security Hub는 GuardDuty, Amazon Macie 및 Amazon Inspector에서 결과를 수집합니다. Detective는 Security Hub와 통합되어 침해 사고 분석을 시작할 수 있습니다.

 

 

Amazon Detective 사용 사례

 

• 탐지 / 알람 트리거

보안 관제팀과 같은 최전방 분석팀은 Detective를 사용하여 GuardDuty 결과를 분류할 수 있습니다. 또한 Detective를 사용하여 다른 유형의 보안 알림에 대응할 때 AWS 리소스를 프로파일링할 수도 있습니다.

 

• 침해사고대응

CERT팀과 같은 침해사고 분석팀은 Detective를 사용하여 엔터티와 시간 차원에서 침해의 근본 원인을 빠르게 범위 지정하거나 확인할 수 있습니다. 그들은 리소스 간에 빠르게 피벗하고 리소스 동작을 탐색할 수 있습니다.

 

• 위협 탐지

분석가 또는 위협 인텔리전스 팀은 Detective를 사용하여 질문에 답할 수 있습니다. 예를 들어, 리소스가 4개월 전에 특정 명령 및 제어 IP 주소와 통신하고 있었습니까? 라는 질문에 대하여 어떤 리소스가 어떤 프로토콜로 이 IP와 통신하고 있었고 얼마나 많은 데이터가 교환되었는지 즉시 확인할 수 있습니다.

 

 

Amazon Detective 사용 방법

 

 

Amazon Detective를 시작하려면 Detective 홈페이지로 이동하여 탐색 모음에서 검색을 선택하세요.

 

 

다음으로, IP 주소로 계정 리소스 중 하나를 검색합니다. 검색 화면에서 드롭다운 메뉴에서 IP 주소를 선택합니다. 그런 다음 검색 상자에 IP 주소를 입력합니다. 검색 버튼을 선택합니다.

 

 

이제 IP 주소 개요 페이지로 이동하는 목록에서 하이퍼링크된 IP 주소를 선택합니다.

 

 

그런 다음 IP 주소 개요 페이지에서 리소스 상호 작용 탭을 선택합니다.

 

 

그런 다음 리소스 상호 작용 탭에는 검색한 IP 주소와 통신하고 있는 역할, 사용자, 계정 및 EC2 인스턴스가 표시됩니다. 이를 통해 AWS Organizations의 어떤 리소스가 잠재적으로 알려진 불량 IP 주소와 통신했는지 확인하는 데 도움이 될 수 있습니다.