SEC 4: 보안 관련 이벤트를 어떻게 감지하나요?

이벤트는 로그와 지표에서 캡처하고 분석하는 방식으로 파악할 수 있습니다. 보안 이벤트 및 잠재적 위협에 대한 조치를 취하면 워크로드를 보호할 수 있습니다.

리소스

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

모범 사례:

개선 계획

서비스 및 애플리케이션 로깅 구성

  • AWS 서비스의 로깅 활성화: 요구 사항을 충족하도록 AWS 서비스 로깅을 활성화합니다. VPC Flow Logs, ELB 로그, S3 버킷 로그, CloudFront 액세스 로그, Route 53 쿼리 로그, Amazon RDS 로그 등의 로깅 기능이 있습니다.
    AWS Answers: native AWS security-logging capabilities
  • 운영 체제 및 애플리케이션별 로깅을 평가하고 활성화: 의심스러운 동작을 감지하기 위해 운영 체제 및 애플리케이션별 로그의 로깅을 평가하고 활성화합니다.
    Getting started with CloudWatch Logs
    Developer Tools/Log Analysis
  • 로그에 적절한 제어 적용: 로그에는 중요한 정보가 포함되어 있을 수 있으므로 승인된 사용자만 로그에 액세스해야 합니다. S3 버킷 및 CloudWatch Logs 로그 그룹에 대한 권한 제한을 고려합니다.
    Authentication and Access Control for Amazon CloudWatch
    Identity and access management in Amazon S3
  • Amazon GuardDuty 구성: Amazon GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. 실습을 사용하여 GuardDuty를 활성화하고 이메일을 통한 자동 알림을 구성합니다.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • CloudTrail에서 맞춤형 추적 구성: 추적을 구성하면 기본 기간보다 더 오랜 시간 로그를 저장하고 나중에 분석할 수 있습니다.
    Creating a trail in CloudTrail
    Lab: Automated Deployment of Detective Controls
  • AWS Config 활성화: AWS Config를 사용하면 AWS 계정의 AWS 리소스 구성을 자세히 확인할 수 있습니다. 이 보기에는 리소스가 서로 어떻게 관련되어 있고 이전에 어떻게 구성되었는지 포함되므로 시간 경과에 따른 구성 및 관계 변화를 확인할 수 있습니다.
    AWS Config
    Lab: Automated Deployment of Detective Controls
  • AWS Security Hub 활성화: AWS Security Hub는 AWS의 보안 상태에 대한 포괄적인 보기를 제공하며, 보안 산업 표준 및 모범 사례를 준수하는지 확인하는 데 도움이 됩니다. Security Hub는 AWS 계정, 서비스 및 지원되는 타사 파트너 제품 전체에서 보안 데이터를 수집하여 보안 추세를 분석하고 가장 우선순위가 높은 보안 문제를 식별하도록 지원합니다.
    AWS Security Hub
  • 로그, 결과 및 지표를 중앙에서 분석

  • 로그 처리 기능 평가: 로그 처리에 사용할 수 있는 옵션 평가
    Use Amazon Elasticsearch Service to log and monitor (almost) everything
    Find a partner that specializes in logging and monitoring solutions
  • CloudTrail 로그 분석의 시작 단계로서 Amazon Athena 테스트
    Configuring Athena to analyze CloudTrail logs
  • AWS에서 중앙 집중식 로깅 구현: 여러 소스의 로깅을 중앙 집중화하는 AWS 예제 솔루션
    Centralize logging solution
  • 파트너와 함께 중앙 집중식 로깅 구현: APN 파트너는 로그를 중앙에서 분석하는 데 도움이 되는 솔루션을 제공합니다.
    Logging and Monitoring
  • 이벤트 대응 자동화

  • Amazon GuardDuty로 자동 알림 구현: Amazon GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. GuardDuty를 활성화하고 자동 알림을 구성합니다.
    Lab: Automated Deployment of Detective Controls
  • 조사 프로세스 자동화: 이벤트를 조사하여 관리자가 시간을 절약할 수 있도록 정보를 보고하는 자동화된 프로세스를 개발합니다.
    Lab: Amazon GuardDuty hands on
  • 조치 가능한 보안 이벤트 구현

  • AWS 서비스에 사용할 수 있는 지표 검색: 사용 중인 서비스에 대해 CloudWatch를 통해 사용할 수 있는 지표를 검색합니다.
    AWS service documentation
    Using Amazon CloudWatch Metrics
  • Amazon CloudWatch 경보 구성: .
    Using Amazon CloudWatch Alarms