SEC 4: 보안 관련 이벤트를 어떻게 감지하나요?

이벤트는 로그와 지표에서 캡처하고 분석하는 방식으로 파악할 수 있습니다. 보안 이벤트 및 잠재적 위협에 대한 조치를 취하면 워크로드를 보호할 수 있습니다.

리소스

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

모범 사례:

• 서비스 및 애플리케이션 로깅 구성: 워크로드 전반에 걸쳐 애플리케이션 로그, 리소스 로그 및 AWS 서비스 로그를 포함한 로깅을 구성합니다. 예를 들어 조직 내 모든 계정에 대해 AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty 및 AWS Security Hub가 활성화되어 있는지 확인합니다.

• 로그, 결과 및 지표를 중앙에서 분석: 모든 로그, 지표 및 원격 측정 결과를 중앙에서 수집한 다음 자동으로 분석하어 무단 활동을 나타내는 이상 상태나 지표를 탐지합니다. 대시보드를 사용하면 실시간 상태에 대한 인사이트를 손쉽게 얻을 수 있습니다. 예를 들어 Amazon GuardDuty 및 Security Hub 로그가 알림 및 분석을 위해 중앙 위치로 전송되도록 합니다.

• 이벤트 대응 자동화: 자동화 기능을 사용하여 이벤트를 조사하고 해결하면 수작업 부담과 인적 오류가 줄어들고 조사 역량을 확대할 수 있습니다. 정기적인 검토는 자동화 도구를 튜닝하고 지속적으로 반복하는 데 도움이 됩니다. 예를 들어 첫 번째 조사 단계를 자동화하여 Amazon GuardDuty 이벤트에 대한 대응을 자동화하고, 이를 반복하여 수작업 점진적으로 없앱니다.

• 조치 가능한 보안 이벤트 구현: 팀에게 전송되고 팀에서 조치를 취할 수 있는 알림을 생성합니다. 팀에서 조치를 취하는 데 필요한 관련 정보가 알림에 포함되도록 합니다. 예를 들어 Amazon GuardDuty 및 AWS Security Hub 알림을 팀으로 전송하여 조치를 취하도록 하거나, 대응 자동화 도구로 해당 알림을 전송하고 자동화 프레임워크의 메시징을 통해 팀에 정보를 제공합니다.

개선 계획

서비스 및 애플리케이션 로깅 구성

AWS 서비스의 로깅 활성화: 요구 사항을 충족하도록 AWS 서비스 로깅을 활성화합니다. VPC Flow Logs, ELB 로그, S3 버킷 로그, CloudFront 액세스 로그, Route 53 쿼리 로그, Amazon RDS 로그 등의 로깅 기능이 있습니다.
AWS Answers: native AWS security-logging capabilities

운영 체제 및 애플리케이션별 로깅을 평가하고 활성화: 의심스러운 동작을 감지하기 위해 운영 체제 및 애플리케이션별 로그의 로깅을 평가하고 활성화합니다.
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

로그에 적절한 제어 적용: 로그에는 중요한 정보가 포함되어 있을 수 있으므로 승인된 사용자만 로그에 액세스해야 합니다. S3 버킷 및 CloudWatch Logs 로그 그룹에 대한 권한 제한을 고려합니다.
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Amazon GuardDuty 구성: Amazon GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. 실습을 사용하여 GuardDuty를 활성화하고 이메일을 통한 자동 알림을 구성합니다.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

CloudTrail에서 맞춤형 추적 구성: 추적을 구성하면 기본 기간보다 더 오랜 시간 로그를 저장하고 나중에 분석할 수 있습니다.
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

AWS Config 활성화: AWS Config를 사용하면 AWS 계정의 AWS 리소스 구성을 자세히 확인할 수 있습니다. 이 보기에는 리소스가 서로 어떻게 관련되어 있고 이전에 어떻게 구성되었는지 포함되므로 시간 경과에 따른 구성 및 관계 변화를 확인할 수 있습니다.
AWS Config
Lab: Automated Deployment of Detective Controls

AWS Security Hub 활성화: AWS Security Hub는 AWS의 보안 상태에 대한 포괄적인 보기를 제공하며, 보안 산업 표준 및 모범 사례를 준수하는지 확인하는 데 도움이 됩니다. Security Hub는 AWS 계정, 서비스 및 지원되는 타사 파트너 제품 전체에서 보안 데이터를 수집하여 보안 추세를 분석하고 가장 우선순위가 높은 보안 문제를 식별하도록 지원합니다.
AWS Security Hub

로그, 결과 및 지표를 중앙에서 분석

로그 처리 기능 평가: 로그 처리에 사용할 수 있는 옵션 평가
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

CloudTrail 로그 분석의 시작 단계로서 Amazon Athena 테스트
Configuring Athena to analyze CloudTrail logs

AWS에서 중앙 집중식 로깅 구현: 여러 소스의 로깅을 중앙 집중화하는 AWS 예제 솔루션
Centralize logging solution

파트너와 함께 중앙 집중식 로깅 구현: APN 파트너는 로그를 중앙에서 분석하는 데 도움이 되는 솔루션을 제공합니다.
Logging and Monitoring

이벤트 대응 자동화

Amazon GuardDuty로 자동 알림 구현: Amazon GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. GuardDuty를 활성화하고 자동 알림을 구성합니다.
Lab: Automated Deployment of Detective Controls

조사 프로세스 자동화: 이벤트를 조사하여 관리자가 시간을 절약할 수 있도록 정보를 보고하는 자동화된 프로세스를 개발합니다.
Lab: Amazon GuardDuty hands on

조치 가능한 보안 이벤트 구현

AWS 서비스에 사용할 수 있는 지표 검색: 사용 중인 서비스에 대해 CloudWatch를 통해 사용할 수 있는 지표를 검색합니다.
AWS service documentation
Using Amazon CloudWatch Metrics

Amazon CloudWatch 경보 구성: .
Using Amazon CloudWatch Alarms