본문 바로가기

Security

[이론] Amazon Detective 기본 개념

반응형

안녕하세요 서후아빠입니다. ^_^

이번 세션은 Detective에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다.

Detective는 GuardDuty와 비슷하면서 차이가 있는데요. GuardDuty는 로그를 수집하여 이상 징후를 탐지(심각도 및 간단한 정보 제공, 오탐 발생)하는 서비스이고, Detective는 로그를 수집하여 분석(그래프, 건수, 관계 등 상세한 정보 제공) 및 가시성을 제공하는 서비스입니다. 이상 징후에 대해서 GuardDuty를 통해 알림받고, Detective를 통해 원인 규명 및 후속 조치를 하는 프로세스를 만들 수 있습니다.


개요

보안 탐지 결과 또는 의심스러운 활동의 근본 원인을 쉽게 분석 및 식별
사용자의 로그 데이터를 자동으로 수집(Behavior Graph)하여 보안 조사 수행
CloudTrail 및 VPC Flow log 활성화 불필요하나, 세부적인 분석을 위해서 활성화 권고
GuardDuty 활성화 필수이며, 활성화 48H 지난 후에 Detective 활성화 가능
Detective 활성화(최초 활성화 시 30일간 무료)하고 약 2주간 베이스라인 학습 거친 후에 서비스 사용 가능 
GuardDuty에서 CloudWatch 알림 빈도를 기본 6시간에서 15분으로 변경 권장 (Detective가 GuardDuty로부터 업데이트를 받는 시간을 줄이기 위함)
그래프 모델 기반으로 최대 1년간 데이터 보관

동작 원리

Behavior Graph

하나 이상의 AWS Services에서 수집된 Detective 소스 데이터에서 생성된 연결된 데이터 집합으로 이 데이터를 기준으로 조사 수행

  - Entity : AwsAccount, AwsUser, AwsRole, Finding, EC2Instance, IpAddress, UserAgent
  - Relationship : Entity+방향

적용 사례

탐지 결과 분류하여 정탐/오탐 판단 : 요청 실패 건수, 데이터 전송량, 트래픽량 등이 평상시 수준인가?
보안 사고 조사 (범위, 영향, 원인) : Src/Dst 확인, 자격 증명 종류 확인 등
숨겨진 지표 : 위협(Threat) 목록의 IP와 통신한 인스턴스 확인, 의심스러운 user agent 요청 확인

반응형