안녕하세요 서후아빠입니다. ^_^
이번 세션은 Detective를 사용하는 실습을 해보겠습니다. Security Hub를 활성화하지 않고 GuardDuty만 활성화해도 사용이 가능한 서비스입니다. 다양한 탐지(Findings) 결과에 대해서 오탐인지, 침해사고인지 분석할 수 있는 능력이 필요합니다.
구성도
| AWS의 다양한 서비스에서 Findings 결과에 대해서 분석합니다. |
사전 작업
서비스 활성화 : GuardDuty, Inspector, Macie, Security Hub 등은 설명 생략합니다.
1단계 : Detective 활성화 (리전별)
Detective > Get started > Attach IAM polic에서 권한 부여(기본값으로 진행) > Enable Amazon Detective (최초 활성화 시 30일 무료)
| GuardDuty를 필수적으로 활성화해야하며, GuardDuty 활성화 48H 지난 후에 Detective 활성화가 가능합니다. |
2단계 : 검색
Detective > Search > 항목 선택하고, 필터링 문자 입력하여 검색
| 검색 항목 : GuardDuty finding, AWS account, AWS role, Container image, EC2 instance, EKS cluster, IP address, Kubernetes pod/subject, Role session, S3 bucket, User, User agent 검색 항목 선택은 GuardDuty finding을 기본값으로 사용하시기 권고드립니다. Findings 데이터는 최대 12개월까지 저장됩니다. |
3단계 : 분석
Detective > Search > 검색 결과 선택 > Scope time에서 분석하고자 하는 기간 설정
| Overview (tab) : 해당 리소스에 대한 설명, Findings, 성공/실패한 호출량 그래프 확인 New behavior (tab) : 호출을 시도한 사용자의 위치정보 확인 Resource interaction (tab) : 해당 리소스와 연관된 서비스 확인 일반적으로 공격 패턴은 실패한 호출이 많았다가 성공한 호출이 증가이므로 성공/실패한 호출량 그래프를 확인합니다. 분석 예시는 https://dev.classmethod.jp/articles/amazon-detective-explained-korean/ 를 참조하시기 바랍니다. 분석 후, 침해사고가 의심되면 적절한 조치를 취하도록 합니다. |
별첨 : Etc
Detective > Summary
- 지난 24시간 동안 API 호출이 가장 많은 역할과 사용자
- 지난 24시간 동안 트래픽이 가장 많은 EC2 인스턴스
- 지난 24시간 동안 생성된 Kubernetes 포드가 가장 많은 EKS 클러스터
- 지난 24시간 동안 새롭게 관찰된 위치 정보
Detective > Account management : AWS Organizations를 통한 Detective 중앙 관리
Detective > General : EKS 감사로그 수집 활성화, 관리자 계정 통합, IAM 정책 확인, 태그 추가, 서비스 비활성화
Detective > Preferences : 검색 결과 테이블 행수 설정
Detective > Usage : 사용량 및 비용 확인
'Security' 카테고리의 다른 글
| [실습] Amazon Macie 구성하기 (Security Hub, EventBridge, SNS, CloudWatch 구성) (0) | 2022.08.25 |
|---|---|
| [이론] Amazon Macie 기본 개념 (0) | 2022.08.24 |
| [이론] Amazon Detective 기본 개념 (0) | 2022.08.23 |
| [실습] Amazon GuardDuty 실습하기 (EventBridge, SNS, CloudWatch 구성) (0) | 2022.08.18 |
| [이론] Amazon GuardDuty 기본 개념 (0) | 2022.08.16 |
