Amazon Detective를 사용하면 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 파악할 수 있습니다. Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 세트를 구축합니다.
Amazon Detective는 Amazon Virtual Private Cloud(VPC) 흐름 로그, AWS CloudTrail 로그, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그 및 Amazon GuardDuty, AWS Security Hub 등의 여러 서비스의 보안 조사 결과와 같은 여러 데이터 소스에서 수조 개의 이벤트를 분석할 수 있습니다. Detective는 리소스, 사용자 및 시간 경과에 따른 상호 작용에 대한 통합된 대화형 뷰를 자동으로 생성합니다. 이 통합된 보기를 통해 한 곳에서 모든 세부 정보와 컨텍스트를 시각화하여 조사 결과에 대한 근본적인 이유를 식별하고, 관련 기록 활동을 자세히 탐구하며, 근본 원인을 빠르게 확인할 수 있습니다.
모든 AWS 계정에서 자동 데이터 수집
Amazon Detective는 활성화된 모든 계정에서 관련 데이터를 자동으로 수집 및 처리합니다. 데이터 소스를 구성하거나 사용하도록 설정하지 않아도 됩니다. Amazon Detective는 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그, Amazon GuardDuty 조사 결과, AWS Security Hub 조사 결과, 기타 통합 AWS 보안 서비스와 같은 데이터 소스에서 이벤트를 수집 및 분석하고, 분석을 위해 최대 1년 동안의 집계된 데이터를 유지 관리합니다.
개별 이벤트를 그래프 모델로 통합
Amazon Detective는 IP 트래픽, AWS 관리 작업, 잠재적으로 악의적이거나 승인되지 않은 활동을 비롯한 다양한 데이터 유형에서 발생한 수조 개의 이벤트를 분석할 수 있습니다. Detective는 기계 학습, 통계 분석, 그래프 이론을 사용해 그래프 모델을 구성하여 보안 조사를 위한 연결된 데이터 세트를 구축합니다. 사전 구축된 그래프 모델은 보안 관련 관계를 포함하며, 데이터를 빠르게 검증하고 비교하고 연관시켜 결론을 도출시킬 수 있는 컨텍스트별 동작에 기반한 인사이트를 제공합니다. Amazon Detective의 시각화는 원시 로그를 쿼리하는 복잡한 작업 없이도 조사와 관련된 질문에 빠르게 응답할 수 있도록 그래프 모델을 기반으로 합니다. 예를 들어, 그래프는 IP 주소가 EC2 인스턴스에 연결되는 시점, 특정 기간 동안 역할에서 수행한 API 호출과 같은 컨텍스트 및 관계를 제공합니다.
효율적인 조사를 위한 대화형 시각화
Amazon Detective는 생성형 AI를 사용하여 대화형 시각화 및 인사이트를 제공하므로 적은 노력으로 문제를 더 쉽고 빠르고 철저하게 조사할 수 있습니다. 모든 컨텍스트 및 자연어 요약을 한 곳에 시각화할 수 있는 통합된 보기를 사용하면 보안 문제를 검증하거나 반박할 수 있는 패턴을 식별하고 보안 탐지 결과 내의 영향을 받는 모든 리소스를 파악하는 것이 더 쉬워집니다. 이러한 시각화와 인사이트를 사용하면 빠르게 조사하는 데 도움을 주는 모든 세부 정보, 컨텍스트, 지침과 함께 이벤트 데이터의 큰 세트를 특정 타임라인으로 더 쉽게 필터링할 수 있습니다. Amazon Detective에서는 지리적 위치별 로그인 시도를 확인하고, 관련 과거 활동을 자세히 탐색하며, 근본 원인을 빠르게 파악하고, 필요한 경우 문제 해결을 위한 조치를 취할 수 있습니다.
그래프 시각화는 EC2 인스턴스, IAM 역할 및 사용자, S3 버킷, IP 주소 등의 단일 보안 이벤트에서 관련된 AWS 보안 조사 결과 및 영향을 받는 리소스를 보여줍니다. 인사이트는 보안 이벤트 중에 발생한 이벤트를 자연어로 설명하므로 이벤트 연쇄를 이해하는 데 도움이 됩니다. 이를 통해 비정상적이거나 의심스러운 활동을 더 빠르고 쉽게 조사할 수 있습니다.
전반적인 API 호출 볼륨은 특정 기간에 성공한 호출과 실패한 호출을 표시하고, 설정된 기준선과 이를 비교합니다. 그러면 비정상적인 활동의 패턴을 식별하고, 보안 탐지 결과를 검증할 수 있습니다.
보안 조사 결과를 조사하기 위한 원활한 통합
Amazon Detective는 Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Security Lake와 같은 AWS 보안 서비스 및 AWS 파트너 보안 제품에 통합되어 이러한 서비스에서 식별된 보안 조사 결과를 빠르게 조사할 수 있습니다. 이러한 통합 서비스에서 한 단계만 거치면 Amazon Detective로 이동하여 조사 결과와 관련된 이벤트를 바로 확인하고, 관련 과거 활동을 자세히 살펴보고, 문제를 조사할 수 있습니다. 예를 들어, 'Detective에서 조사'를 클릭하면 Amazon GuardDuty 조사 결과를 바탕으로 관련 리소스의 관련 활동에 대한 즉각적인 인사이트를 제공하는 Amazon Detective를 시작할 수 있습니다. Detective에서는 쿼리를 작성하거나 Detective 콘솔에서 나가지 않고도 Amazon Security Lake에 저장된 로그 소스를 쿼리하고 검색할 수 있습니다.
Amazon GuardDuty 런타임 모니터링에 대한 보안 조사 지원
Amazon Detective는 GuardDuty ECS 및 EKS 런타임 모니터링에 대한 보안 조사를 지원하여 새로운 위협 탐지를 위한 향상된 시각화와 추가 컨텍스트를 제공합니다. GuardDuty의 런타임 위협 탐지와 Detective의 조사 기능을 사용하여 컨테이너 워크로드에 대한 잠재적 위협 탐지 및 대응을 개선할 수 있습니다. Detective는 보안 조사를 가속화할 수 있도록 조사 결과 그룹, 시각화, 기타 요약에 이러한 새로운 탐지를 포함시켜 조사를 지원합니다.
유지 관리할 복잡한 구성이나 선결제가 요구되는 데이터 소스 통합이 없는 간단한 배포
AWS Management Console에서 몇 단계만으로 Amazon Detective를 활성화할 수 있습니다. 배포할 소프트웨어, 설치할 에이전트 또는 유지 관리할 복잡한 구성이 없습니다. 활성화할 데이터 소스도 없으므로, 데이터 소스 활성화, 데이터 전송, 데이터 스토리지에 대한 요금이 발생하지 않습니다.
