Amazon Detective

잠재적 보안 문제의 근본 원인을 빠르게 식별하도록 보안 데이터 분석 및 시각화

Amazon Detective를 사용하면 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 식별할 수 있습니다. Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 집합을 구축합니다.

Amazon GuardDuty, Amazon Macie 및 AWS Security Hub와 같은 AWS 보안 서비스와 파트너 보안 제품을 사용하여 잠재적 보안 문제나 탐지 결과를 식별할 수 있습니다. 이러한 서비스는 문제가 발생했음을 알리거나 수정할 위치를 가리킬 때 매우 유용합니다. 하지만 때때로 근본 원인을 격리하고 조치를 취하기 위해 더 자세한 정보를 탐색하고 더 많은 정보를 분석해야 하는 보안 탐지 결과가 있을 수 있습니다. 보안 탐지 결과의 근본 원인을 확인하는 작업은 종종 ETL(추출, 변환 및 로드) 도구나 사용자 지정 스크립팅을 사용하여 많은 개별 데이터 원본에서 로그를 수집 및 결합하여 데이터를 구성한 후 보안 분석가가 데이터를 해석하고 시간이 오래 걸리는 조사를 수행하는 작업이 포함된 복잡한 프로세스가 될 수 있습니다.

Amazon Detective를 사용하면 보안 팀이 쉽게 조사하고 탐지 결과의 근본 원인을 빠르게 파악할 수 있으므로 이 프로세스를 단순화합니다. Amazon Detective는 Virtual Private Cloud(VPC) 플로우 로그, AWS CloudTrail 및 Amazon GuardDuty와 같은 여러 데이터 원본에서 몇 조에 달하는 이벤트를 분석하고, 시간에 따른 리소스, 사용자 및 이들 간의 상호작용에 대한 통합된 대화형 보기를 자동으로 생성합니다. 이 통합된 보기를 통해 한 곳에서 모든 세부 정보와 컨텍스트를 시각화하여 탐지 결과에 대한 근본적인 이유를 식별하고, 관련 기록 활동을 자세히 탐구하며, 근본 원인을 빠르게 확인할 수 있습니다.

AWS 콘솔에서 몇 번의 클릭으로 Amazon Detective를 시작할 수 있습니다. 배포할 소프트웨어도, 활성화하고 유지 관리할 데이터 원본도 없습니다.

이점

더 빠르고 효과적인 조사

Amazon Detective는 한 곳에서 보안 탐지 결과의 근본 원인을 빠르게 분석하고 파악하는 데 유용한 모든 컨텍스트 및 세부 정보와 함께 시간에 따른 사용자 및 리소스 상호작용에 대한 통합된 보기를 제공합니다. 예를 들어, 특이한 콘솔 로그인 API 호출과 같은 Amazon GuardDuty 탐지 결과는 시간에 따른 API 호출 추세 및 지리적 위치 맵에서 사용자 로그인 시도에 대한 세부 정보와 함께 Amazon Detective에서 빠르게 조사할 수 있습니다. 이러한 세부 정보를 통해 합법적인지, 아니면 위협을 받은 AWS 리소스의 징후인지를 빠르게 식별할 수 있습니다. 

지속적 데이터 업데이트로 시간 및 노력 절감

Amazon Detective는 IP 트래픽, AWS 관리 작업 및 악의적이거나 무단 활동에 대한 테라바이트 단위의 이벤트 데이터 레코드를 자동으로 처리합니다. 그리고 AWS 환경에서 모든 보안 관련 관계를 요약하는 그래프 모델로 데이터를 구성합니다. 그러면 Amazon Detective는 이 모델을 쿼리하여 조사에 사용되는 시각화 정보를 생성합니다. AWS 리소스에서 새 데이터가 사용 가능하면 그래프 모델은 지속적으로 업데이트되므로, 지속적으로 변경되는 데이터를 관리하는 시간을 줄일 수 있습니다.

사용하기 쉬운 시각화

Amazon Detective는 보안 탐지 결과를 조사하고 이에 대처하는 데 필요한 정보로 시각화를 구성합니다. 그러면 데이터를 구성하거나 사용자만의 쿼리 및 알고리즘을 개발, 구성 또는 튜닝하지 않고도 '이 역할에서 API 호출이 많은 상황이 정상적인지', 아니면 '이 인스턴스에서 이러한 트래픽 급증이 예상되는 수준인지'와 같은 질문에 답하는 데 유용합니다. Amazon Detective는 선택한 기간에 활동의 유형과 볼륨의 변화를 나타내고 이러한 변화를 보안 탐지 결과에 연결하는 최대 1년 동안 집계된 데이터를 유지 관리합니다.

작동 방식

Amazon Detective 작동 방식

사용 사례

보안 탐지 결과 분류

분류는 탐지 결과가 실제 보안 문제인지, 아니면 거짓 긍정인지 결정하는 데 사용되는 조사 프로세스의 첫 단계이기도 합니다. Amazon Detective 시각화를 사용하면 해당 탐지 결과, 관련 탐지 결과 및 해당 탐지 결과와 가까운 시간이나 위치에서 발생한 활동에 연결된 리소스, IP 주소 및 AWS 계정을 확인하여 탐지 결과가 실제 악의적인 활동인지, 아니면 거짓 긍정인지를 빠르게 확인할 수 있습니다.

인시던트 조사

일부 보안 탐지 결과에는 악의적인 활동의 범위, 영향 및 근본 원인을 파악하기 위해 자세한 조사가 요구됩니다. Amazon GuardDuty와 같은 AWS 보안 서비스에서 탐지 결과가 식별되면 Amazon Detective로 이동하여 즉시 탐지 결과와 관련된 컨텍스트 및 활동을 확인하고, 관련 기록 활동을 자세히 탐색하여 특이한 패턴을 식별하고 탐지 결과에 기여한 활동 및 근본 원인의 특성과 범위를 빠르게 확인할 수 있습니다.

위협 헌팅

위협 헌팅은 특정 단서나 가정에 기반한 숨겨진 위협을 밝히기 위한 사전 예방 차원의 분석입니다. Amazon Detective는 IP 주소, AWS 계정, VPC 및 EC2 인스턴스와 같은 특정 리소스에 집중하고 이러한 리소스에 연결된 활동에 대한 자세한 시각화를 제공하여 위협 헌팅을 지원합니다. Amazon Detective는 시간 기반 분석과 자세히 탐색하고 특정 기간에 모든 활동을 보며 표준에서 차이가 나는 부분을 찾아내는 기능을 제공하여 헌팅 프로세스를 지원합니다.

설명서 보기
설명서 보기

설명서를 읽고 Amazon Detective 기능 및 구현에 대해 자세히 알아보십시오.

설명서 보기 
AWS 계정 가입
무료 계정에 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다. 

가입하기 
평가판 신청
Amazon Detective 시작하기

Amazon Detective를 사용하여 구축을 시작합니다.

시작하기