Amazon Detective FAQ

Amazon Detective는 AWS Management Console에서 클릭 몇 번으로 활성화할 수 있습니다. 활성화된 Amazon Detective는 데이터를 그래프 모델로 자동으로 구성하며 이 모델은 새로운 데이터를 사용할 수 있게 되면 계속 업데이트됩니다. Amazon Detective를 체험해 보고 잠재적 보안 문제에 대한 조사를 시작할 수 있습니다.

Amazon Detective는 AWS Management Console에서 또는 Amazon Detective API를 사용하여 활성화할 수 있습니다. Amazon GuardDuty 또는 AWS Security Hub 콘솔을 이미 사용하고 있다면 Amazon GuardDuty 또는 AWS Security Hub의 관리 계정과 동일한 계정으로 Amazon Detective를 활성화하여 최상의 교차 서비스 경험을 지원할 수 있습니다.

예. Amazon Detective는 동일한 리전 내 단일 관리 계정 아래 모니터링되는 멤버 계정에서 데이터를 집계하는 다중 계정 서비스입니다. Amazon GuardDuty 및 AWS Security Hub에서 관리 및 멤버 계정을 구성하는 동일한 방식으로 다중 계정 모니터링 배포를 구성할 수 있습니다.

Amazon Detective를 사용하면 Amazon Virtual Private Cloud(VPC) 흐름 로그, AWS CloudTrail 로그, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그, AWS Security Hub 조사 결과 및 Amazon GuardDuty 조사 결과와 관련된 요약 및 분석 데이터를 볼 수 있습니다.

예. 계정에서 Amazon GuardDuty를 활성화하지 않은 경우에도 Amazon Detective를 사용할 수 있습니다. Amazon Detective를 사용하면 AWS 계정, EC2 인스턴스, AWS 사용자, 역할 및 IP 주소 간의 동작과 상호 작용에 대한 자세한 요약, 분석 및 시각화를 얻을 수 있습니다. 이 정보는 보안 문제 또는 운영 계정 활동을 파악하는 데 매우 유용하게 활용할 수 있습니다. Amazon GuardDuty는 ‘AWS SRA의 주요 구현 지침’의 일부로 권장 가이드 - AWS Security Reference Architecture(SRA)의 서비스입니다.

Amazon Detective는 활성화한 직후 로그 데이터 수집을 시작하고, 수집된 데이터에서 시각적 요약 및 분석을 제공합니다. 또한 Amazon Detective는 계정 모니터링 2주 후에 설정되는 기록 기준선과 최근 활동을 비교합니다.

예. Amazon Security Lake와의 통합을 사용하여 AWS CloudTrail 로그와 Amazon VPC 흐름 로그를 내보낼 수 있습니다. 'Amazon Security Lake용 Amazon Detective 섹션'에서 통합 작동 방식을 검토할 수 있습니다.

Amazon Detective는 AWS 서비스에서 직접 로그 데이터 및 탐지 결과를 검색하므로 AWS의 성능이나 가용성에는 영향을 주지 않습니다.

Amazon GuardDuty는 AWS 계정과 워크로드를 보호하기 위해 악의적 활동 또는 무단 동작을 지속적으로 모니터링하는 위협 탐지 서비스입니다. AWS Security Hub를 사용하면 Amazon GuardDuty, Amazon Inspector 및 Amazon Macie와 같은 여러 AWS 서비스뿐만 아니라 AWS 파트너 솔루션에서 제공되는 보안 경고 또는 평가 결과를 단일 공간에서 수집 및 정리하고 이에 대한 우선순위를 지정하는 서비스를 확보하게 됩니다. Amazon Detective는 보안 탐지 결과를 조사하고 근본 원인을 식별하는 프로세스를 간소화합니다. Amazon Detective는 Amazon VPC 흐름 로그, AWS CloudTrail 로그, Amazon EKS 감사 로그, 통합 AWS 서비스에서 AWS Security Hub로 전송된 탐지 결과 및 Amazon GuardDuty 탐지 결과와 같은 여러 데이터 소스에서 몇 조에 달하는 이벤트를 분석하고, 시간에 따른 리소스, 사용자 및 이들 간의 상호 작용에 대한 통합된 대화형 뷰를 제공하는 그래프 모델을 자동으로 생성합니다.

Amazon Detective를 사용하면 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그, 통합 AWS 서비스에서 AWS Security Hub로 전송된 조사 결과, Amazon GuardDuty 조사 결과의 보안 데이터를 분석하고 시각화할 수 있습니다. Amazon Detective에서 계정에 대한 이러한 로그 및 조사 결과의 분석을 중지하려면 API를 사용하거나 Amazon Detective에 대한 AWS Console의 설정 섹션에서 서비스를 사용 중지하세요.

Amazon Detective는 AWS 계정, EC2 인스턴스, 사용자, 역할, IP 주소 및 Amazon GuardDuty 탐지 결과와 같은 AWS 리소스에 대한 컨텍스트 및 통찰력을 나타내는 다양한 시각화 정보를 제공합니다. 각 시각화는 탐지 결과 및 관련 활동을 분석할 때 제기될 수 있는 특정 질문에 답하도록 설계됩니다. 각 시각화는 패널을 해석하고 이 정보를 사용하여 조사와 관련된 질문에 답하는 방식을 명확히 설명하는 텍스트 지침을 제공합니다.

Amazon Detective는 Amazon GuardDuty, AWS Security Hub, Amazon Security Lake와의 콘솔 통합을 지원하며 교차 서비스 사용자 워크플로를 지원합니다. GuardDuty와 Security Hub에서는 콘솔 내의 링크를 사용하여 선택한 조사 결과에서 Amazon Detective 페이지로 직접 이동할 수 있습니다. 그런 다음 해당 페이지에서 엄선된 시각화 세트를 사용하여 선택한 결과를 조사할 수 있습니다. Amazon Detective는 조사를 기반으로 Amazon Security Lake에서 로그 파일을 쿼리하고 다운로드할 수 있는 사전 구축된 쿼리를 제공합니다. Amazon Detective의 조사 결과 세부 정보 페이지는 이미 조사 결과의 기간에 맞춰 정렬되며, 조사 결과와 연결된 관련 데이터를 표시합니다.

다양한 파트너 보안 솔루션 공급자가 Amazon Detective와 통합되어 자동화된 플레이북 및 오케스트레이션 내 조사 단계를 활성화합니다. 이러한 제품은 워크플로에서 식별된 조사 결과 및 리소스를 조사하기 위해 선별된 시각화를 포함하는 Amazon Detective 페이지로 사용자를 리디렉션하는 대처 워크플로 내 링크를 제공합니다.

일단 활성화되면 Amazon Detective는 AWS Security Hub와 통합된 AWS 서비스에 대한 사용자, 네트워크 및 구성 활동을 지속적으로 자동 분석하고 상호 연관시킵니다. Amazon Detective는 AWS Security Finding이라는 선택적 데이터 소스를 통해 AWS 보안 서비스에서 AWS Security Hub로 전달된 보안 조사 결과를 자동으로 모읍니다.

AWS Security Hub는 여러 AWS 서비스와의 통합을 지원합니다. Amazon Macie에서 민감한 데이터에 대한 조사 결과가 나올 것으로 예상되면 Security Hub와 다른 모든 AWS 서비스 통합에 자동으로 옵트인됩니다. Security Hub와 통합 서비스를 활성화한 경우 해당 서비스가 Security Hub로 조사 결과를 전송합니다. Detective는 이러한 조사 결과를 모으고 그래프에 추가하므로 모든 통합 AWS 서비스에 대한 보안 조사 결과를 수행할 수 있습니다. 이러한 서비스에는 AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS Health, AWS Identity and Access Management Access Analyzer, Amazon Inspector, AWS IoT Device Defender, Amazon Macie, AWS Systems Manager Patch Manager가 포함됩니다.

기본적으로 AWS 보안 조사 결과는 Detective를 사용하여 새 계정의 데이터 소스로 활성화됩니다. AWS 보안 조사 결과에 대한 지원이 릴리스되기 전에 Detective를 사용했다면 이 데이터 소스를 활성화해야 할 수 있습니다. 관리 안내서의 AWS 보안 조사 결과에 나열된 단계에 따라 Detective의 데이터 소스를 확인할 수 있습니다. Detective를 사용하려는 각 리전에 대해 이 데이터 소스를 활성화해야 합니다.

Amazon Detective에서는 독립적이고 중복되는 로그 스트림으로 보안 조사 결과를 사용하므로 AWS 보안 서비스의 성능에 영향을 주지 않도록 설계된 AWS Security 조사 결과를 사용합니다. 이러한 방식으로 Amazon Detective가 AWS 보안 조사 결과를 사용하더라도 AWS Security Hub 또는 통합 AWS 보안 서비스 사용 비용이 증가하지는 않습니다.

Amazon Detective에서 AWS 보안 조사 결과를 사용할 경우 요금은 Amazon Detective에 의해 처리되고 분석된 조사 결과의 양을 기준으로 부과됩니다. Amazon Detective는 AWS 보안 조사 결과를 사용하는 모든 고객에게 무료 30일 평가판을 제공합니다. 따라서 고객은 유료 사용량을 약정하기 전에 Amazon Detective의 기능이 보안 요구 사항을 충족하는지 확인하고 서비스의 월 비용을 예측할 수 있습니다.

아니요, Amazon Detective는 각 서비스에서 전송한 조사 결과에 대해 한 번만 요금을 청구합니다. 

Amazon Detective는 두 서비스를 통합한 후 보안 조사를 위해 Amazon Security Lake에서 AWS CloudTrail 로그와 Amazon Virtual Private Cloud(VPC) 흐름 로그를 쿼리하고 검색할 수 있습니다. 이 통합을 사용하여 Amazon Detective에서 조사를 시작하고, 로그에 저장된 추가 세부 정보가 필요한 경우 특정 AWS CloudTrail 로그 또는 Amazon VPC 흐름 로그를 미리 보거나 다운로드할 수 있습니다. 예를 들어, 지난 24시간 동안 IAM 사용자의 의심스러운 활동을 조사하는 경우 Amazon Detective를 사용하여 API 메서드 패널에서 IAM 사용자가 상호 작용한 서비스의 요약을 볼 수 있습니다. 역할을 설명하기 위한 API 직접 호출과 같이 잠재적인 보안 문제를 나타내는 서비스와의 상호 작용이 관찰되는 경우 해당 IAM 사용자에 대한 AWS CloudTrail 로그를 다운로드할 수 있습니다. Amazon Detective는 조사 대상 시간 및 엔터티(IAM 사용자의 경우 지난 24시간)로 범위가 지정된 Amazon Athena를 사용하여 사전 구축된 SQL 쿼리를 제공하므로 쿼리 및 로그 검색이 더 쉬워집니다. 이 통합을 통해 SQL 쿼리를 처음부터 작성할 필요가 없어 시간을 절약할 수 있으며, Amazon Detective 콘솔에서 나가지 않고도 결과를 미리 보고 다운로드할 수 있습니다.

두 서비스 간의 통합을 활성화하려면 Amazon CloudFormation 템플릿을 실행해야 합니다. 이 템플릿은 Amazon Security Lake에서 로그를 쿼리하고 사용할 수 있는 충분한 권한을 가진 구독자 계정을 생성하고, 로그를 쿼리하고 다운로드하는 데 사용되는 계정에 추가 AWS 서비스를 배포합니다. Amazon CloudFormation 템플릿이 배포하는 내용은 Amazon Detective 사용 설명서에서 검토할 수 있습니다.

Amazon Detective 요금 및 Amazon Security Lake 요금에 따라 각 서비스에 대한 요금이 청구됩니다. 또한 Amazon Athena를 사용하는 각 쿼리에 대한 요금이 부과되며 통합을 지원하기 위해 계정에 배포한 추가 AWS 서비스에 대한 요금이 부과됩니다. AWS Pricing Calculator를 사용하여 두 서비스를 통합하는 데 드는 총 비용을 추정할 수 있습니다.

예. Amazon Detective를 Amazon Security Lake와 통합하려는 각 AWS 리전에서 Amazon CloudFormation 템플릿을 실행해야 합니다. 

Amazon Elastic Kubernetes Service(Amazon EKS)용 Amazon Detective

Amazon Detective를 활성화하면 Amazon EKS 워크로드 전체의 사용자, 네트워크, 구성 활동을 지속적으로 자동 분석하고 상관관계를 파악합니다. Amazon Detective는 Amazon EKS 감사 로그를 자동으로 수집한 후 사용자 활동과 AWS CloudTrail 관리 이벤트의 상관관계를 파악하고 네트워크 활동과 Amazon VPC 흐름 로그의 상관관계를 파악합니다. 사용자는 이러한 로그를 수동으로 활성화하거나 저장할 필요가 없습니다. 이 서비스는 이러한 로그에서 중요한 보안 정보를 확보하고 보안 동작 그래프 데이터베이스에 유지하여 12개월간의 활동에 교차 참조 방식으로 빠르게 액세스할 수 있도록 합니다. Amazon Detective는 동작 그래프 데이터베이스를 기반으로 일반적인 보안 질문에 답하는 데 도움이 되는 데이터 분석 및 시각화 레이어를 제공합니다. 이를 통해 Amazon EKS 워크로드와 관련된 악의적인 동작을 보다 빠르게 조사할 수 있습니다.

기본적으로 Amazon EKS 감사 로깅은 Detective를 사용하는 계정의 데이터 소스로 활성화됩니다. EKS 감사 로그에 대한 지원이 릴리스되기 전에 Detective를 사용했다면 이 데이터 소스를 활성화해야 할 수 있습니다. 관리 안내서의 Detective용 Amazon EKS 감사 로그에 나와 있는 단계에 따라 Detective용 데이터 소스를 확인할 수 있습니다. Detective를 사용하려는 각 리전에 대해 이 데이터 소스를 활성화해야 합니다.

Amazon Detective는 Amazon EKS 워크로드의 성능에 영향을 미치지 않는 방식으로 Amazon EKS 감사 로그를 사용하도록 설계되었습니다. Amazon Detective는 독립된 중복 감사 로그 스트림의 형태로 감사 로그를 사용하기 때문입니다. Amazon Detective는 이 방식으로 Amazon EKS 감사 로그를 사용하기 때문에 Amazon EKS 사용 비용이 증가하지 않습니다.

Amazon Detective에서 Amazon EKS 감사 로그를 사용할 때의 요금은 Amazon Detective를 통해 처리되고 분석된 감사 로그의 볼륨을 기준으로 부과됩니다. Amazon Detective는 Amazon EKS 적용 범위를 사용하는 모든 고객에게 무료 30일 평가판을 제공합니다. 따라서 고객은 유료 사용량을 약정하기 전에 Amazon Detective의 기능이 보안 요구 사항을 충족하는지 확인하고 서비스의 월 비용을 예측할 수 있습니다.

현재 이 기능은 AWS 계정의 EC2 인스턴스에서 실행되는 Amazon EKS 배포를 지원합니다. Detective는 또한 Amazon GuardDuty EKS 런타임 모니터링 및 ECS 런타임 모니터링(Fargate에서의 Amazon ECS 모니터링 포함)에 대한 지원을 제공합니다. 이 기능은 EC2 또는 ES anywhere의 비관리형 Kubernetes에 대한 가시성을 제공하지 않습니다.