Amazon Detective FAQ

Q: Amazon Detective란 무엇인가요?

Amazon Detective를 사용하면 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 파악할 수 있습니다. Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 세트를 구축합니다.

Q: Amazon Detective의 주요 이점은 무엇입니까?

Amazon Detective는 조사 프로세스를 단순화하고 보안 팀이 더 빠르고 효과적으로 조사를 수행할 수 있도록 지원합니다. Amazon Detective의 미리 구축된 데이터 집계, 요약 및 컨텍스트를 통해 잠재적 보안 문제의 특성과 범위를 빠르게 분석하고 확인할 수 있습니다. Amazon Detective는 최대 1년 동안 집계된 데이터를 유지 관리하고, 선택한 기간에 활동의 유형과 볼륨의 변화를 나타내고 이러한 변화를 보안 탐지 결과에 연결하는 시각화 세트를 통해 데이터를 쉽게 사용할 수 있습니다. 선결제 비용이 없고 추가로 소프트웨어를 배포하거나 로그 피드를 활성화할 필요가 없으며 분석한 이벤트에 대해서만 비용을 지불하면 됩니다.

Q: Amazon Detective는 보안 조사를 분석하는 데 어떻게 도움이 되나요?

Amazon Detective는 AWS CloudTrail, Amazon Virtual Private Cloud(VPC) 흐름 로그, Amazon GuardDuty 조사 결과 및 Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그에서 로그인 시도, API 호출 및 네트워크 트래픽과 같은 시간 기반 이벤트를 추출합니다. Detective는 기계 학습(ML)을 활용하여 특히 이러한 시간 기반 이벤트에 대해 시간 경과에 따른 리소스 동작 및 상호 작용에 대한 통합된 대화형 뷰를 생성하는 동작 그래프를 만듭니다. 동작 그래프를 탐색하여 로그인 시도 실패, 의심스러운 API 호출 또는 Amazon GuardDuty 조사 결과의 근본 원인을 조사하는 데 도움이 되는 조사 결과 그룹과 같은 보안 이벤트를 분석할 수 있습니다.

Q: Amazon Detective 탐지 결과 그룹이란 무엇이며 GuardDuty 탐지 결과 조사 시간을 어떻게 단축하나요?

위협 행위자는 AWS 환경을 손상시키려고 할 때 일련의 작업을 수행하는 경우가 많으며, 이로 인해 AWS 리소스 전체에서 여러 GuardDuty 탐지 결과가 나타날 수 있습니다. 탐지 결과 그룹은 잠재적인 단일 보안 사고와 관련된 탐지 결과 및 리소스의 모음이며 함께 조사해야 합니다. Amazon Detective 탐지 결과 그룹은 각 개별 GuardDuty 탐지 결과를 개별적으로 조사할 필요가 없으므로 분류 시간을 줄이는 데 도움이 될 수 있습니다. 사고에 대한 보다 완전한 이해와 특정 탐지 결과 및 리소스를 탐색할 수 있는 대화형 시각화를 제공하는 탐지 결과 그룹으로 조사를 시작할 수 있습니다. 자세한 내용은 탐지 결과 그룹 분석을 읽어보세요.

Q: Amazon Detective의 비용은 얼마인가요?

Amazon Detective 요금은 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그, Amazon GuardDuty 탐지 결과 및 통합 AWS 서비스에서 AWS Security Hub로 전송된 탐지 결과에서 수집된 데이터 볼륨을 기준으로 책정됩니다. 계정/리전당 월별로 수집된 GB(기가바이트)에 따라 비용이 청구됩니다. Amazon Detective는 분석을 위해 최대 1년 동안 집계된 데이터를 유지 관리합니다. 최신 요금 정보는 Amazon Detective 요금 페이지를 참조하세요. Amazon EKS 및 AWS Security Hub 탐지 결과는 Detective에서 해당 데이터 소스를 모으지 못하게 하려는 경우 비활성화할 수 있는 선택적 데이터 소스입니다.

Q: Amazon GuardDuty 탐지 결과를 AWS Security Hub에 전달하는 경우 요금이 두 배로 청구되나요?

아니요, Amazon Detective는 각 서비스에서 전송한 탐지 결과에 대해 한 번만 요금을 청구합니다.

Q: 무료 평가판이 있나요?

예. Amazon Detective를 처음 사용하는 계정은 30일 동안 무료로 서비스를 사용해 볼 수 있습니다. 무료 평가판을 사용하는 동안 모든 기능 세트에 액세스할 수 있습니다.  

Q: Amazon Detective는 리전별 서비스입니까, 아니면 글로벌 서비스입니까?

Amazon Detective는 리전에 기반하여 한 리전에서 활성화해야 하며, 이를 통해 각 리전 내 모든 계정에서 활동을 빠르게 분석할 수 있습니다. 따라서 분석된 모든 데이터가 리전을 기반으로 하고 AWS 리전 경계를 벗어나지 않습니다.

Q: Amazon Detective는 어떤 리전을 지원합니까?

Amazon Detective의 리전별 가용성은 AWS 리전 표에 나와 있습니다.

Q: Amazon Detective를 시작하려면 어떻게 해야 합니까?

Amazon Detective는 AWS Management Console에서 클릭 몇 번으로 활성화할 수 있습니다. 활성화된 Amazon Detective는 데이터를 그래프 모델로 자동으로 구성하며 이 모델은 새로운 데이터를 사용할 수 있게 되면 계속 업데이트됩니다. Amazon Detective를 체험해 보고 잠재적 보안 문제에 대한 조사를 시작할 수 있습니다.

Q: Amazon Detective를 활성화하려면 어떻게 해야 합니까?

Amazon Detective는 AWS Management Console에서 또는 Amazon Detective API를 사용하여 활성화할 수 있습니다. Amazon GuardDuty 또는 AWS Security Hub 콘솔을 이미 사용하고 있다면 Amazon GuardDuty 또는 AWS Security Hub의 관리 계정과 동일한 계정으로 Amazon Detective를 활성화하여 최상의 교차 서비스 경험을 지원할 수 있습니다.

Q: Amazon Detective에서 여러 계정을 관리할 수 있습니까?

예. Amazon Detective는 동일한 리전 내 단일 관리 계정 아래 모니터링되는 멤버 계정에서 데이터를 집계하는 다중 계정 서비스입니다. Amazon GuardDuty 및 AWS Security Hub에서 관리 및 멤버 계정을 구성하는 동일한 방식으로 다중 계정 모니터링 배포를 구성할 수 있습니다.

Q: Amazon Detective에서는 어떤 데이터 소스를 분석하나요?

Amazon Detective를 사용하면 Amazon Virtual Private Cloud(VPC) 흐름 로그, AWS CloudTrail 로그, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그, 통합 AWS 서비스에서 AWS Security Hub로 전송된 탐지 결과 및 Amazon GuardDuty 탐지 결과와 관련된 요약 및 분석 데이터를 볼 수 있습니다.

Q: Amazon GuardDuty를 활성화하지 않은 경우 Amazon Detective를 사용할 수 있나요?

Amazon Detective를 계정에서 사용하도록 설정하려면 먼저 해당 계정에서 Amazon GuardDuty가 48시간 이상 사용된 상태로 유지되어야 합니다. 하지만 Amazon Detective를 사용하면 Amazon GuardDuty 탐지 결과 외에 더 많은 것을 조사할 수 있습니다. Amazon Detective에서는 AWS 계정, EC2 인스턴스, AWS 사용자, 역할 및 IP 주소의 동작 및 상호 작용에 대한 자세한 요약 및 분석 결과를 시각화하여 제공합니다. 이 정보는 보안 문제 또는 운영 계정 활동을 파악하는 데 매우 유용하게 활용할 수 있습니다.

Q: Amazon Detective를 빠르게 사용하기 시작하려면 어떻게 해야 합니까?

Amazon Detective는 활성화한 직후 로그 데이터 수집을 시작하고, 수집된 데이터에서 시각적 요약 및 분석을 제공합니다. 또한 Amazon Detective는 계정 모니터링 2주 후에 설정되는 기록 기준선과 최근 활동을 비교합니다.

Q: Amazon Detective에서 원시 로그 데이터를 내보낼 수 있나요?

Amazon Detective는 AWS CloudTrail 로그, Amazon VPC 흐름 로그 및 Amazon EKS 감사 로그를 분석하지만, 원시 로그를 내보낼 수는 없습니다. AWS에서는 다른 서비스를 통해 이러한 로그를 내보낼 수 있습니다.

Q: Amazon Detective는 어떤 데이터를 저장하나요? 해당 데이터는 암호화되었나요? 그리고 활성화하는 데이터 소스를 제어할 수 있나요?

Amazon Detective는 데이터 보호를 위한 규정 및 지침을 포함하는 AWS Shared Responsibility Model을 준수합니다. Amazon Detective를 사용하도록 설정하면 이 서비스가 활성화된 계정의 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그, 통합 AWS 서비스에서 AWS Security Hub로 전송된 탐지 결과 및 Amazon GuardDuty 탐지 결과의 데이터가 처리됩니다.

Q: Amazon Detective를 사용하면 기존 AWS 워크로드에 성능 또는 가용성 위험이 있나요?

Amazon Detective는 AWS 서비스에서 직접 로그 데이터 및 탐지 결과를 검색하므로 AWS의 성능이나 가용성에는 영향을 주지 않습니다.

Q: Amazon Detective는 Amazon GuardDuty 및 AWS Security Hub와 어떻게 다릅니까?

Amazon GuardDuty는 AWS 계정과 워크로드를 보호하기 위해 악의적 활동 또는 무단 동작을 지속적으로 모니터링하는 위협 탐지 서비스입니다. AWS Security Hub를 사용하면 Amazon GuardDuty, Amazon Inspector 및 Amazon Macie와 같은 여러 AWS 서비스뿐만 아니라 AWS 파트너 솔루션에서 제공되는 보안 경고 또는 평가 결과를 단일 공간에서 수집 및 정리하고 이에 대한 우선순위를 지정하는 서비스를 확보하게 됩니다. Amazon Detective는 보안 탐지 결과를 조사하고 근본 원인을 식별하는 프로세스를 간소화합니다. Amazon Detective는 Amazon VPC 흐름 로그, AWS CloudTrail 로그, Amazon EKS 감사 로그, 통합 AWS 서비스에서 AWS Security Hub로 전송된 탐지 결과 및 Amazon GuardDuty 탐지 결과와 같은 여러 데이터 소스에서 몇 조에 달하는 이벤트를 분석하고, 시간에 따른 리소스, 사용자 및 이들 간의 상호 작용에 대한 통합된 대화형 뷰를 제공하는 그래프 모델을 자동으로 생성합니다.

Q: Amazon Detective가 내 로그 및 데이터 소스를 확인하는 것을 중단하게 하려면 어떻게 해야 하나요?

Amazon Detective를 사용하면 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그, 통합 AWS 서비스에서 AWS Security Hub로 전송된 탐지 결과 및 Amazon GuardDuty 탐지 결과의 보안 데이터를 분석하고 시각화할 수 있습니다. Amazon Detective에서 계정에 대한 이러한 로그 및 탐지 결과의 분석을 중지하려면 API를 사용하거나 Amazon Detective에 대한 AWS Console의 설정 섹션에서 서비스를 사용 중지하세요.

Q: Amazon Detective는 보안 문제 조사 방법에 대해 어떤 지침을 제공하고 있습니까?

Amazon Detective는 AWS 계정, EC2 인스턴스, 사용자, 역할, IP 주소 및 Amazon GuardDuty 탐지 결과와 같은 AWS 리소스에 대한 컨텍스트 및 통찰력을 나타내는 다양한 시각화 정보를 제공합니다. 각 시각화는 탐지 결과 및 관련 활동을 분석할 때 제기될 수 있는 특정 질문에 답하도록 설계됩니다. 각 시각화는 패널을 해석하고 이 정보를 사용하여 조사와 관련된 질문에 답하는 방식을 명확히 설명하는 텍스트 지침을 제공합니다.

Q: Amazon Detective는 Amazon GuardDuty 및 AWS Security Hub와 같은 다른 AWS 보안 서비스와 어떻게 통합됩니까?

Amazon Detective는 Amazon GuardDuty 및 AWS Security Hub와의 콘솔 통합을 지원하며 교차 서비스 사용자 워크플로를 지원합니다. 두 서비스 모두 콘솔 내의 링크를 사용하여 선택한 결과에서 Amazon Detective 페이지로 직접 이동할 수 있습니다. 그런 다음 해당 페이지에서 엄선된 시각화 세트를 사용하여 선택한 결과를 조사할 수 있습니다. Amazon Detective의 탐지 결과 세부 정보 페이지는 이미 탐지 결과의 기간에 맞춰 정렬되며, 탐지 결과와 연결된 관련 데이터를 표시합니다.

Q: Amazon Detective 조사 결과를 문제 해결 및 대처 도구와 통합하려면 어떻게 해야 합니까?

다양한 파트너 보안 솔루션 공급자가 Amazon Detective와 통합되어 자동화된 플레이북 및 오케스트레이션 내 조사 단계를 활성화합니다. 이러한 제품은 워크플로에서 식별된 탐지 결과 및 리소스를 조사하기 위해 선별된 시각화를 포함하는 Amazon Detective 페이지로 사용자를 리디렉션하는 대처 워크플로 내 링크를 제공합니다.

Q: Amazon EKS 감사 로그에 대해 Amazon Detective는 어떻게 작동하나요?

Amazon Detective를 사용하도록 설정하면 Amazon EKS 워크로드 전체의 사용자, 네트워크 및 구성 활동이 지속적으로 자동 분석되고 연관됩니다. Amazon Detective는 Amazon EKS 감사 로그를 자동으로 수집한 후 사용자 활동을 AWS CloudTrail 관리 이벤트와 연관하고 네트워크 활동을 Amazon VPC 흐름 로그를 연관합니다. 사용자는 이러한 로그를 수동으로 사용하거나 저장할 필요가 없습니다. 이 서비스는 이러한 로그에서 중요한 보안 정보를 확보하고 보안 동작 그래프 데이터베이스에 유지하여 12개월간의 활동에 교차 참조 방식으로 빠르게 액세스할 수 있도록 합니다. Amazon Detective는 일반적인 보안 질문에 대한 답을 찾는 데 도움이 되는 데이터 분석 및 시각화 계층을 제공합니다. 이 계층은 Amazon EKS 워크로드와 관련된 악의적인 동작을 보다 빠르게 조사할 수 있는 동작 그래프 데이터베이스로 지원됩니다.

Q: Amazon EKS 감사 로그를 활성화해야 하나요?

아니요. Amazon EKS 감사 로그를 사용하도록 설정하거나 구성하지 않아도 됩니다. Amazon Detective 콘솔 또는 API에서 Amazon EKS 감사 로그를 새 데이터 소스로 설정하기만 하면 됩니다. Amazon Detective는 Amazon EKS 워크로드의 성능에 영향을 미치지 않는 방식으로 Amazon EKS 감사 로그를 사용하도록 설계되었습니다. Amazon Detective는 독립된 중복 감사 로그 스트림의 형태로 감사 로그를 사용하기 때문입니다. Amazon Detective는 이 방식으로 Amazon EKS 감사 로그를 사용하기 때문에 Amazon EKS 사용 비용이 증가하지 않습니다.

Q: Amazon Detective를 사용하여 Amazon EKS 워크로드를 보호할 때 요금은 어떻게 부과되나요?

Amazon Detective에서 Amazon EKS 감사 로그를 사용할 때의 요금은 Amazon Detective를 통해 처리되고 분석된 감사 로그의 볼륨을 기준으로 부과됩니다. Amazon Detective는 Amazon EKS 적용 범위를 사용하는 모든 고객에게 무료 30일 평가판을 제공합니다. 따라서 고객은 유료 사용량을 약정하기 전에 Amazon Detective의 기능이 보안 요구 사항을 충족하는지 확인하고 서비스의 월 비용을 예측할 수 있습니다.

Q: 이미 Amazon Detective를 사용 중입니다. Amazon Detective에서 Amazon EKS 감사 로그 지원을 활성화하려면 어떻게 해야 하나요?

Amazon Detective를 사용하는 기존 고객은 Amazon Detective 콘솔에서 해당 계정에 대해 Amazon EKS 감사 로그를 활성화해야 합니다. Amazon Detective 콘솔에서 클릭 한 번으로 이 선택을 변경하고 Amazon EKS 감사 로그를 사용하거나 사용 중지할 수 있습니다.

Q: Amazon Detective는 AWS Fargate의 Amazon EKS 워크로드, EC2의 비관리형 Kubernetes 또는 ES Anywhere에 대한 가시성을 제공하나요?

현재 이 기능은 AWS 계정의 EC2 인스턴스에서 실행되는 Amazon EKS 배포만 지원합니다.

Q: 각 AWS 리전에서 개별적으로 Amazon EKS 감사 로그를 사용하도록 설정해야 하나요?

예. 각 AWS 리전에서 따로 Amazon EKS 감사 로그를 사용하도록 설정해야 합니다.