Amazon Detective

Amazon Detective 기능

Amazon Detective를 선택해야 하는 경우

Amazon Detective를 사용하면 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 파악할 수 있습니다. Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 세트를 구축합니다.

Amazon Detective는 Amazon Virtual Private Cloud(VPC) 흐름 로그, AWS CloudTrail 로그, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그 및 Amazon GuardDuty, AWS Security Hub 등의 여러 서비스의 보안 조사 결과와 같은 여러 데이터 소스에서 수조 개의 이벤트를 분석할 수 있습니다. Detective는 리소스, 사용자 및 시간 경과에 따른 상호 작용에 대한 통합된 대화형 뷰를 자동으로 생성합니다. 이 통합된 보기를 통해 한 곳에서 모든 세부 정보와 컨텍스트를 시각화하여 조사 결과에 대한 근본적인 이유를 식별하고, 관련 기록 활동을 자세히 탐구하며, 근본 원인을 빠르게 확인할 수 있습니다.

개요

모든 AWS 계정에서 자동 데이터 수집

Amazon Detective는 활성화된 모든 계정에서 관련 데이터를 자동으로 수집 및 처리합니다. 데이터 소스를 구성하거나 사용하도록 설정하지 않아도 됩니다. Amazon Detective는 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그, Amazon GuardDuty 조사 결과, AWS Security Hub 조사 결과, 기타 통합 AWS 보안 서비스와 같은 데이터 소스에서 이벤트를 수집 및 분석하고, 분석을 위해 최대 1년 동안의 집계된 데이터를 유지 관리합니다.

개별 이벤트를 그래프 모델로 통합

Amazon Detective는 IP 트래픽, AWS 관리 운영, 잠재적으로 악의적이거나 무단 활동을 비롯한 다양한 데이터 유형에서 발생한 수조 개의 이벤트를 분석할 수 있습니다. Detective는 머신 러닝, 통계 분석 및 그래프 이론을 사용하여 그래프 모델을 구성하여 보안 조사를 위한 연결된 데이터 세트를 구축합니다. 사전 구축된 그래프 모델은 보안 관련 관계를 포함하며 데이터를 신속하게 검증, 비교 및 연관시켜 결론에 도달할 수 있는 상황별 및 행동적 통찰력을 제공합니다. Amazon Detective의 시각화는 그래프 모델을 기반으로 하므로 원시 로그를 쿼리하는 복잡성 없이 조사 질문에 신속하게 답변할 수 있습니다. 예를 들어, 그래프는 IP 주소가 EC2 인스턴스에 연결되는 시점, 특정 기간 동안 역할이 수행한 API 호출과 같은 컨텍스트와 관계를 제공합니다.

효율적인 조사를 위한 대화형 시각화

Amazon Detective는 생성형 AI를 사용하여 대화형 시각화 및 인사이트를 제공하므로 적은 노력으로 문제를 더 쉽고 빠르고 철저하게 조사할 수 있습니다. 모든 컨텍스트 및 자연어 요약을 한 곳에 시각화할 수 있는 통합된 보기를 사용하면 보안 문제를 검증하거나 반박할 수 있는 패턴을 식별하고 보안 조사 결과 내의 영향을 받는 모든 리소스를 파악하는 것이 더 쉬워집니다. 이러한 시각화와 인사이트를 사용하면 빠르게 조사하는 데 도움을 주는 모든 세부 정보, 컨텍스트, 지침과 함께 이벤트 데이터의 큰 세트를 특정 타임라인으로 더 쉽게 필터링할 수 있습니다. Amazon Detective에서는 지리적 위치별 로그인 시도를 확인하고, 관련 과거 활동을 자세히 탐색하며, 근본 원인을 빠르게 파악하고, 필요한 경우 문제 해결을 위한 조치를 취할 수 있습니다.

전반적인 API 호출 볼륨

그래프 시각화는 EC2 인스턴스, IAM 역할 및 사용자, S3 버킷, IP 주소 등의 단일 보안 이벤트에서 관련된 AWS 보안 조사 결과 및 영향을 받는 리소스를 보여줍니다. 인사이트는 보안 이벤트 중에 발생한 이벤트를 자연어로 설명하므로 이벤트 연쇄를 이해하는 데 도움이 됩니다. 이를 통해 비정상적이거나 의심스러운 활동을 더 빠르고 쉽게 조사할 수 있습니다. 전반적인 API 호출 볼륨은 특정 기간에 성공한 호출과 실패한 호출을 표시하고, 설정된 기준선과 이를 비교합니다. 그러면 비정상적인 활동의 패턴을 식별하고, 보안 탐지 결과를 검증할 수 있습니다.

더 많은 기능

보안 조사 결과를 조사하기 위한 원활한 통합

Amazon Detective는 Amazon GuardDuty, AWS 보안 허브, Amazon Inspector, Amazon Security Lake 및 AWS 파트너 보안 제품과 같은 AWS 보안 서비스 및 AWS 파트너 보안 제품과 통합되어 이러한 서비스에서 식별된 보안 조사 결과를 신속하게 조사할 수 있습니다. 이러한 통합 서비스를 한 단계만 거치면 Amazon Detective로 이동하여 조사 결과와 관련된 이벤트를 즉시 확인하고, 관련 과거 활동을 자세히 살펴보고, 문제를 조사할 수 있습니다. 예를 들어, Amazon GuardDuty 검색 결과에서 관련 리소스의 관련 활동에 대한 즉각적인 통찰력을 제공하는 “탐정 조사”를 클릭하여 Amazon Detective를 시작할 수 있습니다. 탐정에서는 쿼리를 작성하거나 탐정 콘솔을 벗어나지 않고도 Amazon Security Lake에 저장된 로그 소스를 쿼리하고 검색할 수 있습니다.

Amazon GuardDuty 런타임 모니터링에 대한 보안 조사 지원

Amazon Detective는 GuardDuty ECS 및 EKS 런타임 모니터링에 대한 보안 조사를 지원하여 향상된 시각화와 새로운 위협 탐지에 대한 추가 컨텍스트를 제공합니다. GuardDuty의 런타임 위협 탐지와 Detective의 조사 기능을 사용하여 컨테이너 워크로드에 대한 잠재적 위협에 대한 탐지 및 대응을 개선할 수 있습니다. Detective는 보안 조사를 가속화하기 위해 검색 그룹, 시각화 및 기타 요약에 이러한 새로운 탐지를 포함하여 이러한 새로운 탐지에 대한 조사를 지원합니다.

유지 관리할 복잡한 구성이나 선결제가 요구되는 데이터 소스 통합이 없는 간단한 배포

AWS 관리 콘솔에서 몇 단계만 거치면 Amazon Detective를 활성화할 수 있습니다. 배포할 소프트웨어, 설치할 에이전트 또는 유지 관리할 복잡한 구성이 없습니다. 활성화할 데이터 원본도 없으므로, 데이터 원본 활성화, 데이터 전송 및 데이터 스토리지의 요금이 부과되지 않습니다.