Amazon Detective를 사용하면 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 파악할 수 있습니다. Amazon Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 세트를 구축합니다.
Amazon Detective는 Amazon Virtual Private Cloud(VPC) 흐름 로그, AWS CloudTrail 로그, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그 및 Amazon GuardDuty 결과와 같은 여러 데이터 소스에서 몇 조에 달하는 이벤트를 분석하고, 시간 경과에 따른 리소스, 사용자 및 이들 간의 상호 작용에 대한 통합된 대화형 보기를 자동으로 생성할 수 있습니다. 이 통합된 보기를 통해 한 곳에서 모든 세부 정보와 컨텍스트를 시각화하여 탐지 결과에 대한 근본적인 이유를 식별하고, 관련 기록 활동을 자세히 탐구하며, 근본 원인을 빠르게 확인할 수 있습니다.
모든 AWS 계정에서 자동 데이터 수집
Amazon Detective는 활성화된 모든 계정에서 관련 데이터를 자동으로 수집 및 처리합니다. 데이터 소스를 구성하거나 사용하도록 설정하지 않아도 됩니다. Amazon Detective는 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그 및 Amazon GuardDuty 결과와 같은 데이터 소스에서 이벤트를 수집 및 분석하고, 분석을 위해 최대 1년 동안의 집계된 데이터를 유지 관리합니다.
개별 이벤트를 그래프 모델로 통합
Amazon Detective는 IP 트래픽, AWS 관리 작업 및 악의적이거나 무단 활동에 대한 수많은 별도의 데이터 원본에서 수 조에 달하는 이벤트를 분석하여 기계 학습, 통계 분석 및 그래프 이론을 사용하여 로그 데이터를 정제해 보안 조사를 위한 연결된 데이터 집합을 구축하는 그래프 모델을 생성할 수 있습니다. 그래프 모델은 보안 관련 관계로 미리 구축되며, 데이터를 빠르게 검증, 비교, 상관시켜 결론을 도출시킬 수 있는 컨텍스트별 동작에 기반한 통찰력을 요약합니다. Amazon Detective의 시각화는 원시 로그를 쿼리하는 복잡한 작업 없이도 조사와 관련된 질문에 빠르게 응답할 수 있도록 그래프 모델로 뒷받침됩니다. 예를 들어, 그래프는 IP 주소를 EC2 인스턴스에 연결했을 때 관련된 컨텍스트 및 관계와 특정 기간에 역할이 실행한 API 호출을 제공합니다.
효율적인 조사를 위한 대화형 시각화
Amazon Detective는 문제를 더 적은 노력으로 보다 철저하고 쉽게 조사할 수 있는 대화형 시각화를 제공합니다. 한 곳에서 모든 컨텍스트와 세부 정보를 시각화할 수 있는 통합된 보기를 사용하면 보안 문제를 검증하거나 부인할 수 있는 패턴을 쉽게 식별하고 보안 탐지 결과로 영향을 받는 모든 리소스를 이해할 수 있습니다. 이러한 시각화를 사용하면 빠르게 조사하는 데 도움을 주는 모든 세부 정보, 컨텍스트 및 지침과 함께 이벤트 데이터의 큰 세트를 특정 타임라인으로 쉽게 필터링할 수 있습니다. Amazon Detective에서는 지리적 위치 맵에서 로그인 시도를 보고, 관련 기록 활동을 자세히 탐색하며, 근본 원인을 빠르게 확인하고, 필요한 경우 문제 해결을 위한 작업을 수행합니다.

그래프 시각화는 EC2 인스턴스, IAM 역할 및 사용자, S3 버킷, IP 주소 등의 단일 보안 이벤트에서 관련된 Amazon GuardDuty 탐지 결과 및 영향을 받는 리소스를 보여줍니다. 이는 비정상적이거나 의심스러운 활동을 조사하는 데 도움이 됩니다.

전반적인 API 호출 볼륨은 특정 기간에 성공한 호출과 실패한 호출을 표시하고, 설정된 기준선과 이를 비교합니다. 그러면 비정상적인 활동의 패턴을 식별하고, 보안 탐지 결과를 검증할 수 있습니다.
보안 탐지 결과를 조사하기 위한 원활한 통합
Amazon Detective는 Amazon GuardDuty 및 AWS Security Hub와 같은 AWS 보안 서비스 및 AWS 파트너 보안 제품에 통합되어 이 서비스에서 식별된 보안 탐지 결과를 빠르게 조사할 수 있습니다. 이러한 통합 서비스에서 단일 클릭을 통해 Amazon Detective로 이동해 탐지 결과와 관련된 이벤트를 바로 확인하고, 관련 기록 활동을 자세히 탐색하며, 문제를 조사할 수 있습니다. 예를 들어, Amazon GuardDuty 탐지 결과에서 [Investigate]를 클릭하면 Amazon Detective를 시작할 수 있습니다. 그러면 관련된 리소스에 대한 즉각적인 통찰력을 제공하기 때문에 감지된 탐지 결과가 실제 의심스러운 활동을 반영하는지 여부를 빠르게 결정할 수 있는 세부 정보와 컨텍스트를 제공합니다.
유지 관리할 복잡한 구성이나 선결제가 요구되는 데이터 원본 통합이 없는 간단한 배포
AWS Management Console에서 몇 번의 클릭만으로 Amazon Detective를 활성화할 수 있습니다. 배포할 소프트웨어, 설치할 에이전트 또는 유지 관리할 복잡한 구성이 없습니다. 활성화할 데이터 원본도 없으므로, 데이터 원본 활성화, 데이터 전송 및 데이터 스토리지의 요금이 부과되지 않습니다.