Amazon Detective 기능

Amazon Detective는 활성화된 모든 계정에서 관련 데이터를 자동으로 수집 및 처리합니다. 데이터 소스를 구성하거나 사용하도록 설정하지 않아도 됩니다. Amazon Detective는 AWS CloudTrail 로그, Amazon VPC 흐름 로그, Amazon EKS 감사 로그, Amazon GuardDuty 조사 결과, AWS Security Hub 조사 결과, 기타 통합 AWS 보안 서비스와 같은 데이터 소스에서 이벤트를 수집 및 분석하고, 분석을 위해 최대 1년 동안의 집계된 데이터를 유지 관리합니다.

Amazon Detective는 IP 트래픽, AWS 관리 작업 및 악의적이거나 무단 활동에 대한 수많은 별도의 데이터 원본에서 수 조에 달하는 이벤트를 분석하여 기계 학습, 통계 분석 및 그래프 이론을 사용하여 로그 데이터를 정제해 보안 조사를 위한 연결된 데이터 집합을 구축하는 그래프 모델을 생성할 수 있습니다. 그래프 모델은 보안 관련 관계로 미리 구축되며, 데이터를 빠르게 검증, 비교, 상관시켜 결론을 도출시킬 수 있는 컨텍스트별 동작에 기반한 통찰력을 요약합니다. Amazon Detective의 시각화는 원시 로그를 쿼리하는 복잡한 작업 없이도 조사와 관련된 질문에 빠르게 응답할 수 있도록 그래프 모델로 뒷받침됩니다. 예를 들어, 그래프는 IP 주소가 EC2 인스턴스에 연결될 때 관련된 컨텍스트 및 관계와 특정 기간에 역할이 실행한 API 호출을 제공합니다.

Amazon Detective는 문제를 더 적은 노력으로 보다 철저하고 쉽게 조사할 수 있는 대화형 시각화를 제공합니다. 한 곳에서 모든 컨텍스트와 세부 정보를 시각화할 수 있는 통합된 보기를 사용하면 보안 문제를 검증하거나 부인할 수 있는 패턴을 쉽게 식별하고 보안 탐지 결과로 영향을 받는 모든 리소스를 이해할 수 있습니다. 이러한 시각화를 사용하면 빠르게 조사하는 데 도움을 주는 모든 세부 정보, 컨텍스트 및 지침과 함께 이벤트 데이터의 큰 세트를 특정 타임라인으로 쉽게 필터링할 수 있습니다. Amazon Detective에서는 지리적 위치 맵에서 로그인 시도를 보고, 관련 기록 활동을 자세히 탐색하며, 근본 원인을 빠르게 확인하고, 필요한 경우 문제 해결을 위한 작업을 수행합니다.

그래프 시각화는 EC2 인스턴스, IAM 역할 및 사용자, S3 버킷, IP 주소 등의 단일 보안 이벤트에서 관련된 AWS Security Findings 및 영향을 받는 리소스를 보여줍니다. 이는 비정상적이거나 의심스러운 활동을 조사하는 데 도움이 됩니다.

전반적인 API 호출 볼륨은 특정 기간에 성공한 호출과 실패한 호출을 표시하고, 설정된 기준선과 이를 비교합니다. 그러면 비정상적인 활동의 패턴을 식별하고, 보안 탐지 결과를 검증할 수 있습니다.

Amazon Detective는 Amazon GuardDuty 및 AWS Security Hub, Amazon Inspector와 같은 AWS 보안 서비스 및 AWS 파트너 보안 제품에 통합되어 이 서비스에서 식별된 보안 조사 결과를 빠르게 조사할 수 있습니다. 이러한 통합 서비스에서 단일 클릭을 통해 Amazon Detective로 이동해 조사 결과와 관련된 이벤트를 바로 확인하고, 관련 기록 활동을 자세히 탐색하며, 문제를 조사할 수 있습니다. 예를 들어, Amazon GuardDuty 조사 결과에서 ‘Amazon Detective에서 조사’를 클릭하면 Amazon Detective를 시작할 수 있습니다. 그러면 관련된 리소스에 대한 즉각적인 인사이트를 제공하기 때문에 감지된 조사 결과가 실제 의심스러운 활동을 반영하는지 여부를 빠르게 결정할 수 있는 세부 정보와 컨텍스트를 제공합니다.

AWS Management Console에서 몇 번의 클릭만으로 Amazon Detective를 활성화할 수 있습니다. 배포할 소프트웨어, 설치할 에이전트 또는 유지 관리할 복잡한 구성이 없습니다. 활성화할 데이터 원본도 없으므로, 데이터 원본 활성화, 데이터 전송 및 데이터 스토리지의 요금이 부과되지 않습니다.