AWS Security Incident Response 기능
Security Incident Response를 사용해야 하는 이유
AWS Security Incident Response는 보안 이벤트에 대비 및 대응하고 복구하는 과정을 더 빠르고 효과적으로 수행하는 데 도움이 됩니다. 이 서비스는 자동화된 보안 조사 결과 모니터링 및 분류, AI 기반 조사, 억제 기능을 AWS Customer Incident Response Team(CIRT)에 대한 연중무휴 직접 액세스와 함께 제공합니다.
페이지 주제
주요 기능
모두 열기Security Incident Response는 AWS Security Hub를 통해 Amazon GuardDuty와 CrowdStrike Falcon, Trend Micro Cloud One, Fortinet Lacework FortiCNAPP과 같은 타사 도구의 보안 조사 결과를 모니터링하고 분류합니다. 알려진 IP 주소 및 AWS Identity and Access Management(IAM) 엔터티와 같은 고객별 정보를 사용하여 예상 행동을 기반으로 조사 결과를 필터링함으로써 알림의 양을 줄이고 즉각적인 주의가 필요한 항목을 에스컬레이션합니다.
Security Incident Response는 환경에 따라 진화하고 새로운 인사이트를 통합함으로써, 시간이 지남에 따라 성능을 개선합니다. 이 서비스는 조직의 고유한 활동 패턴을 기반으로 자동 분류 규칙을 개선하여 일상적인 작업과 잠재적 위험을 쉽게 구분할 수 있도록 합니다. 환경이 확장됨에 따라 Security Incident Response는 중요한 이벤트를 훨씬 더 정확하고 효과적으로 드러냅니다.
맞춤형 인시던트 대응팀을 구성하여 내부 이해 관계자를 조정하는 시간을 단축할 수 있습니다. 이 팀은 서비스를 통해 사례가 생성될 때마다 즉시 이메일 알림을 받습니다. 이러한 팀 구성원에게 사례 액세스를 제어하고 최소 권한을 유지하는 데 필요한 권한을 부여할 수 있습니다.
Amazon EventBridge 통합 시, ServiceNow, Jira, Slack 및 PagerDuty와 같은 타사 플랫폼으로의 이벤트 라우팅 및 알림을 자동화할 수 있습니다. 예를 들어, Security Incident Response를 통해 선제적으로 사례를 생성하면 EventBridge 자동화를 통해 시스템을 트리거하여 이해 관계자에게 이를 알릴 수 있으므로, 잠재적 보안 이벤트 발생 시 더 빠르게 대응할 수 있습니다.
Security Incident Response는 AI 기반 분석과 전문가의 감독을 종합하여 보안 조사 결과, 로그 및 이상 패턴을 검사해 에스컬레이션 필요 여부를 결정합니다. 보안 이벤트가 확인되거나 추가 정보가 필요한 경우, 서비스는 사례를 생성하고 사고 대응 팀의 일원으로 지정한 이해 관계자에게 알립니다. 적극적인 참여를 통해 서비스는 사용자 환경과 예상 동작을 학습하여 경고 정확도를 높이고 실제 보안 이벤트에 신속하게 대응할 수 있도록 합니다.
Security Incident Response AI 에이전트는 증거 수집을 자동화하고 통신 지연을 최소화하여 조사 시간을 단축하여 더 빠른 대응과 복구를 가능하게 합니다. 사례를 생성하거나 서비스가 선제적으로 사례를 생성하면, 조사 담당 에이전트가 잠재적 지표, 리소스 이름, 일정 등에 대해 질문하여 특정 우려 사항에 맞게 조사를 맞춤화합니다. AWS CloudTrail, AWS IAM, Amazon EC2 및 AWS Cost Explorer와 같은 여러 AWS 데이터 소스에서 증거를 자동으로 수집하고 상관 관계를 분석합니다. 그런 다음 조사를 완료할 때까지 안내하는 AWS 보안 전문가의 지속적인 감독 하에 조사 결과를 명확하고 실행 가능한 요약으로 제공합니다.
전문 지식이 필요한 경우 AWS CIRT가 몇 분 내에 사례에 응답해 드립니다. 보안 운영 센터(SOC) 팀의 연장선 역할을 하는 AWS CIRT는 잠재적 보안 이벤트 발생 시 조사를 위해 로그 구성에 관계없이 관련 로그 데이터에 액세스할 수 있습니다. AWS CIRT는 확인된 보안 이벤트에 대한 명확한 격리 또는 해결 단계를 팀에 제공합니다. 원하는 경우 AWS CIRT가 사용자를 대신하여 이러한 작업을 수행하도록 승인할 수도 있습니다.
CrowdStrike Falcon, Trend Micro Cloud One, Fortinet Lacework FortiCNAPP과 같은 타사 도구에서 얻은 보안 조사 결과가 사례와 관련된 경우, AWS CIRT는 해당 제공업체와 직접적으로 협력하여 전문 지식을 종합해 포괄적인 단일 대응 방식을 구현합니다. 이러한 통합적 접근 방식을 통해 공급업체 전반의 전문 지식을 활용할 수 있으며, AWS CIRT는 커뮤니케이션과 조정을 관리하여 대응의 모든 단계에서 명확하고 실행 가능한 통찰력을 제공합니다.
Security Incident Response에 지원되는 격리 조치를 수행할 수 있는 필수 권한을 제공하여, 사용자 대신 경고에 대응하도록 할 수 있습니다. 이 기능을 사용하면 보안 이벤트를 더 빠르게 완화하여 환경에 미치는 잠재적 영향을 최소화할 수 있습니다.