Amazon Detective

 

이번 게시글에서는 Amazon Detective에 대해서 알아보고자 한다.

 

1. Amazon Detective 란?

Amazon Detective

- Amazon Detective 서비스는 잠재적인 보안 문제나 의심스러운 행동의 근본 원인을 쉽게 조사·분석하고 신속하게 파악할 수 있게 해줌

- Amazon Detective는 로컬 영역 서비스임

- GuardDuty Finding, CloudTrail 로그, VPC Flow 로그를 분석하고 시각화하여 정보를 제공함
- Amazon Detective 요금은 AWS CloudTrail 로그, Amazon VPC 흐름 로그 및 Amazon GuardDuty 결과에서 수집된 데이터 볼륨을 기반으로 하며, Account/리전/월당 수집된 기가바이트(GB)당 요금이 부과됨

 

2. Amazon Detective 활성화

AWS 관리 콘솔 로그인 후, Amazon Detective 서비스 페이지에서 [시작하기]를 클릭한다.

 

하단의 [Amazon Detective 활성화] 를 클릭한다.

 

정상적으로 활성화되면 아래와 같은 화면을 볼 수 있다.

 

3. Amazon Detective 를 통한 분석

GuardDuty를 통해 탐지된 위협 리스트 중에 'Policy:IAMUser/RootCredentialUsage' 위협을 선택하여 분석해보고자 한다.

GuardDuty에 보여지는 위협의 상세정보에 존재하는 IP 확인 후, Detective 서비스에서 아래와 같이 검색한다.

 

좌측 패널에서 [검색] 메뉴 클릭 후, IP 주소를 검색한다.

 

검색된 IP 주소를 클릭하면 상세 정보를 확인할 수 있다.

가장 먼저 우측 상단의 '범위 시간'을 통해 분석할 날짜를 알맞게 설정한다. 본 실습에서는 3일(3d)로 설정하였다.

 

[개요] 메뉴를 살펴보면, 아래 내용들에 대한 정보를 확인할 수 있다.

- IP 주소 세부 정보

- 이 리소스와 관련된 결과

- 전체 API 호출 볼륨

- 전체 VPC 흐름 볼륨

- VPC 흐름을 기반으로 이 IP 주소가 할당된 EC2 인스턴스 

 

각 항목 별 내용을 살펴보면, 상세 정보를 확인할 수 있다.

아래 그림은, API 호출 시 성공한 호출과 실패한 호출에 대해 나타내고 있으며, 그래프 막대를 선택하면 호출한 리소스까지 확인 가능하다.

사용자 별 호출한 상세 리소스 확인

 

Detective를 활성화 시킨 지 얼마되지 않아서 인지 많은 로그가 쌓이진 않았지만, Detective 서비스를 이용하면 의심스러운 행동이나 위협에 대한 조사 및 분석을 쉽게 할 수 있다.

하지만 비용이나 금액적인 부분은 확인해서 사용하면 좋을 것 같다.

 

끝.