Amazon Detective
이번 게시글에서는 Amazon Detective에 대해서 알아보고자 한다.
1. Amazon Detective 란?
- Amazon Detective 서비스는 잠재적인 보안 문제나 의심스러운 행동의 근본 원인을 쉽게 조사·분석하고 신속하게 파악할 수 있게 해줌
- Amazon Detective는 로컬 영역 서비스임
- GuardDuty Finding, CloudTrail 로그, VPC Flow 로그를 분석하고 시각화하여 정보를 제공함
- Amazon Detective 요금은 AWS CloudTrail 로그, Amazon VPC 흐름 로그 및 Amazon GuardDuty 결과에서 수집된 데이터 볼륨을 기반으로 하며, Account/리전/월당 수집된 기가바이트(GB)당 요금이 부과됨
2. Amazon Detective 활성화
AWS 관리 콘솔 로그인 후, Amazon Detective 서비스 페이지에서 [시작하기]를 클릭한다.
하단의 [Amazon Detective 활성화] 를 클릭한다.
정상적으로 활성화되면 아래와 같은 화면을 볼 수 있다.
3. Amazon Detective 를 통한 분석
GuardDuty를 통해 탐지된 위협 리스트 중에 'Policy:IAMUser/RootCredentialUsage' 위협을 선택하여 분석해보고자 한다.
GuardDuty에 보여지는 위협의 상세정보에 존재하는 IP 확인 후, Detective 서비스에서 아래와 같이 검색한다.
좌측 패널에서 [검색] 메뉴 클릭 후, IP 주소를 검색한다.
검색된 IP 주소를 클릭하면 상세 정보를 확인할 수 있다.
가장 먼저 우측 상단의 '범위 시간'을 통해 분석할 날짜를 알맞게 설정한다. 본 실습에서는 3일(3d)로 설정하였다.
[개요] 메뉴를 살펴보면, 아래 내용들에 대한 정보를 확인할 수 있다.
- IP 주소 세부 정보
- 이 리소스와 관련된 결과
- 전체 API 호출 볼륨
- 전체 VPC 흐름 볼륨
- VPC 흐름을 기반으로 이 IP 주소가 할당된 EC2 인스턴스
각 항목 별 내용을 살펴보면, 상세 정보를 확인할 수 있다.
아래 그림은, API 호출 시 성공한 호출과 실패한 호출에 대해 나타내고 있으며, 그래프 막대를 선택하면 호출한 리소스까지 확인 가능하다.
Detective를 활성화 시킨 지 얼마되지 않아서 인지 많은 로그가 쌓이진 않았지만, Detective 서비스를 이용하면 의심스러운 행동이나 위협에 대한 조사 및 분석을 쉽게 할 수 있다.
하지만 비용이나 금액적인 부분은 확인해서 사용하면 좋을 것 같다.
끝.