D1-02. Amazon Security Hub
AWS Security Hub는 AWS 계정 전반에 걸쳐 보안 알림(alerts) 및 보안 상태를 통합적으로 보여주는 중앙 집중식 보안 관리 서비스입니다. 다양한 AWS 서비스 및 파트너 솔루션에서 생성된 보안 관련 결과(findings)를 집계하고, 산업 표준 및 모범 사례에 기반한 자동화된 보안 검사를 수행하여 전반적인 보안 태세 및 컴플라이언스 상태를 가시화하고 개선을 돕습니다.
- GuardDuty와 연계되어 보안 이벤트의 심층 조사(In-Depth Investigation) 담당
- 로그 상관 분석, 공격 경로 및 영향 범위 파악
- 시험 포인트: GuardDuty → Detective → 조사 & 대응
1. Amazon Detective 개요
Amazon Detective는 Findings의 근본 원인을 분석하고 잠재적인 보안 문제의 세부 사항을 빠르게 조사하는 데 도움을 주는 관리형 보안 서비스입니다.
GuardDuty, VPC Flow Logs, CloudTrail Logs 등 다양한 소스에서 데이터를 자동으로 수집하여 머신러닝과 그래프를 사용하여 이들 간의 연관성을 시각화합니다.
특징
- 자동화된 데이터 수집 및 분석
GuardDuty, CloudTrail, VPC Flow Logs 등 여러 AWS 서비스에서 생성되는 보안 관련 데이터 자동 수집하여 통합하고 분석 - 시각화된 그래프
수집된 데이터를 바탕으로 계정, 사용자, 역할, EC2 인스턴스, IP 주소 등의 엔터티 간의 복잡한 상호작용 및 동작을 시각적인 그래프 제공 - 원인 파악 및 컨텍스트 제공
특정 보안 이벤트(예: GuardDuty Finding)가 발생했을 때, 해당 이벤트의 원인과 관련 활동을 추적하여 보안 분석가에게 필요한 모든 컨텍스트 제공 - ML 기반 분석
머신러닝 기반 패턴 분석을 통해 빠르게 원인 파악하여, “True Positive”와 “False Positive”를 식별에 도움을 줌