기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 탐지 조사
<a name="investigations-about"></a>

Amazon Detective 조사를 사용하여 침해 지표를 사용하여 IAM 사용자 및 IAM 역할을 조사할 수 있으며, 이를 통해 리소스가 보안 인시던트에 관여했는지 확인할 수 있습니다. 손상 지표(IOC)는 네트워크, 시스템 또는 환경에서 관찰된 아티팩트로, 높은 수준의 신뢰도로 악의적인 활동이나 보안 인시던트를 식별할 수 있습니다. Detective 조사를 사용하면 효율성을 극대화하고, 보안 위협에 집중하고, 발생률 대응 기능을 강화할 수 있습니다.

Detective 조사는 기계 학습 모델과 위협 인텔리전스를 사용하여 AWS 환경의 리소스를 자동으로 분석하여 잠재적 보안 인시던트를 식별합니다. 이를 통해 Detective의 동작 그래프를 기반으로 구축된 자동화를 사전 예방적이고 효과적이며 효율적으로 사용하여 보안 운영을 개선할 수 있습니다. Detective 조사를 사용하면 공격 전술, 불가능한 이동, 플래그가 지정된 IP 주소 및 조사 결과 그룹을 조사할 수 있습니다. 초기 보안 조사 단계를 수행하고 Detective에서 식별한 위험을 강조하는 보고서를 생성하여 보안 이벤트를 이해하고 잠재적 인시던트에 대응하는 데 도움을 줍니다.

**Topics**
+ [Detective 조사 실행](run-investigations.md)
+ [Detective 조사 보고서 검토](investigations-report.md)
+ [Detective 조사 보고서 이해](investigations-report-understand.md)
+ [Detective 조사 보고서 요약](investigations-summary.md)
+ [Detective 조사 보고서 다운로드](download-investigation.md)
+ [Detective 조사 보고서 보관](archive-investigation.md)

# Detective 조사 실행
<a name="run-investigations"></a>

**조사 실행**을 사용하여 IAM 사용자 및 IAM 역할과 같은 리소스를 분석하고 조사 보고서를 생성할 수 있습니다. 생성된 보고서는 잠재적 손상을 나타내는 이상 동작을 자세히 설명합니다.

------
#### [ Console ]

Amazon Detective 콘솔을 사용하여 조사 페이지에서 Detective **조사를** 실행하려면 다음 단계를 따르세요.

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

1. **조사** 페이지의 오른쪽 상단 모서리에서 **조사 실행**을 선택합니다.

1. **리소스 선택** 섹션에는 조사를 실행하는 세 가지 방법이 있습니다. Detective에서 권장하는 리소스에 대한 조사를 실행하도록 선택할 수 있습니다. 특정 리소스에 대한 조사를 실행할 수 있습니다. Detective 검색 페이지에서 리소스를 조사할 수도 있습니다.

   1. `Choose a recommended resource` - Detective는 조사 결과 및 조사 결과 그룹의 활동을 기반으로 리소스를 권장합니다. Detective에서 권장하는 리소스에 대한 조사를 실행하려면 **권장 리소스** 테이블에서 조사할 리소스를 선택합니다.

      추천 리소스 테이블에서는 다음 세부 정보를 제공합니다.
      + **리소스 ARN** - 리소스의 Amazon AWS 리소스 이름(ARN)입니다.
      + **조사 이유** - 리소스를 조사해야 하는 주요 이유를 표시합니다. Detective가 리소스 조사를 추천하는 이유는 다음과 같습니다.
        + 리소스가 지난 24시간 동안 심각도가 높은 검색 결과에 연루된 경우.
        + 리소스가 지난 7일 동안 관찰 대상 조사 결과 그룹에 포함된 경우. Detective 조사 결과 그룹을 사용하면 잠재적 보안 이벤트와 관련된 여러 활동을 검사할 수 있습니다. 자세한 내용은 [조사 결과 그룹 분석](groups-about.md) 섹션을 참조하세요.
        + 리소스가 지난 7일 동안 조사 결과에 포함된 경우
      + **최신 조사 결과** - 최신 조사 결과가 목록 맨 위에 우선적으로 표시됩니다.
      + **리소스 유형** - 리소스 유형을 식별합니다. 사용자 또는 AWS 역할을 예로 AWS 들 수 있습니다.

   1. `Specify an AWS role or user with an ARN` - AWS 역할 또는 AWS 사용자를 선택하고 특정 리소스에 대한 조사를 실행할 수 있습니다.

      다음 단계에 따라 특정 리소스 유형을 조사합니다.

      1. **리소스 유형 선택** 드롭다운 목록에서 AWS 역할 또는 AWS 사용자를 선택합니다.

      1. IAM **리소스의 리소스 ARN**을 입력합니다. 리소스 ARNs에 대한 자세한 내용은 IAM 사용 설명서의 [Amazon 리소스 이름(ARNs)](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference-arns.html)을 참조하세요.

   1. `Find a resource to investigate from the Search page` - Detective 검색 페이지에서 모든 IAM 리소스를 **검색할** 수 있습니다.

      다음 단계에 따라 검색 페이지에서 리소스를 조사합니다.

      1. 탐색 창에서 **검색**을 선택합니다.

      1. 검색 페이지에서 IAM 리소스를 검색합니다.

      1. 리소스의 프로필 페이지로 이동하여 여기에서 조사를 실행합니다.

1. **조사 범위 시간** 섹션에서 선택한 리소스의 활동을 평가할 조사의 **범위 시간을** 선택합니다. **시작 날짜**와 **시작 시간**을 선택하고 **종료 날짜**와 **종료 시간**을 UTC 형식으로 선택할 수 있습니다. 선택한 범위 기간은 최소 3시간에서 최대 30일 사이일 수 있습니다.

1. **조사 실행**을 선택합니다.

------
#### [ API ]

프로그래밍 방식으로 조사를 실행하려면 Detective API의 [StartInvestigation](https://docs.aws.amazon.com//detective/latest/APIReference/API_StartInvestigation.html) 작업을 사용합니다. AWS Command Line Interface (AWS CLI)를 사용하여 조사를 실행하려면 [start-investigation](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/detective/start-investigation.html) 명령을 실행합니다.

요청 시 다음 파라미터를 사용하여 Detective에서 조사를 실행합니다.
+ `GraphArn` - 동작 그래프의 Amazon 리소스 이름(ARN)을 지정합니다.
+ `EntityArn` - IAM 사용자 및 IAM 역할의 고유한 Amazon 리소스 이름(ARN)을 지정합니다.
+ `ScopeStartTime` - 선택적으로 조사를 시작해야 하는 날짜 및 시간을 지정합니다. 값은 UTC ISO8601 형식의 문자열입니다. 예:` 2021-08-18T16:35:56.284Z`
+ `ScopeEndTime` - 선택적으로 조사를 종료해야 하는 날짜 및 시간을 지정합니다. 값은 UTC ISO8601 형식의 문자열입니다. 예:` 2021-08-18T16:35:56.284Z`

이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
aws detective start-investigation \
--graph-arn arn:aws:detective:us-east-1:123456789123:graph:fdac8011456e4e6182facb26dfceade0
 --entity-arn arn:aws:iam::123456789123:role/rolename --scope-start-time 2023-09-27T20:00:00.00Z 
--scope-end-time 2023-09-28T22:00:00.00Z
```

------

Detective의 다음 페이지에서도 조사를 실행할 수 있습니다.
+ Detective의 IAM 사용자 또는 IAM 역할 프로필 페이지.
+ 조사 결과 그룹의 그래프 시각화 창.
+ 관련 리소스의 작업 열.
+ 조사 결과 페이지의 IAM 사용자 또는 IAM 역할.

Detective가 리소스에 대한 조사를 실행한 후 조사 보고서가 생성됩니다. 보고서에 액세스하려면 탐색 창에서 **조사**로 이동합니다.

# Detective 조사 보고서 검토
<a name="investigations-report"></a>

조사 보고서를 사용하면 이전에 Detective에서 실행한 조사에 대해 생성된 **보고서**를 검토할 수 있습니다.

조사 보고서를 검토하려면

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

조사 보고서의 다음 속성을 기록합니다.
+ **ID** - 조사 보고서의 생성된 식별자입니다. 이 **ID**를 선택하여 조사 세부 정보가 포함된 조사 보고서의 요약을 읽을 수 있습니다.
+ **상태** - 각 조사는 조사 완료 상태에 따른 **상태**와 연결됩니다. 상태 값은 **진행 중**, **성공** 또는 **실패**일 수 있습니다.
+ **심각도** - 각 조사에는 **심각도**가 할당됩니다. Detective는 조사 결과에 심각도를 자동으로 할당합니다.

  심각도는 주어진 범위 시간 내에서 단일 리소스를 조사하여 분석한 결과를 나타냅니다. 조사를 통해 보고된 심각도는 영향을 받는 리소스가 조직에 미칠 수 있는 심각성이나 중요성을 암시하거나 나타내지 않습니다.

  조사 심각도 값은 가장 높은 심각도부터 가장 낮은 심각도 순으로 **심각**, **높음**, **중간**, **낮음** 또는 **정보용**입니다.

  심각 또는 높음 심각도 값이 할당된 조사는 Detective에서 식별한 영향력이 큰 보안 문제를 나타낼 가능성이 높으므로 우선적으로 추가 검사해야 합니다.
+ **엔터티** - **엔터티** 열에는 조사에서 탐지된 특정 엔터티에 대한 세부 정보가 포함됩니다. 일부 엔터티는 사용자 및 역할과 같은 AWS 계정입니다.
+ **상태** - **생성** 날짜 열에는 조사 보고서가 처음 생성된 날짜 및 시간에 대한 세부 정보가 포함됩니다.

# Detective 조사 보고서 이해
<a name="investigations-report-understand"></a>

Detective 조사 보고서에는 손상을 나타내는 흔하지 않은 동작 또는 악의적인 활동에 대한 요약이 나열됩니다. 또한 Detective가 보안 위험을 완화하기 위해 제안하는 권장 사항도 나열되어 있습니다.

특정 조사 ID에 대한 조사 보고서를 보려면

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

1. **보고서** 테이블에서 조사 **ID**를 선택합니다.

![\[조사 보고서를 사용하면 이전에 Detective에서 실행한 조사에 대해 생성된 보고서를 검토할 수 있습니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/detective-investigations-report.png)


Detective는 선택한 **범위** 시간 및 **사용자**에 대한 보고서를 생성합니다. 보고서에는 아래 나열된 하나 이상의 **손상 지표**에 대한 세부 정보가 포함된 손상 지표 섹션이 포함되어 있습니다. 각 손상 지표를 검토할 때 필요한 경우 드릴다운할 항목을 선택하여 세부 정보를 검토할 수 있습니다.
+ **전술, 기법 및 절차** - 잠재적 보안 이벤트에 사용되는 전술, 기법 및 절차(TTP)를 식별합니다. MITRE ATT&CK 프레임워크는 TTP를 이해하는 데 사용됩니다. 전술은 [MITRE ATT&CK Matrix for Enterprise](https://attack.mitre.org/matrices/enterprise/)를 기반으로 합니다.
+ **위협 인텔리전스 플래그가 지정된 IP 주소** - 의심스러운 IP 주소는 Detective 위협 인텔리전스를 기반으로 치명적이거나 심각한 위협으로 플래그가 지정되고 식별됩니다.
+ **불가능한 이동** - 계정에서 비정상적이거나 불가능한 사용자 활동을 탐지하고 식별합니다. 예를 들어, 이 지표는 짧은 기간 동안 사용자의 출발지와 목적지 위치 간의 급격한 변화를 보여줍니다.
+ **관련 조사 결과 그룹** - 잠재적 보안 이벤트와 관련된 여러 활동을 보여줍니다. Detective는 조사 결과와 엔터티 간의 관계를 추론하고 이들을 조사 결과 그룹으로 묶는 그래프 분석 기법을 사용합니다.
+ **관련 조사 결과** - 잠재적 보안 이벤트와 관련된 관련 활동입니다. 리소스 또는 조사 결과 그룹과 관련된 증거의 모든 카테고리를 나열합니다.
+ **새 지리적 위치** - 리소스 또는 계정 수준에서 사용되는 새 지리적 위치를 식별합니다. 예를 들어, 이 지표는 이전 사용자 활동을 기반으로 자주 사용되지 않거나 사용되지 않는 위치인 관찰된 지리적 위치를 나열합니다.
+ **새 사용자 에이전트** - 리소스 또는 계정 수준에서 사용되는 새 사용자 에이전트를 식별합니다.
+ **새 ASO** - 리소스 또는 계정 수준에서 사용되는 새로운 자율 시스템 조직(ASO)을 식별합니다. 예를 들어, 이 지표는 ASO로 할당된 새 조직을 나열합니다.

# Detective 조사 보고서 요약
<a name="investigations-summary"></a>

조사 요약에는 선택한 범위 시간 동안 주의가 필요한 이상 지표가 강조 표시됩니다. 요약을 사용하면 잠재적 보안 문제의 근본 원인을 더 빠르게 식별하고 패턴을 식별하며 보안 이벤트의 영향을 받는 리소스를 이해할 수 있습니다.

세부 조사 보고서 요약에서 다음과 같은 세부 정보를 볼 수 있습니다.

**조사 개요**

**개요** 패널에서는 높음 심각도 활동이 있는 IP를 시각화하여 공격자의 경로에 대한 자세한 컨텍스트를 제공할 수 있습니다.

Detective는 조사에서의 **비정상적인 활동**을 강조합니다. 예를 들어 IAM 사용자가 출발지에서 멀리 떨어진 목적지로 이동하는 것이 불가능한 경우가 있습니다.

Detective는 조사를 잠재적 보안 이벤트에 사용되는 전술, 기법 및 절차(TTP)에 매핑합니다. MITRE ATT&CK 프레임워크는 TTP를 이해하는 데 사용됩니다. 전술은 [MITRE ATT&CK Matrix for Enterprise](https://attack.mitre.org/matrices/enterprise/)를 기반으로 합니다.

**조사 지표**

**지표** 창의 정보를 사용하여 AWS 리소스가 악의적인 동작과 그 영향을 나타낼 수 있는 비정상적인 활동에 연루되어 있는지 확인할 수 있습니다. 손상 지표(IOC)는 네트워크, 시스템 또는 환경에서 관찰된 아티팩트로, 높은 수준의 신뢰도로 악의적인 활동이나 보안 인시던트를 식별할 수 있습니다.

# Detective 조사 보고서 다운로드
<a name="download-investigation"></a>

Detective 조사 보고서를 JSON 형식으로 다운로드하여 추가로 분석하거나 Amazon S3 버킷과 같은 선호하는 스토리지 솔루션에 저장할 수 있습니다.

**보고서 테이블에서 조사 보고서를 다운로드하려면**

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

1. **보고서** 테이블에서 조사를 선택하고 **다운로드**를 선택합니다.

**요약 페이지에서 조사 보고서를 다운로드하려면**

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

1. **보고서** 테이블에서 조사를 선택합니다.

1. 조사 요약 페이지에서 **다운로드**를 선택합니다.

# Detective 조사 보고서 보관
<a name="archive-investigation"></a>

Amazon Detective에서 조사를 완료하면 조사 보고서를 **보관**할 수 있습니다. 보관된 조사는 조사 검토를 완료했음을 나타냅니다.

Detective 관리자인 경우에만 조사를 보관하거나 보관 취소할 수 있습니다. Detective는 보관된 조사를 90일 동안 저장합니다.

**보고서 테이블에서 조사 보고서를 보관하려면**

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

1. **보고서** 테이블에서 조사를 선택하고 **보관**을 선택합니다.

**요약 페이지에서 조사 보고서를 보관하려면**

1.  AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.

1. 탐색 창에서 **조사**를 선택합니다.

1. **보고서** 테이블에서 조사를 선택합니다.

1. 조사 요약 페이지에서 **보관**을 선택합니다.