# 온보딩 가이드 온보딩 가이드 온보딩 가이드는 전제 조건과 AWS 보안 인시던트 대응 온보딩 및 격리 작업을 안내합니다. **중요** 사전 조건 유일한 배포 사전 조건은 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)를 활성화하는 것입니다. 필수는 아니지만 모든 계정 및 활성 AWS 리전에서 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)와 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html)를 활성화하여 Security Incident Response 이점을 극대화하는 것이 좋습니다. GuardDuty 및 Security Incident Response를 검토합니다. [GuardDuty 모범 사례 가이드](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)를 검토합니다. AWS Security Hub CSPM는 타사 엔드포인트 탐지 및 응답(EDR) 공급업체(CrowdStrike, FortinetCNAPP(Lacework), Trend Micro 등)에서 조사 결과를 수집합니다. 이러한 조사 결과가 Security Hub CSPM에 수집되는 경우 선제적 사례 생성을 위해 Security Incident Response에 의해 자동으로 분류됩니다. Security Hub CSPM을 사용하여 타사 EDR을 설정하려면 [탐지 및 분석](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html)을 참조하세요. Security Hub CSPM을 사용하여 타사 EDR을 설정하려면 다음을 수행합니다. 1. Security Hub CSPM 통합 페이지로 이동하여 타사 통합이 존재하는지 확인합니다. 1. 콘솔에서 Security Hub CSPM 서비스 페이지로 이동합니다. 1. **통합**을 선택합니다(예: Wiz.IO 사용). ![\[사용 가능한 타사 통합을 보여주는 Security Hub CSPM 통합 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Security_Hub_CSPM.png) 1. 통합하려는 공급업체를 검색합니다. ![\[타사 공급업체 통합을 찾고 선택하기 위한 검색 인터페이스입니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Integrations.png) **참고** 메시지가 나타나면 계정 또는 구독 정보를 제공합니다. 이 정보를 제공하면 Security Incident Response에서 타사 조사 결과를 수집합니다. 타사 조사 결과 수집에 대한 요금을 검토하려면 Security Hub CSPM의 **통합** 페이지에서 확인할 수 있습니다. # Security Incident Response 배포 및 구성 Security Incident Response 배포 및 구성 1. **가입**을 선택합니다. ![\[가입 버튼이 있는 AWS 보안 인시던트 대응 가입 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/AWS_Security_incident_Response.png) 1. 관리 계정에서 위임된 관리자로 **보안 도구** 계정을 선택합니다. + [Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html) + [위임된 관리자 설명서](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) ![\[위임된 관리자 계정을 선택하기 위한 중앙 멤버십 계정 페이지를 설정합니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png) 1. 위임된 관리자 계정에 로그인 1. 멤버십 세부 정보 입력 및 계정 연결 ![\[멤버십 세부 정보 입력 및 계정 연결.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Define_Membership_Details.png) # Security Incident Response에 작업 권한 부여 모니터링 및 격리 작업 권한 부여 이 페이지에서는 AWS 환경에서 자동화된 모니터링 및 격리 작업을 수행하도록 Security Incident Response에 권한을 부여하는 방법을 설명합니다. 선테적 대응 모니터링 및 격리 작업 기본 설정이라는 두 가지 고유한 권한 부여 기능을 활성화할 수 있습니다. 이러한 기능은 서로 독립적이며 보안 요구 사항에 따라 별도로 활성화할 수 있습니다. # 선제적 대응 활성화 선제적 대응을 통해 Security Incident Response는 조직 전체에서 Amazon GuardDuty 및 AWS Security Hub CSPM 통합으로부터 생성된 알림을 모니터링하고 조사할 수 있습니다. 활성화된 경우 Security Incident Response는 서비스 자동화를 통해 우선순위가 낮은 알림을 분류하므로 팀이 가장 중요한 문제에 집중할 수 있습니다. 온보딩 중에 선제적 대응을 활성화하는 방법: 1. Security Incident Response 콘솔에서 온보딩 워크플로로 이동하세요. 1. Security Incident Response가 조직에서 해당되는 모든 계정 및 활성 지원 AWS 리전의 조사 결과를 모니터링하도록 허용하는 서비스 권한을 검토하세요. 1. **가입**을 선택하여 기능을 활성화하세요. ![\[Security Incident Response가 결과를 모니터링하는 데 필요한 권한을 보여주는 서비스 권한 검토 화면.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Review_Service_Permissions.png) ![\[선제적 대응 모니터링을 활성화하기 위한 가입 확인 화면.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Review_and_Sign_Up.png) 이 기능은 AWS Organizations 내 해당되는 모든 멤버 계정에서 서비스 연결 역할을 자동으로 생성합니다. 그러나 관리 계정에서는 AWS CloudFormation 스택 세트를 통해 서비스 연결 역할을 수동으로 생성해야 합니다. **다음 단계:** Security Incident Response가 Amazon GuardDuty 및 AWS Security Hub CSPM와 작동하는 방식에 대한 자세한 내용은 *AWS 보안 인시던트 대응 사용 설명서*의 *탐지 및 분석*을 참조하세요. # 격리 작업 기본 설정 정의 격리 작업을 통해 AWS 보안 인시던트 대응는 활성 보안 인시던트 중에 신속한 대응 조치를 실행할 수 있습니다. 이러한 작업은 환경에서 보안 인시던트의 영향을 신속하게 완화하는 데 도움이 됩니다. **중요** Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 격리 기본 설정을 통해 명시적으로 격리 작업에 권한을 부여해야 합니다. AWS 보안 인시던트 대응 엔지니어가 사용자를 대신하여 격리 작업을 수행하도록 권한을 부여하려면 필요한 IAM 역할을 생성하는 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)를 배포하는 것 외에도 조직 또는 계정 수준 격리 기본 설정을 정의해야 합니다. 계정 수준 기본 설정은 조직 수준 기본 설정을 대체합니다. **사전 조건:** AWS Support 사례를 생성할 권한이 있어야 합니다. **격리 옵션:** + **승인 필요**(기본값): 사례별로 명시적 권한 부여 없이 리소스를 선제적으로 격리하지 않습니다. + **확인 항목 격리**: 손상된 것으로 확인된 리소스에 대해 선제적 격리를 수행합니다. + **의심 항목 격리:** AWS 보안 인시던트 대응 엔지니어링에서 수행한 분석을 기반으로 손상 가능성이 큰 리소스를 선제적으로 격리합니다. 격리 기본 설정을 정의하는 방법: 1. Security Incident Response의 격리 작업 기본 설정을 구성하도록 요청하는[AWS Support 사례를 생성](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html)하세요. 1. 지원 사례에서 다음을 지정하세요. + 격리 작업에 대한 권한을 부여해야 하는 AWS Organizations ID 또는 특정 계정 ID + 선호하는 격리 옵션(승인 필요, 확인 항목 격리, 의심 항목 격리). + 권한을 부여하려는 격리 작업 유형(예: EC2 인스턴스 격리, 자격 증명 교체 또는 보안 그룹 수정) 1. AWS Support는 사용자와 협력하여 격리 기본 설정을 구성합니다. 필요한 IAM 역할을 생성하는 AWS CloudFormation StackSet를 배포해야 합니다. 필요한 경우 AWS Support에서 도움을 받을 수 있습니다. 구성 후 AWS 보안 인시던트 대응는 환경 보호를 위해 활성 보안 인시던트 중 권한이 부여된 격리 작업을 실행합니다. **다음 단계:** 격리 기본 설정을 구성한 후 Security Incident Response 콘솔에서 인시던트 중에 수행된 격리 작업을 모니터링할 수 있습니다. # Security Incident Response의 사후 배포 AWS는 교체하는 대신 기존 인시던트 대응 프레임워크와 통합됩니다. 1. 현재 방식을 개선하기 위해 당사의 운영 통합 기능을 검토해 보세요. 1. 보다 효율적인 보안 운영을 위해 OU 수준 멤버십 지원 데모, EventBridge 활용 및 Jira-ITSM 통합을 시청해 보세요. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws) # 인시던트 대응 팀 업데이트 1. 구독을 완료하고 본 *온보딩 가이드*에 설명된 온보딩 단계를 모두 마쳤는지 확인하세요. 1. 왼쪽 탐색 창에서 인시던트 대응 팀을 선택합니다. 1. 팀에 추가할 팀원을 선택합니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Teamates.png) **참고** 팀에는 조직 리더십, 법률 고문, MDR 파트너, 클라우드 엔지니어 등이 포함될 수 있습니다. 최대 10명의 멤버를 추가할 수 있습니다. 각 멤버의 이름, 직함 및 이메일 주소만 포함합니다. # AWS 지원 사례 AWS 보안 인시던트 대응는 조직이 Security Incident Response 엔지니어와 직접 소통할 수 있는 구독 기반 사례 관리 포털을 제공합니다. 대응 사례에 대한 제한 없이 15분 SLO를 통해 보안 조사 및 활성 인시던트를 지원합니다. AWS 지원되는 사례 생성 설명서를 참조하세요. **조사 팀 확장** 사례 관리 포털을 통해 감시자 및 IAM 정책을 추가하여 외부 당사자에게 사례 가시성을 부여할 수 있습니다. 파트너, 법률 팀 또는 주제 전문가에 대해 이러한 옵션을 사용합니다. **사례에 감시자를 추가하는 방법** 1. Security Incident Response 사례 포털에서 사례를 엽니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Cases.png) 1. 권한 탭 선택 ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Overview.png) 1. 추가 선택 ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Watchers.png) **참고** 각 사례에는 특정 사례에만 액세스 권한을 부여하여 최소 권한을 유지하는 미리 채워진 IAM 정책이 포함됩니다. 이 정책을 복사하여 타사 MDR 파트너 또는 특정 조사 팀의 IAM 역할 또는 사용자에게 직접 붙여 넣어 기여도를 높입니다. # GuardDuty 조사 결과 및 억제 규칙 AWS 보안 인시던트 대응는 CrowdStrike, FortinetCNAPP(Lacework), Trend Micro의 모든 Amazon GuardDuty 조사 결과와 AWS Security Hub CSPM 조사 결과를 사전에 수집 및 분류하고 이에 대응합니다. 자동 분류 기술은 내부 분석 요구 사항이 필요하지 않습니다. 이 서비스는 GuardDuty 및 Security Hub CSPM에서 양성 조사 결과에 대한 억제 및 자동 보관 규칙을 생성합니다. Amazon GuardDuty 콘솔의 '조사 결과'에서 이러한 규칙을 보거나 수정합니다. 활성화된 GuardDuty 억제 규칙을 검토하려면 다음 단계를 완료합니다. 1. Amazon GuardDuty 콘솔을 엽니다. 1. **조사 결과**를 선택합니다. 1. 탐색 창에서 **억제 규칙**을 선택합니다. **억제 규칙** 페이지에는 계정에 대한 모든 억제 규칙 목록이 표시됩니다. 1. 규칙 설정을 검토하거나 변경하려면 규칙을 선택한 다음 **작업** 메뉴에서 **억제 규칙 업데이트**를 선택합니다. **참고** SIEM 기술을 사용하는 조직은 시간이 지남에 따라 GuardDuty 조사 결과 볼륨이 크게 감소하여 Security Incident Response 서비스와 SIEM 효율성이 모두 개선됩니다. # Amazon EventBridge Amazon EventBridge는 보안 인시던트 대응을 위한 이벤트 기반 아키텍처를 지원하므로 사례 활동이 다운스트림 서비스(SNS, Lambda, SQS, Step-Functions) 또는 외부 도구(Jira, ServiceNow, Teams, Slack, PagerDuty)를 트리거할 수 있습니다. **EventBridge 규칙 구성 방법** 1. Amazon EventBridge에 액세스 1. **버스** 드롭다운에서 **규칙**을 선택합니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png) 1. [**Create Rule**]을 선택합니다. 1. 규칙 세부 정보를 입력합니다. 1. **다음**을 선택합니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Define_Rule.png) 1. **AWS 서비스**로 스크롤하고 드롭다운 메뉴에서 **AWS 보안 인시던트 대응**를 선택합니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Event_Pattern_Security.png) 1. **이벤트 유형** 드롭다운에서 패턴을 생성할 이벤트 또는 API 직접 호출을 선택합니다. 1. 둘 이상의 이벤트를 포함하도록 패턴을 수동으로 편집할 수 있습니다. 1. **다음**을 선택합니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Event_Pattern.png) **참고** 이벤트에 대해 하나 이상의 대상(Amazon Simple Notification Service, AWS Lambda, SSM 문서, Step-Function)을 선택합니다. 필요한 경우 교차 계정 대상을 구성합니다. EventBridge 통합 메뉴의 파트너 이벤트 소스에서 파트너 통합 패턴을 확인할 수 있습니다. 사용 가능한 파트너로는 Atlassian(Jira), DataDog, New Relic, PagerDuty, Symantec, Zendesk 등이 있습니다. ![\[AWS 서비스는 이벤트를 EventBridge 기본 이벤트 버스로 보냅니다. 이벤트가 규칙의 이벤트 패턴과 일치하면 EventBridge는 해당 규칙에 지정된 대상으로 이벤트를 보냅니다.\]](http://docs.aws.amazon.com/ko_kr/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png) # 통합 및 외부 도구 워크플로 **JIRA 또는 ServiceNow를 Security Incident Response와 통합하는 AWS 솔루션** Jira 및 ServiceNow와의 양방향 통합을 위해 완전히 개발된 솔루션을 배포합니다. 이러한 통합을 통해 AWS 보안 인시던트 대응 사례와 ITSM 플랫폼 간의 양방향 통신이 가능하며, 사례 업데이트는 해당 Jira 작업에 자동으로 반영됩니다. **통합의 이점** AWS 보안 인시던트 대응를 기존 ITSM 플랫폼과 통합하면 인시던트 추적 및 대응 워크플로를 중앙 집중화하여 보안 운영을 간소화할 수 있습니다. 이러한 사전 빌드된 솔루션을 사용하면 사용자 지정 개발이 필요하지 않으므로 보안 팀이 AWS 네이티브 및 전사적 인시던트 관리 시스템 모두에서 가시성을 유지 관리할 수 있습니다. 이벤트 기반 자동화에 Amazon EventBridge를 활용하면 여러 플랫폼 사이에서 업데이트가 실시간으로 원활하게 전달되므로 보안 인시던트가 발생한 위치에 관계없이 일관되게 추적되도록 할 수 있습니다. 이 통합 접근 방식은 보안 분석가의 컨텍스트 전환을 줄이고, 대응 시간을 개선하며, 전체 인시던트 대응 수명 주기에서 포괄적인 감사 추적을 제공합니다. EventBridge 규칙 구성 방법: 1. Amazon EventBridge에 액세스합니다. 1. **버스** 드롭다운에서 **규칙**을 선택합니다. # 외부 도구 워크플로 보안 인시던트 대응은 여러 가지 방법으로 외부 도구 및 파트너와 통합됩니다. + *SIEM 통합:* Security Incident Response 엔지니어는 AWS 지원 사례를 제출할 때 팀과 함께 이러한 조사 결과를 분석하고 조사하는 데 도움을 줍니다. 하이브리드 및 멀티 클라우드 환경 간의 상관관계를 식별하여 공급자 간의 위협 행위자 이동 범위를 정하는 데 도움이 됩니다. + *기존 보안 작업 개선:* 기존 GuardDuty 대응 워크플로를 보다 효율적인 병렬 대응 모델로 대체합니다. 현재 많은 조직이 사례 관리를 통한 탐지 워크플로에 SIEM 기술을 활용하고 있습니다. 이 서비스는 GuardDuty와 일부 Security Hub CSPM 조사 결과에 대한 간소화된 대안을 제공합니다. 이 솔루션은 정교한 자동 분류 기술과 인적 감독을 활용하여 포털에서 선제적 사례를 생성하고, 동시에 대응 팀에 알리며, 조정된 문제 해결 작업을 위해 Security Incident Response 엔지니어를 참여시킵니다. + *서드 파티 조사 팀:* Security Incident Response 엔지니어가 파트너 및 MDR 공급자와 직접 협업합니다. # 부록 A: 연락 담당자 메타데이터를 Security Incident Response 엔지니어에게 미리 제공하면 프로파일 생성 시간을 가속하여 게이트 외부에서 분류 기술에 대한 신뢰도를 높일 수 있습니다. 그러면 위협 조사 결과를 수집하고 ‘정상 환경’을 생성하기 시작할 때 발생하는 초기 오탐지를 줄일 수 있습니다. **IR 및 SOC 직원 연락처 정보** | 입력 | IR \$1 SOC 직원: 역할, 이름, 이메일 | 기본, 보조 에스컬레이션 연락처 | 내부, 알려진 CIDR 범위 | 외부, 알려진 CIDR 범위 | 추가 클라우드 서비스 제공업체 | 작업 AWS 리전 | DNS 서버 IP(Amazon Route 53 Resolver가 아닌 경우) | VPN \$1 원격 액세스 솔루션 및 IP | 중요 애플리케이션 이름 \$1 계정 번호 | 많이 사용되는 비일반 포트 | ERD \$1 AV \$1 사용된 취약성 관리 도구 | IDP \$1 위치 | | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | | 1 | SOC Commander, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20(Azure) | Azure | us-east-1, us-east-2 | 해당 사항 없음 | Direct Connect, 퍼블릭 VIF 116.32.8.7 | Nginx Webserver(중요 예제) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure | |   |   |   |   |   |   |   |   |   |   |   |   |   | |   |   |   |   |   |   |   |   |   |   |   |   |   | |   |   |   |   |   |   |   |   |   |   |   |   |   | 환경에 대한 메타데이터 정보를 제출하려면 [AWS Support 사례](https://repost.aws/knowledge-center/get-aws-technical-support)를 생성합니다. **메타데이터를 제출하려면** 1. 환경 정보를 사용하여 메타데이터 테이블을 작성합니다. 1. 다음 세부 정보를 사용하여 AWS Support 사례를 생성합니다. + **사례 유형:** 기술 + **서비스:** Security Incident Response 서비스 + **범주:** 기타 1. 작성된 메타데이터 테이블을 사례에 연결합니다.