선제적 대응 및 알림 분류 워크플로 설정
AWS 보안 인시던트 대응는 Security Hub CSPM 통합을 사용하여 Amazon GuardDuty 및 서드 파티 위협 탐지 도구에서 생성된 위협 알림을 모니터링하고 조사합니다. AWS 보안 인시던트 대응는 지원되는 모든 알림을 자동으로 분류하여 팀이 가장 중요한 문제에 집중할 수 있도록 합니다.
중요
AWS 보안 인시던트 대응에서는 Amazon GuardDuty를 활성화할 필요가 없습니다. 그러나 선제적 대응 기능을 위해서는 탐지 서비스로부터 위협 조사 결과를 수신해야 합니다. 조사 결과를 수집하도록 Amazon GuardDuty 또는 Security Hub CSPM이 구성되어 있지 않은 경우에는 AWS 보안 인시던트 대응가 모니터링 및 조사할 알림이 없으므로 이 기능의 가치가 제한됩니다.
AWS 보안 인시던트 대응는 조직 내 모든 대상 계정 및 지원되는 활성 AWS 리전에서 조사 결과를 모니터링하고 조사할 수 있습니다. 이 기능을 용이하게 하기 위해 AWS 보안 인시던트 대응는 AWS Organizations 내 적용되는 모든 멤버 계정에서 서비스 연결 역할을 자동으로 생성합니다. 그러나 관리 계정의 경우 모니터링을 활성화하려면 서비스 연결 역할을 수동으로 생성해야 합니다.
AWS Management Console에서 AWS 보안 인시던트 대응를 온보딩하면 Security Incident Response가 AWS Organizations 관리 계정 및 범위 내의 모든 계정에 AWSServiceRoleForSecurityIncidentResponse_Triage 서비스 연결 역할을 자동으로 생성합니다. API/CLI를 사용하여 온보딩하는 경우 해당 역할을 수동으로 생성해야 합니다. 자세한 내용은 API/CLI를 사용하여 Security Incident Response 활성화 및 인시던트 대응 팀 구성 섹션을 참조하세요.
온보딩 문제가 발생하거나 Amazon GuardDuty 또는 Security Hub CSPM을 활성화하는 데 도움이 필요한 경우 AWS Support 사례를 생성하여 지원을 받으세요.
참고
Amazon GuardDuty 격리 규칙, 알림 분류 구성 또는 선제적 대응 워크플로에 대한 질문이 있는 경우 AWS 지원 사례(사례 유형 조사 및 문의)를 생성하여 AWS 보안 인시던트 대응 팀과 상담할 수 있습니다. 자세한 내용은 AWS 지원 사례 생성 섹션을 참조하세요.
격리: 보안 인시던트가 발생하는 경우 AWS 보안 인시던트 대응는 격리 조치를 실행하여 손상된 호스트 격리 또는 자격 증명 교체와 같은 영향을 신속하게 완화할 수 있습니다. Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 이러한 격리 조치를 실행하려면 먼저 서비스에 필요한 권한을 부여해야 합니다. 이는 필요한 역할을 생성하는 AWS CloudFormation StackSet를 배포하여 수행할 수 있습니다.
