# 선제적 대응 및 알림 분류 워크플로 설정
<a name="setup-monitoring-and-investigation-workflows"></a>

AWS Security Incident Response는 Amazon GuardDuty 및 Security Hub CSPM 통합으로부터 생성된 알림을 모니터링하고 조사합니다. 이 기능을 사용하려면 [Amazon GuardDuty를 활성화해야 합니다](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). AWS Security Incident Response는 팀이 가장 중요한 문제에 집중할 수 있도록 서비스 자동화를 통해 우선순위가 낮은 알림을 분류합니다. AWS Security Incident Response가 Amazon GuardDuty 및 AWS Security Hub CSPM와 함께 작동하는 방식에 대한 추가 정보는 사용 설명서의 [탐지 및 분석](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) 섹션을 참조하세요.

온보딩 문제가 발생하는 경우 추가 지원을 위한 [AWS Support 사례를 생성](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case)하세요. 설정 프로세스 중 발생할 수 있는 AWS 계정 ID 및 오류를 포함한 세부 정보를 포함해야 합니다.

**참고**  
 Amazon GuardDuty 격리 규칙, 알림 분류 구성 또는 선제적 대응 워크플로에 대한 질문이 있는 경우 AWS 지원 사례(사례 유형 **조사 및 문의**)를 생성하여 AWS Security Incident Response 팀과 상담할 수 있습니다. 자세한 내용은 [AWS 지원 사례 생성](create-an-aws-supported-case.md) 섹션을 참조하세요.

이 기능을 사용하면 AWS Security Incident Response가 조직 내 적용되는 모든 계정과 활성 상태의 지원되는 AWS 리전에서 발견 사항을 모니터링하고 조사할 수 있습니다. 이 기능을 용이하게 하기 위해 AWS Security Incident Response는 AWS Organizations 내 적용되는 모든 멤버 계정에서 서비스 연결 역할을 자동으로 생성합니다. 그러나 관리 계정의 경우 모니터링을 활성화하려면 서비스 연결 역할을 수동으로 생성해야 합니다.

*서비스가 관리 계정에서 서비스 연결 역할을 생성할 수 없습니다. [AWS CloudFormation 스택 세트로 작업](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)하여 관리 계정에서 이 역할을 수동으로 생성해야 합니다.*

# 선테적 대응을 통한 자동 아카이브 이해
<a name="understanding-automatic-archiving"></a>

선제적 대응 및 알림 분류를 활성화하면 AWS Security Incident Response는 Amazon GuardDuty 및 Security Hub CSPM의 보안 조사 결과를 자동으로 모니터링하고 분류합니다. 이 자동 분류 워크플로의 일부로 조사 결과는 다음 기준에 따라 자동으로 아카이브됩니다.

**자동 아카이브 동작:**
+ **양성 조사 결과:** 자동 분류 프로세스에서 결과가 양성(실제 보안 위협이 아님)으로 판단되면 AWS Security Incident Response는 Amazon GuardDuty에 조사 결과를 자동으로 아카이브하고 억제 규칙을 생성하여 유사한 조사 결과로 인해 향후 알림을 생성하지 않도록 합니다.
+ **억제 규칙:** 서비스는 Amazon GuardDuty 및 Security Hub CSPM 모두에서 환경의 알려진 양호한 패턴(예: 예상 IP 주소, IAM 엔터티 및 정상 작동 동작)과 일치하는 조사 결과에 대한 억제 및 자동 아카이브 규칙을 생성합니다.
+ **알림 볼륨 감소:** SIEM 기술을 사용하는 조직에서는 서비스가 환경을 학습하고 양성 조사 결과를 자동으로 아카이브함에 따라 시간이 경과하면 Amazon GuardDuty 조사 결과 볼륨이 크게 감소합니다. 이를 통해 AWS Security Incident Response 서비스와 SIEM의 효율성이 모두 향상됩니다.

**아카이브된 조사 결과 보기:**

자동으로 아카이브된 조사 결과와 AWS Security Incident Response에서 생성한 억제 규칙을 검토할 수 있습니다.

1. Amazon GuardDuty 콘솔로 이동

1. **조사 결과** 선택

1. 조사 결과 필터에서 **아카이브됨** 선택

1. 각 규칙 옆에 있는 아래쪽 화살표를 선택하여 억제 규칙 검토

**중요 고려 사항:**
+ 아카이브된 조사 결과는 90일 동안 Amazon GuardDuty에서 유지되며 해당 기간에 언제든지 볼 수 있음
+ Amazon GuardDuty 콘솔을 통해 언제든지 억제 규칙을 수정하거나 삭제할 수 있음
+ 자동 분류 프로세스는 환경에 지속적으로 적응하여 시간 경과에 따른 정확도를 개선하고 오탐을 줄임

**격리:** 보안 인시던트가 발생하는 경우 AWS Security Incident Response는 격리 조치를 실행하여 손상된 호스트 격리 또는 자격 증명 교체와 같은 영향을 신속하게 완화할 수 있습니다. Security Incident Response는 기본적으로 격리 기능을 활성화하지 않습니다. 이러한 격리 조치를 실행하려면 먼저 서비스에 필요한 권한을 부여해야 합니다. 이는 필요한 역할을 생성하는 [AWS CloudFormation StackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html)를 배포하여 수행할 수 있습니다.