요구사항 정리 및 미팅을 진행 했다.
미팅 후 팀원들과 모여서 미팅 내용을 정리하고 그에 맞는 일정을 만들었다.
오늘 내가 담당해서 조사하는 내용은 어제 했던 security hub다. 더 깊은 조사가 필요하다.
[1단계 : 원본 데이터]VPC, CloudTrail, S3 등을 사용 중이라면 별도 설정이 불필요하며, Inspector 경우는 IAM, VPC Endpoint, SSM Agent 설치 등 별도 조치가 필요합니다.
[2단계 : 탐지]GuardDuty, Inspector, Macie는 Region별 활성화하면 탐지(Findings)합니다.
[3단계 : 통합]Region별 활성화하면 각 서비스에서 탐지한 결과가 통합됩니다.Region별 탐지 결과를 하나의 Region으로 통합할수도 있습니다.탐지된 결과 중 심각도에 따라 내부 규정에 위배되는 항목들은 조치를 취합니다. (ex : 비밀번호 변경 90일 기한 등)탐지된 결과 중 침해사고가 의심되는 부분은 Detective(4단계 분석)으로 이동하여 상세한 분석을 진행합니다.
[4단계 : 분석]Region별 활성화만 하면 각 서비스에서 탐지한 결과에 대해 보안 활동 그래프 형태로 자료를 제공합니다. 침해사고가 의심되는 Findings는 분석하여 오탐인지 침해사고인지 판단하고, 침해사고인 경우 즉시 조치를 취합니다.
[5단계 : 대응]Findings를 EventBridge Rule 설정하여 자동화합니다. (ex : SNS 통보, Lambda 통해 자동 처리 등)
Amazon DynamoDB 복구 활성화 로그 > aws config 의 탐지 > Security Hub 결과 확인