AWS CloudTrail 리소스

AWS CloudTrail 보안 실무를 강화하고, 인시던트 대응을 개선하며, 모니터링 기능을 향상시키기 위한 엄선된 리소스를 살펴보세요. 이 페이지는 두 섹션으로 나뉩니다: 실용적 안내를 위한 AWS 블로그 포스트와 일반적인 보안 시나리오의 실습 시뮬레이션을 위한 AWS CloudTrail 워크숍.

최신 CloudTrail 리소스

AWS 블로그 포스트

• Announcing AWS CloudTrail Event Aggregation and Insights for Data Events

• New: AWS CloudTrail Lake Event Enrichment: Add Business Context to AWS Activity Logs

• Announcing AWS CloudTrail network activity events for VPC Endpoints

• Securing your VPC Endpoints using Network Activity Events | AWS CloudTrail | EP 02

• Tag It & Track It: AWS CloudTrail Event Enrichment and Expansions Explained | EP 09

• Simplify AWS CloudTrail log analysis with natural language query generation in CloudTrail Lake (preview)

동영상

대화형 데모

• AWS CloudTrail Event Aggregation

• AWS CloudTrail Insights for Data Events

• Network Activity Events for CloudTrail Lake

GitHub

• AWS CloudTrail Lake query samples

AWS 블로그 포스트

이 블로그 포스트들은 AWS CloudTrail을 활용하여 AWS 환경을 보호하고, 인시던트를 감지하며, 대응을 자동화하기 위한 실행 가능한 인사이트를 제공합니다. 쉬운 탐색을 위해 초점 영역별로 그룹화되어 있습니다.

인시던트 조사 및 포렌식

• Investigate Security Events with CloudTrail Lake
  CloudTrail Lake 쿼리를 사용하여 손상된 액세스 키와 같은 보안 인시던트를 분석합니다.
• CloudTrail Insights: Detect Unusual API Activity
  CloudTrail Insights로 비정상적인 API 호출을 식별하고 대응하는 방법을 알아봅니다.
• Announcing CloudTrail Lake – Managed Audit and Security Lake
  중앙 집중식 감사 및 보안 로그 관리를 위한 CloudTrail Lake를 알아봅니다.

모니터링 및 알림

• Monitor Root User Activity
  보안 강화를 위해 AWS 계정 루트 사용자 활동을 추적하는 알림을 설정합니다.
• Alerts for IAM Access Key Usage
  IAM 액세스 키 사용을 감지하는 알림을 구성합니다.
• Notifications for IAM Configuration Changes
  IAM 구성 변경에 대한 알림을 구현합니다.
• Monitor IAM User Creation
  권한 없는 변경을 감지하기 위한 새 IAM 사용자 생성 알림을 설정합니다.
• Track Account and EC2 Security Group Changes
  EC2 보안 그룹의 구성 변경 및 API 호출을 모니터링합니다.
• Analyze CloudTrail in CloudWatch
  실시간 로그 분석을 위해 CloudTrail을 CloudWatch와 통합합니다.

보안 모범 사례 및 자동화

• Prevent CloudTrail Modifications
  권한 없는 변경으로부터 CloudTrail을 보호하는 기술을 알아봅니다.
• Automate Responses to Compromised Access Keys
  GitHub 도구를 사용하여 노출된 액세스 키에 대한 응답을 자동화합니다.

AWS CloudTrail 워크숍

이 핸즈온 워크숍들은 일반적인 보안 이벤트를 시뮬레이션하고 AWS CloudTrail 및 관련 서비스를 사용한 탐지 및 대응을 시연합니다. 각 워크숍에는 실제 시나리오를 재현하기 위한 CloudFormation 템플릿 또는 스크립트가 포함되어 있습니다.

워크숍 목록

• Unauthorized IAM Credential Use
  설명: CloudShell 스크립트를 통해 정찰 및 권한 에스컬레이션을 모방하는 권한 없는 IAM 자격 증명 사용을 시뮬레이션합니다.
  중요성: AWS 환경에서 일반적인 공격 벡터인 무단 액세스를 탐지하고 완화하는 방법을 배웁니다.

• Ransomware on S3
  설명: CloudFormation 템플릿으로 S3 버킷을 생성하고 CloudShell에서 데이터 유출 및 삭제를 통해 랜섬웨어를 시뮬레이션합니다.
  중요성: 무단 S3 수정을 감지하여 데이터 손실 또는 노출로부터 보호합니다.

• Cryptominer Security Events
  설명: CloudFormation으로 EC2 인스턴스를 배포하고 알려진 도메인에 대한 DNS 요청을 통해 크립토마이닝을 시뮬레이션합니다.
  중요성: 비용을 줄이고 EC2 인스턴스를 보호하기 위해 리소스 집약적인 크립토마이닝을 식별합니다.

• SSRF on IMDSv1
  설명: IMDSv1 취약점을 통해 EC2 인스턴스 자격 증명에 대한 서버 측 요청 위조(SSRF) 공격을 시뮬레이션합니다.
  중요성: SSRF 완화를 통해 인스턴스 자격 증명에 대한 무단 액세스를 방지합니다.

CloudTrail 시작하기

종합적인 안내를 위해 **AWS CloudTrail User Guide**를 탐색하여 보안 모니터링, 인시던트 대응 및 모범 사례를 마스터하세요.