AWS 보안 설루션들(GuardDuty, Inspector, Macie 등)의 로그를 통합적으로 관리할 수 있는 툴 AWS Security Hub와 Open Search Serivce 와의 SIEM 연동에 대해 소개하고자 합니다.
Security Hub의 한계
1. CloudTrail logs와 같은 대용량 이벤트 로그를 직접 수집하지 않는다.
2. on-premises 또는 AWS 서비스가 아닌 로그를 수집할 수 없다.
3. Security Hub에서는 90일 이상 로그를 저장할 수 없다.
4. SIEM과 유사한 기능을 가지고 있지만 SIEM에 비해 부족하다.
Security Hub를 단독으로 사용할 때의 단점은 위와 같다고 합니다. 그런데 1번의 경우 잘 이해되지 않는 부분은
1. CloudTrail logs와 같은 대용량 이벤트 로그를 직접 수집하지 않는다.
-> GuardDuty 가 VPC flow logs, CloudTrail logs, DNS logs를 수집한다고 알려져 있고 Security Hub는 Guardduty의 로그를 수집한다고 함. 대용량 이벤트 로그를 무엇이라 정의하긴 어렵지만 CloudrTrail logs는 수집할 수 있기 때문에 조금 헷갈리는 부분이 있네요.
2. on-premises 또는 AWS 서비스가 아닌 로그를 수집할 수 없다.
-> on-premise 또는 AWS 외 서비스의 로그를 S3로 보내서 Open Search 대시보드에서 시각화 가능
3. Security Hub에서는 90일 이상 로그를 저장할 수 없다.
-> S3에 저장해 놓기 때문에 저장 일수를 지정 가능함
4. SIEM과 유사한 기능을 가지고 있지만 SIEM에 비해 부족하다.
다시 한번 정리해서 Security Hub와 Open Search (Elastic search)와 SIEM 연동의 장점은 아래와 같습니다.
1. Security Hub 외에서 제공되는 로그들도 통합적으로 관리, 시각화할 수 있다.
2. 90일 넘게 로그들을 저장할 수 있다.
3. 다른 계정들에서의 결과를 통합적으로 집계 가능
아키텍처를 통해 어떻게 동작하는지 알아보겠습니다.
1. Security Hub Admin account는 Member account 들의 로그들 통합해서 S3 버킷에 저장한다.
2. 그 외 서비스들 역시 로그를 지속적으로 S3 버킷에 저장한다.
3. S3 버킷에 로그가 쌓이게 되면 Lambda 가 작동해 Open Search에 로그들을 적용한다.
4. Users는 Open Search 대시보드를 통해 시각화된 로그들을 볼 수 있다.
5. SNS에 지정된 특정 행위들이 발생하면 Users에게 메시지, 메일이 전송된다.
Security Hub와 Open Search 간 SIEM 연동의 기능들에 대해 알아보겠습니다.
첫 번째로 여러 가지 로그들에 대해 인사이트 제공
대시보드를 통해 몇 가지 로그들을 살펴보겠습니다. 위와 같이 다양한 종류의 인사이트들이 존재합니다.
Security Hub Summary를 선택했습니다.
CloudTrail 로그를 한번 살펴보겠습니다. 하나 재미난 부분은 제 AWS 자원들에 접속한 Source IP들이 보이는데 제가 모르는 접속 시도들이 있었다는 사실을 알게 되었습니다.
그 외 CloudTrail에서 제공하는 다른 정보들을 인사이트로 제공하고 있습니다.
2번째로 Alert 기능입니다. 특정 행위에 대해 Alert 메시지가 첨부되도록 설정했으니 아래와 같이 경고 메일을 받았습니다.
그 외 90일 이상 로그를 저장할 수 있다는 특징이 있습니다 Security Hub는 자체적으로 90일 동안 로그를 저장하고 있습니다. 그 이상 로그를 저장하고 싶다면 로그들이 보관되는 S3 버킷의 생명 주기 정책과 복재 정책 설정을 통해 보관에 대한 세부적인 설정이 가능합니다.
다시 한번 정리해서 Securit Hub VS Security Hub with Open Search 와의 차이점을 비교해 보겠습니다.
1. 다양한 소스의 로그를 수집할 수 있냐 없냐의 차이
AWS native security and partner solutions 로그들만 수집 가능하냐 VS AWS native security and partner solutions과 다른 로그들(on-premise 대상, 3rd-party logs)
2. 90 일 이상 로그를 저장할 수 있냐 없냐의 차이 (실제로는 둘 다 가능함)
Security Hub with Open Search는 S3 정책을 통해 가능함 하지만 Security Hub 단독으로는 90일까지 저장
-> Security Hub 역시 S3에 로그들을 보관할 수 있게 설정한다면 가능함
결론
Security Hub는 여러 가지 유형의 시각화 데이터를 제공하며 S3 버킷, AWS SNS와 연동하게 되면 로그 저장 방법과, 알람 기능이 가능하게 됩니다. 하지만 Security Hub와 Open Search (Elastic search)와 연동하게 되면 Security Hub 기능뿐 아니라 Open Search의 장점을 취할 수 있게 됩니다. (가장 큰 장점은 대상이 On-premise까지 확장 가능하다는 점과 AWS에서 제공하지 않는 solution 들과 연동 가능하다는 것이 아닐까 생각합니다. 아직 Open search에 대해 잘 모르다 보니 왜 이것을 써야 하나에 대해 명쾌한 답이 나오지 못하는 점 죄송하게 생각합니다.)
이 포스팅은
을 참조했습니다.
