실습1. 환경 구성 및 설정


이번 단계는 앞으로 진행할 실습의 초기 환경을 구성하게 됩니다. 여러분들은 앞으로 환경의 일부를 자동으로 생성해 주는 CloudFormation템플릿을 실행하게 되며, 나머지 추가 작업들은 본 가이드의 지침에 따라 직접 수행하게 될 것입니다.

수행 절차

  1. GuardDuty 활성화

  2. Macie 활성화

  3. Detective 활성화

  4. SecurityHub 활성화

  5. CloudFormation 템플릿 실행하기

  6. (Optional) GuardDuty 위협IP 등록 확인하기

    다음 각 단계 별로 실습 리전서울(ap-northeast-2)임을 반드시 확인하시기 바랍니다.

GuardDuty 활성화

  1. Amazon GuardDuty 콘솔로 이동합니다.

    GuardDuty를 미리 활성화 하신 분들은 다음 단계인 Macie 활성화로 넘어 가시기 바랍니다.

  2. 화면 중간에 있는 시작하기 버튼을 클릭합니다.

  3. GuardDuty 활성화 버튼을 클릭하여 활성화 시킵니다.

Macie 활성화

  1. Amazon Macie 콘솔로 이동합니다.

  2. Amazon Macie 활성화섹션에 있는 Macie 활성화버튼을 클릭하여 활성화 시킵니다.

Detective 활성화

이벤트 엔진을 통해 실습을 진행하는 경우에는, 이번 단계를 생략하고 다음 단계로 넘어갑니다. 현재 이벤트 엔진에서 Amazon Detective 서비스를 지원하지 않고 있습니다. 또한, 실습 최소 48시간 전에 GuardDuty를 활성화하지 않는 분도 다음 단계로 넘어 가시기 바랍니다.

  1. Amazon Detective 콘솔로 이동하여 시작하기 버튼을 클릭합니다.

  2. 화면 제일 아래에 있는 Amazon Detective 활성화 버튼을 클릭하여 활성화 시킵니다.

SecurityHub 활성화

  1. AWS SecurityHub 콘솔로 이동하여 Security Hub 시작하기 섹션에 있는 Security Hub로 이동 버튼을 클릭합니다.

  2. 보안 표준섹션에 기본 선택되어 있는 2개를 해제하고, 제일 아래에 있는 Security Hub 활성화버튼을 클릭합니다.

    sec-hub-standard-uncheck

  3. AWS 기초 보안 모범 사례 소개 팝업이 뜨면 CANCEL 버튼을 클릭합니다.

    일반적인 경우 기본 선택된 2개의 보안 모범 사례들을 적용할 것을 권고하지만, 본 워크샵에서는 탐지건이 혼동될 수 있으므로 생략합니다.

CloudFormation 템플릿 실행하기

  1. 아래 버튼을 클릭하여, AWS 콘솔 로그인을 하면, 워크샵 진행을 위한 기본 환경 설정을 구성해 주는 CloudFormation 템플릿(environment-setup.yml)이 선택된 화면이 나옵니다. 하단의 다음을 눌러서 진행합니다.

    CloudFormation template

    stack-step1

    “만약 위 버튼이 작동하지 않으면, 링크를 눌러서 CloudFormation템플릿을 직접 PC로 다운로드 받은 후, CloudFormation 콘솔로 이동하여 로컬에 다운받은 템플릿 파일을 지정하여 진행합니다. 상기 화면에서 템플릿 선택에 있는 두번째 옵션인 Amazon S3에 템플릿 업로드를 선택하고 Browse 를 클릭하여 로컬 파일을 지정하면 됩니다.”

  2. 스택 세부 정보 지정 화면에서, 다음 설명대로 스택 이름과 파라미터 입력란에 각각 적당한 값을 설정합니다.

    Parameters 설정값
    스택 이름 Security-Incident-Workshop 입력 (변경가능)
    Resource Prefix sir-workshop (변경불가)
    Email Address 진행과정에서 단계 별로 통보를 받을 때 사용할 이메일 주소를 입력
    AWS Config No (서울 리전에서 Config를 사용하고 있지 않은 경우) / Yes (사용중인 경우)

    stack-step2

    Resource Prefix 은 본 템플릿에서 자동 생성되는 모든 리소스들에 대한 기본 식별자, 메타정보, Prefix, 태그 값 등으로 설정되어, 실습자의 AWS 어카운트에 기 존재하는 다른 리소스들과 구별할 수 있게 해 줍니다.

    AWS Config 를 잘못 설정하게 되면 템플릿 실행이 실패하게 되므로 정확하게 선택합니다.

  3. 다음을 클릭하고, 스택 옵션 구성 화면에서 모든 것을 그대로 놔두고 다시 한번 다음을 클릭합니다.

  4. Security-Incident-Workshop 검토화면에서, 제일 아래로 스크롤해서 기능 카테고리에 있는 AWS CloudFormation에서 사용자 지정 이름으로 IAM 리소스를 생성할 수 있음을 승인합니다.체크박스를 클릭한 뒤, 스택 생성버튼을 눌러서 템플릿을 실행합니다.

    stack-step3

  5. Refresh 버튼을 클릭하여 템플릿 진행 경과를 확인합니다. 템플릿 진행이 최종적으로 성공하게 되면 왼쪽 스택 메뉴에서 템를릿 결과가 CREATE_COMPLETE 으로 표시됩니다.

    stack-complete

    진행시간은 대략 5 분 정도 소요됩니다.

  6. 설정했던 메일로, 아래와 같이 SNS subscription에 대한 확인 메일 (제목: AWS Notification - Subscription Confirmation) 이 옵니다. 제목을 확인하고 메일 본문에 있는 Confirm subscription 링크를 클릭하여 메일주소 확인과정을 완료합니다.

    conf-email

    confirmed

GuardDuty 위협 IP 등록 확인하기

  1. GuardDuty 목록 메뉴로 이동합니다.

  2. 목록 관리화면의 아래 위협 목록Custom-Threat-List가 등록되어 있는지 확인합니다.

    본 목록은 GuardDuty에 등록된 위협 IP목록으로 템플릿 실행과정에서 자동으로 생성되며, 실습과정을 진행하는데 중요한 근거가 됩니다. CloudFormation 템플릿 완료 후, 대략 2~3분 정도 후에 등록된다는 점을 고려해서 확인해 주시기 바랍니다. 정상적으로 등록된 것이 확인되면, 아래 스텝을 생략하고 다음 단계로 진행하시기 바랍니다.

  3. 만약 목록이 등록되지 않았다면, S3 화면으로 이동하여, sir-workshop-{account_name}-ap-northeast-2-gd-threatlist 이름의 버킷을 클릭합니다.

  4. 버킷에 있는 gd-threat-list-example.txt를 클릭하고, 제일 아래 있는 Object URL의 링크를 복사합니다.

    threat-object-url

  5. 다시 GuardDuty 목록으로 와서 위협 목록 추가버튼을 클릭하여 아래 내용으로 설정하고, 동의함을 클릭하고 목록 추가 버튼을 클릭하여 등록시킵니다.

    Parameters 설정값
    목록 이름 Custom-Threat-List 입력
    위치 https://sir-workshop-your_account_number-ap-northeast-2-gd-threatlist.s3.ap-northeast-2.amazonaws.com/gd-threat-list-example.txt (전 단계에서 복사한 S3 파일 경로를 붙여넣기)
    형식 텍스트 문서 선택

    register-threat-list

  6. 활성 항목에 있는 체크 박스를 클릭하여 위협 목록을 GuardDuty에 업로드합니다.

    threat-list-upload