Amazon OpenSearch - Use Cases, Security/Observability, Serverless and Enhancements - 발표자: 김성일, Sr Analytics Specialist, WWSO, AWS ::: AWS Data Roadshow 2023
1 like384 views
로그 및 지표 데이터를 쉽게 가져오고, OpenSearch 검색 API를 사용하고, OpenSearch 대시보드를 사용하여 시각화를 구축하는 등 Amazon OpenSearch의 새로운 기능과 기능에 대해 자세히 알아보십시오. 애플리케이션 문제를 디버깅할 수 있는 OpenSearch의 Observability 기능에 대해 알아보세요. Amazon OpenSearch Service를 통해 인프라 관리에 대해 걱정하지 않고 검색 또는 모니터링 문제에 집중할 수 있는 방법을 알아보십시오.
Amazon OpenSearch - Use Cases, Security/Observability, Serverless and Enhancements - 발표자: 김성일, Sr Analytics Specialist, WWSO, AWS ::: AWS Data Roadshow 2023
- 1. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Sung-il Kim WWSO DATA Specialist SA AWS Amazon OpenSearch Service Observability, SIEM and Serverless
- 2. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. What is observability? 2 감지 조사 해결 Observability는 문제를 효율적으로 감지, 조사, 해결하기 위해 원격 측정 데이터를 수집하여 관찰할 수 있는 시스템의 능력
- 3. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Observability의 기본 요소 3 Metrics Traces Logs
- 4. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Observability의 일반적인 사용사례 4 AIOps and DevOps Microservices and containers Digital experience monitoring (DEM) Data lakes
- 5. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. OpenSearch Service with Observability 5
- 6. © 2022, Amazon Web Services, Inc. or its affiliates. 6 Managed: 널리 사용되는 오픈 소스 솔루션을 사용하여 운영 우수성을 높입니다. Secure: 데이터 센터와 네트워크 아키텍처, 내장된 인증기능을 활용하여 데이터를 감사하고 보호하십시오. Observability: 기계 학습, 경고 및 시각화를 위한 오픈 소스 솔루션을 통해 시스템의 상태를 체계적으로 감지하고 잠재적인 위협에 대응하십시오. Cost conscious: 전략적인 업무에 시간과 자원을 최적화하세요. Amazon OpenSearch Service Amazon OpenSearch 서비스를 사용하면 운영 데이터의 실시간 검색, 모니터링 및 분석이 안전하게 가능해집니다.
- 7. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 7 메인기능 플러그인 관리기능
- 8. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Application analytics 8 커스텀 Observability app 생성 Log event + Trace + metric data = 단일 뷰 Overall system health 확인 데이터 사이를 빠르게 전환하여 문제 원인 파악 Trace group – Latency, Error rate Service – Latency, Error rate, Throughput
- 9. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Operation panel 9 PPL (Piped Processing Language) 쿼리를 이용하여 생성된 시각화의 모음
- 10. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Piped Processing Language 10 PPL(파이프 처리 언어)은 파이프(|) 구문을 사용하여 OpenSearch에 저장된 데이터를 탐색, 검색 및 쿼리할 수 있는 쿼리 언어입니다. PPL 구문은 데이터가 각 파이프라인을 통해 왼쪽에서 오른쪽으로 흐르는 파이프 문자(|)로 구분된 명령으로 구성됩니다. search source=accounts | where age > 18 | fields firstname, lastname https://opensearch.org/docs/latest/search-plugins/sql/ppl/index/ Commands • dedup, eval, fields, parse, rename, sort, stats, where, head, rare, top • ad : 검색 결과에 ML Commons 플러그인의 RCF(Random Cut Forest) 알고리즘을 적용합니다.
- 11. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Notebooks 11 공동으로 보고서 작성 마크다운, SQL, PPL, 다중타임라인, 시각화 라이브 데이터 및 쿼리 지원 스토리를 전달할 수 있는 셀 또는 단락 구성 링크, PDF, PNG 지원 사후 보고서, 데이터 설명, 실시간 인프라 보고서
- 12. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Demo
- 13. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. OpenSearch Service with SIEM 13
- 14. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. SIEM? 14 Security Information and Event Management 상관 분석을 통한 위협 탐지, 사고 대응을 지원하기 위해 모든 종류의 장치(예: 보안, 네트워크 장치)의 데이터를 수집하고 중앙에서 관리하는 솔루션
- 15. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 보안사고 대응을 위한 로그분석의 어려움 15 다양한 시스템에서 생성된 경고 관리 로그는 여기저기 산재해 있음 많은 로그의 수집, 검색, 분석은 시간 소모적 SIEM
- 16. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. SIEM 사용사례 16 Correlation analysis: Network • GuardDuty로부터 소스 IP 주소를 키로 사용하고 • GuardDuty, CloudTrail, VPC 흐름 로그, 서버 웹/SSH 액세스 로그에서 관련 이벤트를 검색 • 시간 순으로 네트워크 로그를 정렬하고 분석 Correlation analysis: EC2 Instance ID • GuardDuty로부터 EC2 인스턴스 ID를 키로 사용하고 • GuardDuty, CloudTrail, Inspector, Config/Config Rules에서 관련 이벤트를 검색 • 타임라인에서 인프라 변경과 악성 활동을 비교 Log visualization with dashboards • CloudTrail 로그 시각화: API 호출 집계 또는 타임라인, 지도기반 소스 IP를 대시보드에 시각화
- 17. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. SIEM on Amazon OpenSearch Service 17 CloudFormation/CDK 배포 기반 패키지 빌트인 Security Analytics 직접 생성
- 18. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. CloudFormation/CDK 배포 기반 패키지 18 AWS 서비스의 Log를 이용해서 보안 모니터링을 할 수 있도록 미리 만들어 놓은 샘플 스크립트와 대시보드 • Open-sourced at GitHub: https://github.com/aws-samples/siem-on-amazon-elasticsearch-service • Developed and maintained by AWS Security SAs • Features • 관리형 및 서버리스 서비스로만 구성 • 멀티리전, 멀티 어카운트 시나리오 지원 • AWS 서비스용 ETL 로직 및 대시보드 포함 • 30분 이내에 CloudFormation/CDK로 배포 • 클라우드 서비스 사용량은 종량제 모델로 청구
- 19. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. CloudFormation/CDK 배포 기반 패키지 19 Uses only managed and serverless components Save logs from multiple accounts and regions in one centralized bucket
- 20. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Log schema normalization (ETL) • 스키마 정규화: 동일한 의미를 가진 필드가 동일한 키 이름을 갖도록 다른 스키마의 로그를 변환합니다. • 정규화는 동일한 스키마를 가진 모든 로그 유형에 대한 참조를 허용하여 검색 효율성을 향상시킵니다. • OpenSearch Service의 SIEM은 Elastic Common Schema를 준수합니다. • Elastic Common Schema는 EC2 인스턴스 ID, IAM 액세스 키 ID 등 AWS에서 자주 사용되는 필드로 확장됩니다.
- 21. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Before (recipientAccountId:111111111111 AND sourceIPAddress:198.51.100.1) OR ( cloud.account.id:111111111111 AND source.ip:198.51.100.1 ) After • GuardDuty • VPC Flow Logs • CloudTrail • Common schema (account_id:111111111111 AND srcaddr:198.51.100.1) OR (accountId:111111111111 AND (service.action.awsApiCallAction.remoteIpDetails.ipAddressV4:198.51.100.1 OR service.action.portProbeAction.portProbeDetails.remoteIpDetails.ipAddressV4:198.51.100.1))
- 22. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. cloud-trail-logs vpc-flow-logs guard-duty-logs cloud.account.id:111111111111 AND source.ip:198.51.100.1 vs 로그마다 매번 새로운 키로 필터링
- 23. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Service Log Security, Identity, & Compliance AWS CloudHSM HSM audit logs Security, Identity, & Compliance Amazon GuardDuty GuardDuty findings Security, Identity, & Compliance Amazon Inspector Inspector findings Security, Identity, & Compliance AWS Directory Service Microsoft AD Security, Identity, & Compliance AWS WAF AWS WAF Web ACL traffic information AWS WAF Classic Web ACL traffic information Security, Identity, & Compliance AWS Security Hub Security Hub findings GuardDuty findings Amazon Macie findings Amazon Inspector findings AWS IAM Access Analyzer findings Security, Identity, & Compliance AWS Network Firewall Flow logs Alert logs Management & Governance AWS CloudTrail CloudTrail Log Event CloudTrail Insight Event Management & Governance AWS Config Configuration History Configuration Snapshot Config Rules Management & Governance AWS Trusted Advisor Trusted Advisor Check Result Networking & Content Delivery Amazon CloudFront Standard access log Real-time log Networking & Content Delivery Amazon Route 53 Resolver VPC DNS query log Networking & Content Delivery Amazon Virtual Private Cloud (Amazon VPC) VPC Flow Logs (Version5) Text / Parquet Format Networking & Content Delivery AWS Transit Gateway VPC Flow Logs (Version6) Text / Parquet Format Networking & Content Delivery Elastic Load Balancing Application Load Balancer access logs Network Load Balancer access logs Classic Load Balancer access logs Networking & Content Delivery AWS Client VPN connection log Storage Amazon FSx for Windows File Server audit log Storage Amazon Simple Storage Service (Amazon S3) access log Database Amazon Relational Database Service (Amazon RDS) (Experimental Support) Amazon Aurora(MySQL) Amazon Aurora(PostgreSQL) Amazon RDS for MariaDB Amazon RDS for MySQL Amazon RDS for PostgreSQL Database Amazon ElastiCache ElastiCache for Redis SLOWLOG Analytics Amazon OpenSearch Service Audit logs Analytics Amazon Managed Streaming for Apache Kafka (Amazon MSK) Broker log Compute Linux OS via CloudWatch Logs /var/log/messages /var/log/secure Compute Windows Server 2012/2016/2019 via CloudWatch Logs System event log Security event log Containers Amazon Elastic Container Service (Amazon ECS) via FireLens Framework only End User Computing Amazon WorkSpaces Event log Inventory
- 24. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 빌트인 Security Analytics 플러그인 관리기능
- 25. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 빌트인 Security Analytics 지원하는 로그타입 • Network events • DNS logs • Apache access logs • Windows logs • AD/LDAP logs • System logs • AWS CloudTrail logs • Amazon S3 access logs • Google Workspace logs • GitHub actions • Microsoft 365 logs • Okta events • Microsoft Azure logs • Netflow • DNS logs • Apache access logs • Windows logs • AD/LDAP • System logs • AWS CloudTrail logs • Amazon S3 access logs Amazon OpenSearch Service 2.5 OpenSearch 2.7
- 26. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 빌트인 Security Analytics
- 27. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 탐지 탐지기(Detector)가 규칙(Rule)을 로그 이벤트와 일치시키면 탐지(Finding) 결과를 생성
- 28. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 규칙 보안 로그에 적용하는 조건과 그 정의 가져오기, 만들기, 커스텀 지원 탐지기가 보안 이벤트 식별을 위해 사용 사전 패키징 된 오픈소스 Sigma 규칙 MITRE ATT&CK 에서 관리하는 최신 규칙 매핑 대시보드, API로 규칙을 생성 가능
- 29. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 탐지기 인덱스에서 사이버 보안 위협 식별 스케줄을 생성하여 실행 커스텀 규칙, Sigma 규칙 모두 가능
- 30. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 직접 생성 30 https://catalog.us-east-1.prod.workshops.aws/workshops/2ff04db5-bb02-4208-b637-d54a352f7bc6/ko-KR
- 31. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. 직접 생성 31 https://catalog.us-east-1.prod.workshops.aws/workshops/2ff04db5-bb02-4208-b637-d54a352f7bc6/ko-KR
- 32. AWS DATA WEEK 2023 © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Confidential and Trademark. Thank you!