본문으로 건너뛰기

보안 알람 통지 설정

멤버스에서는 AWS 계정 신청 시의 보안 설정 옵션에서 [시큐어]를 지정하면 시큐어계정을 설정할 수 있습니다. 시큐어계정에서는 AWS의 매니지드보안서비스가 유효화되어, 거기서 발행되는 각종 보안 알람을 취급하기 쉬운 형식으로 가공된 상태로 받을 수 있습니다. 각종 보안 알람 통지를 받으려면 설정이 필요합니다.

본 순서에 의해 고객님이 알림 수신처를 설정하실 수 있습니다. 당사가 제공하는 CloudFormation 템플릿의 빠른 작성 링크를 이용해서 고객님의 시큐어계정 상에 각종 보안 알람을 통지하는 구조를 구축해주세요. 통지 방법은 메일과 Slack을 선택할 수 있습니다. 통지 방법은 양쪽 다 설정할 수 있습니다.

메일 알림 설정 순서

다음의 순서에 따라 메일 알림 수신 리소스를 작성해주세요.

  1. 알림 수신처로 등록하고 싶은 메일주소를 준비해주세요
  2. 브라우저로 보안알람을 수신하고 싶은 AWS 계정의 AWS 매니지먼트 콘솔에 로그인헤주세요
  3. 메일 알림 빠른 작성 링크를 클릭해주세요
  4. CloudFormation의 파라미터로 준비한 메일주소를 입력해주세요
  5. [작성]버튼을 클릭하면 도쿄 리전에 필요한 리소스가 작성됩니다
  6. 입력한 메일주소로 Amazon SNS에서 메일주소 확인으로 [AWS Notification - Subscription Confirmation]란 제목의 메일이 수신되면 본문의 [Confirm subscription] 링크를 늘러서 등록을 완료합니다.
  7. (옵션)메일주소를 추가하고 싶은 경우에는 작성된 Amazon SNS의 Topic에 Subscription을 추가해주세요.

Slack 알림 설정순서

다음 순서에 따라 Slack 알림 리소스를 작성해주세요. 아래의 1-3의 순서는 Slack 채널에 메시지를 게재할 수 있는 SlackApp 작성 | DevelopersIO에서 더 상세한 내용을 다루고 있으니 같이 참조해주세요.

  1. 알림에 이용하는 Slack App을 작성해서 아래 설정을 진행 후 알림 수신처의 Slack 워크스페이스에 설치 해주세요. (상세 내용은 Slack API 도큐멘트를 참조해주세요)
    • Scopes: Bot Token Scopes
    • OAuth Scope: chat:write
  2. Slack 워크스페이스에 설치하면 생성된 Bot User OAuth Token을 메모해 둡니다.
  3. 알리고 싶은 Slack 워크스페이스 내의 채널 ID를 메모해 두세요. (대상이 프라이빗 채널인 경우 이 단계에서 /invite로 작성한 Slack App을 추가해주세요)
  4. 브라우저로 보안 알람을 통지하고 싶은 AWS 계정의 AWS 매니지먼트 콘솔에 로그인해주세요.
  5. Slack 알림의 빠른 작성 링크를 클릭해주세요
  6. CloudFormation의 파라미터로 준비한 채널 ID와 Bot User OAuth Token을 입력해주세요
  7. [작성] 버튼을 클릭하면 도쿄 리전에 필요한 리소스가 작성되어 알림이 개시됩니다
  8. (옵션) 알림 수신 채널을 늘리고 싶은 경우는 작성된 EventBridge 룰의 타깃을 참고로 동일한 방식으로 타깃 설정을 추가해주세요

Security Hub 알림 필터링

Security Hub의 알림 내용을 부분적으로 추출하고 싶은 경우에는 Security Hub 알림을 중요도로 필터링 설정하기 | DevelopersIO를 참고로 대응이 가능합니다. 예를들면, 중요도가 높은 것만 알릴 수 있게 변경이 가능합니다.

알림 정지

알림을 정지하고 싶을 경우에는 다음 작업으로 정지할 수 있습니다.

  • 작성한 CloudFormation Stack 삭제 (Stack명은 디폴트로는 cm-security-alert-mail-stack/cm-security-alert-slack-stack입니다)
  • 메일의 경우: Amazon SNS의 SubscriptioN 삭제
  • Slack의 경우: EventBridge의 룰 또는 타깃 삭제

주의점

  • 알림이되는 항목은 각종 보안알람에서 필요한 부분을 추출하고 있습니다. 상세 내용을 확인하고 싶은 경우는 각종 보안서비스로 액세스해주세요.
  • 어떤 이유로 알림이 실패되었을 때에도 알림은 다시 발신되지 않습니다.
  • AWS의 각종 기능을 이용하는 것으로 알림 구조를 구성하고 있습니다. AWS 업데이트와 장해의 영향을 받을 수 있는 점 인식해주시고 이용해주세요.