InfoGrab Docs

Identity Security 알림

요약

Teleport Identity Security는 인프라 전반의 의심스러운 ID 관련 활동에 대한 알림을 자동으로 생성하는 사전 구축된 보안 탐지를 제공합니다. Teleport Identity Security 알림은 다음을 모니터링하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다:

Teleport Identity Security는 인프라 전반의 의심스러운 ID 관련 활동에 대한 알림을 자동으로 생성하는 사전 구축된 보안 탐지를 제공합니다. 이 탐지는 Teleport 및 AWS, GitHub, Okta와 같은 통합 서비스의 이벤트를 모니터링하여 잠재적인 보안 위험을 식별합니다.

Teleport Identity Security 알림은 다음을 모니터링하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다:

  • 비정상적인 인증 패턴
  • 권한 상승
  • 보안에 영향을 미치는 구성 변경
  • 계정 침해
  • 정책 위반

모든 탐지는 사전 구성되어 있으며 현재 수정할 수 없습니다. 심각도 수준(Critical, High, Medium, Low)은 각 탐지의 잠재적 영향을 기반으로 Identity Security 팀에 의해 정의됩니다.

Alerts

활성 알림을 보려면 Teleport Web UI에서 Identity Security > Alerts로 이동하세요.

Tip

Teleport Identity Security 알림 및 조사 보기는 현재 자체 호스팅 AWS Teleport Enterprise 배포에서만 사용 가능합니다. 2025년 4분기에 Teleport Enterprise Cloud에도 제공될 예정입니다.

탐지 카테고리#

아래의 각 카테고리는 Teleport가 보안 이벤트 및 다양한 통합 감사 로그에서 가져온 의심스러운 활동을 모니터링하는 통합 서비스를 나타냅니다. 각 카테고리 내의 탐지는 보안 대응 노력을 우선순위화하는 데 도움이 되도록 심각도 수준별로 추가로 구성됩니다.

AWS 탐지#

Teleport Identity Security는 심각에서 낮음 수준의 보안 이벤트에 대해 AWS 인프라를 모니터링합니다. AWS 탐지 설정: AWS 설정

심각 및 높음 심각도#

  • 루트 계정 활동 (콘솔 로그인, 액세스 키 생성, 일반 활동)
  • 보안 설정 삭제 (CloudTrail, GuardDuty, 플로우 로그)
  • EBS 암호화 비활성화
  • DB 스냅샷 공개 설정
  • 노출된 자격 증명 정책 수정
  • 로그인 프로파일 업데이트

중간 및 낮음 심각도#

  • IAM 사용자 생성
  • DB 스냅샷 속성 수정
  • AWS 키 삭제 또는 비활성화

GitHub 탐지#

보안 관련 변경 사항에 대해 GitHub 조직 및 저장소를 모니터링합니다:

심각 및 높음 심각도#

  • 조직 보안 업데이트 (SAML, MFA, OAuth 제한)
  • 보호된 브랜치 정책 재정의 또는 삭제
  • 저장소 액세스 및 공개 여부 변경
  • 시크릿 스캔 알림
  • 조직 구성원 업데이트

중간 및 낮음 심각도#

  • 저장소 구성원 업데이트
  • 조직 중재자 추가
  • 통합 설치

고급 보안 탐지#

이 시스템에는 GitHub 플랜 및 조직에서 활성화된 경우 Dependabot 알림과 같은 보안 기능에 대한 수정 사항을 모니터링하는 26개의 GitHub 고급 보안 변경 탐지 하위 유형이 포함되어 있습니다. GitHub Advanced Security에 대해: GitHub Docs

GitHub 탐지 설정: GitHub 설정

Okta 탐지#

Okta 환경에서 ID 및 액세스 관리 이벤트를 추적합니다:

높음 심각도#

  • 관리자 MFA 비활성화
  • 모든 MFA 요소 재설정
  • OAuth 토큰 재사용 패턴
  • 속도 제한 위반
  • 사인온 정책 평가
  • IDP 라이프사이클 변경
  • API 토큰 생성/취소
  • 보안 위협 이벤트

중간 심각도#

  • 과도한 MFA 실패
  • 여러 번의 패스워드 재설정 시도
  • 휴면 계정 액세스
  • 지원 시작 패스워드 또는 MFA 재설정

Teleport 탐지#

Teleport 관련 보안 이벤트를 모니터링합니다:

높음 심각도#

  • 루트 SSH 세션 시작
  • 로컬 계정에 대한 MFA 없는 인증
  • 비정상적인 인증 실패 패턴
  • 역할 생성/업데이트/삭제
  • 커넥터 업데이트
  • 비정상적인 세션 명령

Teleport 탐지 설정: Teleport 설정

크로스 플랫폼 탐지#

높음 심각도#

  • 불가능한 이동 탐지 (GitHub, Okta, Teleport). 합법적인 이동이 물리적으로 불가능한 시간 내에 여러 지리적 위치에서 로그인 시도가 발생하면 트리거됩니다.

현재 기능#

  • 모든 통합 시스템의 알림 보기 - Teleport Identity Security의 통합 대시보드에서 AWS, GitHub, Okta 및 Teleport의 모든 보안 알림을 단일 보기로 표시하여 여러 플랫폼을 별도로 확인할 필요를 없애줍니다.
  • 심각도 수준별 필터링 - 알림 목록을 좁혀 심각, 높음, 중간 또는 낮음 심각도 이벤트만 표시하여 먼저 조사할 보안 문제의 우선순위를 결정하는 데 도움을 줍니다.
  • 관련 이벤트 조사 - 조사 보기에서 관련 이벤트, 그래프 및 컨텍스트를 보고 보안 인시던트의 전체 범위를 이해하고 인프라 전반의 관련 활동을 추적할 수 있습니다.

자주 묻는 질문#

이 탐지는 Teleport Cloud에서 사용 가능한가요?#

아니요, Identity Activity Center 탐지는 자체 호스팅 Teleport Enterprise 배포에서만 사용 가능합니다. 2025년 4분기에 Teleport Enterprise Cloud에 제공될 예정입니다.

자체 탐지를 작성할 수 있나요?#

아니요, 탐지는 현재 통합별로 사전 구성되어 있으며 사용자 정의할 수 없습니다.

알림을 해결할 수 있나요?#

현재는 아니지만, 향후 업데이트에서 알림 유형을 해결, 확인 및 음소거하는 워크플로를 추가할 계획입니다.

심각도 수준은 어떻게 결정되나요?#

심각도 수준은 잠재적인 보안 영향을 기반으로 Identity Security 팀에 의해 정의됩니다. 심각도 할당에 대한 피드백을 환영합니다.

이 이벤트를 다른 서비스로 전달할 수 있나요?#

이 기능은 향후 릴리즈에 계획되어 있습니다.

새로운 탐지 유형을 요청하려면 어떻게 해야 하나요?#

고객 요구에 기반한 새로운 탐지 요청의 경우, Identity Security 팀에 문의하세요. 고객 피드백은 새로운 탐지 개발 우선순위를 결정하는 데 환영합니다.

Identity Security 알림을 배포하려면 어떻게 해야 하나요?#

Teleport Identity Security는 Teleport Enterprise 고객에게 제공되는 별도로 라이선스된 제품입니다. 알림 및 조사 보기는 AWS 자체 호스팅 배포에서만 사용 가능합니다. Identity Security를 배포하려면 자체 호스팅 Teleport Security - Identity Activity Center의 지침을 따르세요.

다음 단계#

  • ID 관련 활동 탐색에 대해 알아보려면 조사 문서를 검토하세요.
  • 탐지 커버리지를 확장하려면 통합을 구성하세요.

Identity Security 알림

원문 보기
요약

Teleport Identity Security는 인프라 전반의 의심스러운 ID 관련 활동에 대한 알림을 자동으로 생성하는 사전 구축된 보안 탐지를 제공합니다. Teleport Identity Security 알림은 다음을 모니터링하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다:

Teleport Identity Security는 인프라 전반의 의심스러운 ID 관련 활동에 대한 알림을 자동으로 생성하는 사전 구축된 보안 탐지를 제공합니다. 이 탐지는 Teleport 및 AWS, GitHub, Okta와 같은 통합 서비스의 이벤트를 모니터링하여 잠재적인 보안 위험을 식별합니다.

Teleport Identity Security 알림은 다음을 모니터링하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다:

  • 비정상적인 인증 패턴
  • 권한 상승
  • 보안에 영향을 미치는 구성 변경
  • 계정 침해
  • 정책 위반

모든 탐지는 사전 구성되어 있으며 현재 수정할 수 없습니다. 심각도 수준(Critical, High, Medium, Low)은 각 탐지의 잠재적 영향을 기반으로 Identity Security 팀에 의해 정의됩니다.

Alerts

활성 알림을 보려면 Teleport Web UI에서 Identity Security > Alerts로 이동하세요.

Tip

Teleport Identity Security 알림 및 조사 보기는 현재 자체 호스팅 AWS Teleport Enterprise 배포에서만 사용 가능합니다. 2025년 4분기에 Teleport Enterprise Cloud에도 제공될 예정입니다.

탐지 카테고리#

아래의 각 카테고리는 Teleport가 보안 이벤트 및 다양한 통합 감사 로그에서 가져온 의심스러운 활동을 모니터링하는 통합 서비스를 나타냅니다. 각 카테고리 내의 탐지는 보안 대응 노력을 우선순위화하는 데 도움이 되도록 심각도 수준별로 추가로 구성됩니다.

AWS 탐지#

Teleport Identity Security는 심각에서 낮음 수준의 보안 이벤트에 대해 AWS 인프라를 모니터링합니다. AWS 탐지 설정: AWS 설정

심각 및 높음 심각도#

  • 루트 계정 활동 (콘솔 로그인, 액세스 키 생성, 일반 활동)
  • 보안 설정 삭제 (CloudTrail, GuardDuty, 플로우 로그)
  • EBS 암호화 비활성화
  • DB 스냅샷 공개 설정
  • 노출된 자격 증명 정책 수정
  • 로그인 프로파일 업데이트

중간 및 낮음 심각도#

  • IAM 사용자 생성
  • DB 스냅샷 속성 수정
  • AWS 키 삭제 또는 비활성화

GitHub 탐지#

보안 관련 변경 사항에 대해 GitHub 조직 및 저장소를 모니터링합니다:

심각 및 높음 심각도#

  • 조직 보안 업데이트 (SAML, MFA, OAuth 제한)
  • 보호된 브랜치 정책 재정의 또는 삭제
  • 저장소 액세스 및 공개 여부 변경
  • 시크릿 스캔 알림
  • 조직 구성원 업데이트

중간 및 낮음 심각도#

  • 저장소 구성원 업데이트
  • 조직 중재자 추가
  • 통합 설치

고급 보안 탐지#

이 시스템에는 GitHub 플랜 및 조직에서 활성화된 경우 Dependabot 알림과 같은 보안 기능에 대한 수정 사항을 모니터링하는 26개의 GitHub 고급 보안 변경 탐지 하위 유형이 포함되어 있습니다. GitHub Advanced Security에 대해: GitHub Docs

GitHub 탐지 설정: GitHub 설정

Okta 탐지#

Okta 환경에서 ID 및 액세스 관리 이벤트를 추적합니다:

높음 심각도#

  • 관리자 MFA 비활성화
  • 모든 MFA 요소 재설정
  • OAuth 토큰 재사용 패턴
  • 속도 제한 위반
  • 사인온 정책 평가
  • IDP 라이프사이클 변경
  • API 토큰 생성/취소
  • 보안 위협 이벤트

중간 심각도#

  • 과도한 MFA 실패
  • 여러 번의 패스워드 재설정 시도
  • 휴면 계정 액세스
  • 지원 시작 패스워드 또는 MFA 재설정

Teleport 탐지#

Teleport 관련 보안 이벤트를 모니터링합니다:

높음 심각도#

  • 루트 SSH 세션 시작
  • 로컬 계정에 대한 MFA 없는 인증
  • 비정상적인 인증 실패 패턴
  • 역할 생성/업데이트/삭제
  • 커넥터 업데이트
  • 비정상적인 세션 명령

Teleport 탐지 설정: Teleport 설정

크로스 플랫폼 탐지#

높음 심각도#

  • 불가능한 이동 탐지 (GitHub, Okta, Teleport). 합법적인 이동이 물리적으로 불가능한 시간 내에 여러 지리적 위치에서 로그인 시도가 발생하면 트리거됩니다.

현재 기능#

  • 모든 통합 시스템의 알림 보기 - Teleport Identity Security의 통합 대시보드에서 AWS, GitHub, Okta 및 Teleport의 모든 보안 알림을 단일 보기로 표시하여 여러 플랫폼을 별도로 확인할 필요를 없애줍니다.
  • 심각도 수준별 필터링 - 알림 목록을 좁혀 심각, 높음, 중간 또는 낮음 심각도 이벤트만 표시하여 먼저 조사할 보안 문제의 우선순위를 결정하는 데 도움을 줍니다.
  • 관련 이벤트 조사 - 조사 보기에서 관련 이벤트, 그래프 및 컨텍스트를 보고 보안 인시던트의 전체 범위를 이해하고 인프라 전반의 관련 활동을 추적할 수 있습니다.

자주 묻는 질문#

이 탐지는 Teleport Cloud에서 사용 가능한가요?#

아니요, Identity Activity Center 탐지는 자체 호스팅 Teleport Enterprise 배포에서만 사용 가능합니다. 2025년 4분기에 Teleport Enterprise Cloud에 제공될 예정입니다.

자체 탐지를 작성할 수 있나요?#

아니요, 탐지는 현재 통합별로 사전 구성되어 있으며 사용자 정의할 수 없습니다.

알림을 해결할 수 있나요?#

현재는 아니지만, 향후 업데이트에서 알림 유형을 해결, 확인 및 음소거하는 워크플로를 추가할 계획입니다.

심각도 수준은 어떻게 결정되나요?#

심각도 수준은 잠재적인 보안 영향을 기반으로 Identity Security 팀에 의해 정의됩니다. 심각도 할당에 대한 피드백을 환영합니다.

이 이벤트를 다른 서비스로 전달할 수 있나요?#

이 기능은 향후 릴리즈에 계획되어 있습니다.

새로운 탐지 유형을 요청하려면 어떻게 해야 하나요?#

고객 요구에 기반한 새로운 탐지 요청의 경우, Identity Security 팀에 문의하세요. 고객 피드백은 새로운 탐지 개발 우선순위를 결정하는 데 환영합니다.

Identity Security 알림을 배포하려면 어떻게 해야 하나요?#

Teleport Identity Security는 Teleport Enterprise 고객에게 제공되는 별도로 라이선스된 제품입니다. 알림 및 조사 보기는 AWS 자체 호스팅 배포에서만 사용 가능합니다. Identity Security를 배포하려면 자체 호스팅 Teleport Security - Identity Activity Center의 지침을 따르세요.

다음 단계#

  • ID 관련 활동 탐색에 대해 알아보려면 조사 문서를 검토하세요.
  • 탐지 커버리지를 확장하려면 통합을 구성하세요.