Amazon Network Firewall 로그 수집 및 분석 모범 사례

이 게시물은 AWS Network Firewall(ANF)의 로그 설정, 특징 및 분석 방법에 대해 설명합니다.

로그 관리 및 활성화

• Alert Log, Flow Log, TLS 로그 3가지 로그 타입 제공
• 로그 저장은 Amazon S3, CloudWatch Logs, Kinesis Data Firehose 중 선택 가능
• 로그 암호화 시 KMS 키 정책 주의 필요

로그 정보 및 분석

• Alert Log는 규칙 매칭 정보와 최종 처리 결과를 포함
• Flow Log는 TCP 플래그 등 연결 상태 정보 제공
• 로그 내 flow_id로 Alert와 Flow 로그 연동 분석 가능

로그 분석 방법

• Amazon Athena를 이용한 쿼리 기반 로그 분석
• CloudWatch 로그 그룹 필터를 활용한 실시간 로그 필터링

추가 고려사항

• UDP 프로토콜에서 flow:established 키워드 사용 시 양방향 트래픽 관찰 필요
• 로그 설정 변경 시 비활성화 후 재활성화 필요

ANF 로그는 보안 감사, 위협 탐지 및 운영 문제 해결에 필수적이며, Suricata 엔진의 이해와 적절한 규칙 설정이 중요합니다.