백업 및 DR 서비스용 Security Command Center 프리미엄

Security Command Center (SCC)는 Google Cloud전반에서 가시성, 모니터링, 알림을 제공하는 중앙 집중식 플랫폼입니다. SCC는 Google Cloud 전반에서 로그와 이벤트를 처리하여 보안 위험을 식별하는 실시간 감지 및 알림을 제공합니다.

이제 모든 Security Command Center Premium 고객이 사용할 수 있는 백업 및 DR 감지기를 통해 보안 관리자는 비정상적인 백업 활동에 대해 사전 구성된 알림을 받을 수 있습니다. 백업이 랜섬웨어 또는 내부자 위협의 대상이 되는 경우 백업 및 DR과 SCC 간의 통합을 통해 고위험 이벤트가 즉시 표시되므로 잠재적 위협을 조사하고 해결할 수 있습니다.

고객에게 전송되는 알림은 SCC에서 생성된 결과의 형태로 제공되며, 이 결과에는 위험 이벤트, 이벤트의 심각도, 영향을 받은 백업 리소스, 조사 및 해결을 위한 워크플로에 관한 자세한 정보가 포함됩니다.

시작하기 전에

보안 알림을 사용 설정하려면 Security Command Center Premium이 아직 사용 설정되지 않은 경우 활성화합니다.

  1. Google Cloud 콘솔에서 Security Command Center로 이동합니다.
  2. Premium 등급을 선택합니다. Event Threat Detection을 사용 설정하려면 이 작업이 필요합니다.
  3. 서비스를 선택합니다. BackupDR은 기본적으로 미리 선택되어 있습니다.
  4. 역할을 부여합니다.

Event Threat Detection 사용Event Threat Detection 개요의 Event Threat Detection 규칙을 검토하는 것이 좋습니다.

발견 항목 생성

사용자가 백업 및 DR 서비스에서 취한 고위험 작업으로 인해 발견사항이 생성될 수 있습니다. 이러한 작업에는 다음이 포함됩니다.

  • 백업 이미지 만료
  • 모든 이미지 만료
  • 백업 계획 삭제
  • 백업 템플릿 삭제
  • 백업 정책 삭제
  • 프로필 삭제하기
  • 백업/복구 어플라이언스 삭제
  • 호스트 삭제
  • 스토리지 풀 삭제
  • 백업 만료 시간 단축
  • 백업 빈도 감소

Security Command Center 문서에 모든 제품의 발견 항목 전체 목록이 나와 있습니다.

백업 및 DR 서비스에서 작업 중 하나를 실행하는 사용자는 Event Threat Detection을 트리거하여 이벤트를 분석하고 보안 위험을 나타내는지 확인합니다.

결과 이해하기

Security Command Center에서 작업을 보안 위험으로 간주하면 발견 항목이 생성됩니다. 그러면 보안 관리자가 영향을 받은 리소스를 자세히 살펴보고 권장되는 다음 단계를 수행할 수 있습니다. 심각도가 높은 발견 항목의 경우 추가 조사 및 해결이 필요할 수 있습니다. 결과에는 영향을 받은 리소스, 보안 이벤트 발생 시간, 위협을 해결하기 위해 취해야 할 조치에 관한 세부정보가 포함됩니다.

결과 쿼리 결과에 대해 자세히 알아보세요.

백업 리소스

발견 항목에는 영향을 받는 백업 리소스에 관한 정보가 포함됩니다.

  • 템플릿 이름: 템플릿은 백업 정책으로 구성됩니다.
  • 정책 이름: 정책은 백업 실행 시기, 빈도, 보관 기간을 정의합니다.
  • 애플리케이션 이름: 애플리케이션은 백업 및 DR 서비스 관리 콘솔에 알려진 VM, 데이터베이스 또는 파일 시스템입니다.
  • 호스트 이름: 호스트는 보호할 데이터베이스 또는 파일 시스템을 호스팅하는 VM입니다.
  • 스토리지 풀 이름: 스토리지 풀은 OnVault 백업이 저장되는 Cloud Storage 버킷입니다.
  • 정책 옵션 이름: 정책 옵션은 사용자가 특정 정책에 적용할 수 있는 추가 구성입니다.
  • 프로필 이름: 프로필은 백업이 저장될 위치를 정의합니다.
  • 백업 유형: 백업에는 스냅샷, 원격 스냅샷, OnVault의 세 가지 유형이 있습니다.
  • 백업 시간 및 날짜: 영향을 받은 백업이 생성된 시간 및 날짜입니다.

조사 및 해결

결과가 나오면 위협 조사 및 대응을 참고하세요. JSON 예시는 Event Threat Detection 사용을 참고하세요.

Security Command Center는 고객을 위해 추가적인 기본 제공 조사 도구를 제공합니다. Cloud Logging, MITRE 지표, 영향을 받은 리소스에 연결하면 신속하게 문제를 해결할 수 있습니다.

  • Cloud Logging 통합을 사용하면 클릭하여 자세한 Cloud Logging 쿼리로 이동할 수 있습니다.

  • Cloud Monitoring 통합을 사용하면 유사한 이벤트에 대해 추가 알림을 생성할 수 있습니다.

  • MITRE 분류는 확인사항으로 표시된 공격 유형을 나타냅니다().