위험 분석 대시보드

위험 분석 대시보드를 사용하면 위험 기준 렌즈를 통해 환경을 확인할 수 있습니다. 항목 위험 추세를 시각화하면 일반적이지 않은 동작을 식별하고 항목이 기업에 드리우는 잠재적 위험을 이해할 수 있습니다.

위험 분석 대시보드에는 위험에 처한 항목과 위험 요소 세부정보가 나열됩니다. 데이터 RBAC를 사용하는 시스템에서는 전역 범위가 있는 사용자만 위험 분석에 액세스할 수 있습니다. 자세한 내용은 데이터 RBAC가 위험 분석에 미치는 영향을 참조하세요.

위험 분석 대시보드로 이동하려면 다음 단계를 수행합니다.

  1. 탐색 메뉴에서 감지를 클릭합니다.
  2. 감지에서 위험 분석을 클릭합니다.

항목 수, 위험 점수, 항목 테이블

위험 분석 대시보드에는 선택한 필터를 기반으로 기업에서 위험이 가장 높은 상위 10,000개 항목만 표시됩니다. 대시보드의 모든 그래프와 테이블은 이 항목 모음만 나타냅니다.

왼쪽 상단의 총 항목 수 그래프에는 기업 환경에서 추적 중인 위험 점수가 0보다 큰 항목 수가 표시됩니다. 위험 점수가 0인 항목도 추적되지만 이 그래프에 표시되지 않습니다. 총 개수는 애셋사용자로 분할됩니다.

항목에 대한 자세한 내용은 논리적 객체: 이벤트 및 항목을 참조하세요. 위험 점수 계산 방법에 대한 자세한 내용은 위험 점수 계산을 참조하세요.

항목 테이블에는 항목 위험 점수와 관련된 여러 열이 표시됩니다.
항목 이름 항목의 이름입니다.
항목 유형 항목의 유형(애셋 또는 사용자)입니다.
정규화 정규화 점수는 최소-최대 정규화에 따라 0~1,000 사이로 항목 간에 계산됩니다.
정규화 변화 이전 위험 계산 기간 이래로 정규화된 항목 위험 점수의 변화입니다.
정규화 추세 이전 위험 기간과 비교되는 정규화된 위험 점수의 백분율 변화의 증가 또는 감소분입니다.
기본 기본 항목 위험 점수는 남은 발견 항목의 위험 점수 합계에 가중치를 곱한 값을 더한 최대 위험 점수와 동일합니다.

가중치 기본값은 2이며 설정에서 변경할 수 있습니다.
기본 변화 이전 위험 계산 기간 이래로 기본 항목 위험 점수의 변화입니다.
기본 추세 이전 위험 기간과 비교되는 기본 위험 점수의 백분율 변화의 증가 또는 감소분입니다.
발견 항목 수 위험 계산 기간 중 이 항목을 포함하는 발견 항목(알림 및 감지) 수입니다.
기간 중 최초 발생 시간 위험 계산 기간 중 발견 항목(알림 또는 감지)에서 항목이 처음 발생한 시간을 나타내는 타임스탬프입니다.
기간 중 마지막 발생 시간 위험 계산 기간 중 발견 항목(알림 또는 감지)에서 항목이 마지막으로 발생한 시간을 나타내는 타임스탬프입니다.

위험 계산 기간 조정

항목에 의해 발생하는 계산된 위험은 조사 대상 기간에 따라 달라집니다. 오른쪽 상단에서 위험 계산 기간을 변경하면(24시간 기간 또는 7일 기간 선택)하면 여기에 표시되는 계산된 위험 점수가 달라집니다. 찾으려는 공격 유형에 따라 이 설정을 변경할 수 있습니다. 예를 들어 무차별 대입 공격은 위험 계산 기간24시간으로 설정할 때 더 명확하게 드러납니다. 기간을 더 길게 설정하면 장기 공격을 파악할 수 있습니다.

항목 위험 점수는 선택한 위험 계산 기간에 따라 달라집니다. 항목 위험 점수는 위험 기간 중에 생성되는 발견 항목에 따라 계산됩니다.

빠른 필터로 검색 범위 제한

빠른 필터를 사용하면 특정 요구와 관련된 결과만 표시하여 검색 범위를 제한할 수 있습니다.

위험 분석 대시보드에서 빠른 필터를 사용하려면 다음 단계를 수행합니다.

  1. 항목 테이블 위에서 filter_alt 를 클릭합니다. 필터 창이 나타납니다.
  2. 다음 열 중에서 하나를 선택합니다.
    • 발견 항목 수
    • 정규화된 항목 위험 점수
    • 정규화된 항목 위험 추세
    • 유형
  3. 표시 전용 또는 필터링을 선택합니다.
  4. 값을 선택합니다. 값을 여러 개 선택하여 범위를 확대할 수 있습니다.
    • 발견 항목 수: 0부터 1,000보다 큰 수까지의 값입니다.
    • 정규화된 항목 위험 점수: 0부터 1,000까지의 값입니다.
    • 정규화된 항목 위험 추세: -99%보다 작은 백분율부터 199%보다 큰 백분율까지의 백분율입니다.
    • 유형: 애셋 또는 사용자를 선택합니다.
  5. (선택사항) 필터를 더 추가하려면 필터 추가를 클릭하고 2단계부터 이 프로세스를 반복합니다.
  6. 필터 구성을 마쳤으면 적용을 클릭합니다.

예를 들어 정규화된 항목 위험 추세를 선택한 경우 표시 전용을 선택하고, >199%를 선택하면 정규화된 항목 위험 변화가 199%보다 큰 항목만 표시됩니다.

항목 페이지를 사용하여 항목 조사

항목을 조사하려면 다음 단계를 수행합니다.

  1. 항목 이름 열을 스크롤하거나 검색창을 사용해서 항목을 찾습니다.
  2. 조사하려는 항목을 클릭합니다.

그러면 항목 페이지가 열립니다. 이 페이지에서는 해당 항목 하나와 연결된 발견 항목만 조사할 수 있습니다. 상단의 발견 항목 타임라인 차트는 시간별 항목 위험 점수 및 발견 항목을 추적합니다. 이 차트는 시간별 추세를 표시하도록 선 그래프 형식으로 표시된 사전 계산된 측정항목으로 구성됩니다. 이상치는 선 그래프에서 급상승 구간으로 표시될 수 있습니다. 차트 아래에는 선택한 항목이 연결된 이벤트 및 활동을 표시하는 발견 항목 테이블이 있습니다.

오른쪽 하단에는 선택한 항목에 대한 중요한 세부정보 요약이 포함된 축소 가능한 항목 세부정보 보기 패널이 있습니다. 선택한 항목에 대해 세부 조사를 수행하려면 항목 세부정보 보기를 클릭하고 항목이 애셋 또는 사용자인지 여부에 따라 애셋 보기 또는 사용자 보기에서 항목을 확인합니다. 자세한 내용은 애셋 항목 조사 또는 사용자 조사를 참조하세요.

항목 분석을 사용하여 항목 조사

항목 분석은 SOC 분석가 및 위협 조사자에게 항목의 기준 프로필, 이상치, 추가적인 상황 정보를 포함하여 항목 행동에 대한 세부 보기를 제공합니다.

항목 페이지의 발견 항목 타임라인에서 최대 90일까지 기간 범위를 선택하고 선택 범위의 분석 보기를 클릭합니다. 그러면 선택한 기간 범위 내에 이 항목과 연결된 분석을 보여주는 사이드바가 열립니다. 각 분석에는 기간 범위 내의 모든 분석 값 집계가 표시됩니다. 분석에는 더 보기를 클릭하여 해당 알림 또는 감지 보기를 열어서 추가 조사를 수행할 수 있는 관련 알림 및 감지 목록이 포함됩니다. 자세한 내용은 알림 조사를 참조하세요.

다음 항목 분석이 제공됩니다.

  • 알림 이벤트 이름 수
  • 인증 시도 성공
  • 인증 시도 실패
  • 인증 시도 합계
  • DNS 바이트 아웃바운드
  • DNS 쿼리 실패
  • DNS 쿼리 성공
  • DNS 쿼리 합계
  • 파일 실행 성공
  • 파일 실행 실패
  • 파일 실행 합계
  • HTTP 쿼리 성공
  • HTTP 쿼리 실패
  • HTTP 쿼리 합계
  • 네트워크 바이트 인바운드
  • 네트워크 바이트 아웃바운드
  • 네트워크 바이트 합계
  • Workspace 인증 시도 합계
  • Workspace 이메일 전송 합계
  • Workspace 네트워크 바이트 아웃바운드
  • Workspace 네트워크 바이트 합계
  • Workspace 총 변경 작업
  • Workspace 총 다운로드 작업

항목 위험 점수 수정

외부 정보 또는 이벤트가 항목의 실제 위험에 영향을 줄 때는 항목의 위험 점수를 업데이트할 수 있습니다.

예를 들어 분석가가 직원의 위험 증가 이유를 조사할 때 시간을 낭비하지 않도록 침투 시험과 같은 레드팀 작업을 바로 전에 완료한 직원의 위험 점수를 일시적으로 낮출 수 있습니다. 또한 법원 소송에 관련된 직원의 위험 점수는 일시적으로 늘릴 수 있습니다.

  1. 위험 분석 페이지의 항목 테이블에서 행의 오른쪽 끝 열 위에 포인터를 놓습니다. 디스플레이를 오른쪽으로 스크롤해야 할 수 있습니다. more_vert를 클릭하고

    항목 위험 점수 업데이트를 선택합니다.

  2. 항목 위험 점수 업데이트 대화상자에서 다음에 대한 값을 구성합니다.

    • 곱셈 계수: 0.0부터 100.0까지의 곱셈 계수를 사용해서 항목의 위험 점수를 늘리거나 줄일 수 있습니다. 예를 들어 항목 위험도를 두 배로 늘리는 항목에 대한 새로운 증거가 발견되었으면 항목의 실제 위험 요소를 반영하도록 곱셈 계수를 50으로 업데이트합니다.
    • 기간: 곱셈 계수가 적용되는 기간입니다. 지금 또는 1일부터 14일 사이의 기간을 선택할 수 있습니다. 지금을 선택하면 현재 위험 계산 기간의 항목 위험 점수에 곱셈 계수가 적용됩니다. 기존 알림 및 감지만 계산에 포함됩니다. 선택한 기간이 지나면 항목 위험 점수에 대한 업데이트가 중지되고 위험 점수가 정상으로 돌아갑니다.
    • 이유: 이 업데이트가 수행된 이유에 대해 다른 사용자에게 추가 컨텍스트를 남길 수 있습니다. 선택 가능한 옵션은 새로운 증거, 잘못된 위험 점수, 변경된 위험 프로필, 규정 준수 요구사항, 기타입니다.

이미 수행된 변화를 수행하려고 시도하는 경우(예를 들어, 항목의 곱셈 계수를 25%로 업데이트하려고 하지만 다른 팀 멤버가 이미 이렇게 변경한 경우)에는 해당 변경 작업을 수행한 사용자 및 시간 관련 정보를 포함하여 해당 변경 작업이 이미 수행되었음을 알리는 대화상자가 표시됩니다.

항목 세부정보에서 위험 점수 업데이트 보기

항목 프로필 페이지에서 항목에 대한 모든 위험 점수 업데이트를 볼 수 있습니다.

  1. 위험 점수 업데이트 기록을 보려는 항목을 클릭하여 항목 프로필 페이지를 엽니다.
  2. 이벤트 타임라인 차트에서 누군가 항목의 위험 점수를 변경할 때마다 흰색 텍스트의 위험 점수 수정 라벨로 표시됩니다.
  3. 텍스트 위에 포인터를 두면 해당 변경 작업의 날짜, 사용자, 이유가 포함된 대화상자가 표시됩니다.

관심 목록

관심 목록 페이지에서는 기업 전반에서 특정 항목을 모니터링할 수 있습니다.

  1. 왼쪽 탐색 메뉴에서 감지를 클릭합니다.
  2. 감지에서 위험 분석을 클릭합니다.
  3. 관심 목록 탭을 클릭합니다.

관심 목록 추가

Google Security Operations 계정에 관심 목록을 추가하려면 다음 단계를 완료합니다. 관심 목록을 최대 200개까지 구성할 수 있습니다.

  1. 관심 목록 만들기를 클릭합니다.
  2. 관심 목록 이름을 지정합니다.
  3. (선택사항) 설명을 지정합니다.
  4. (선택사항) 0~100 사이의 곱셈 계수를 지정합니다. 기본값은 1입니다.
  5. (선택사항) 감시 목록에 항목 추가 섹션에 따라 창 오른쪽에 항목을 지정합니다. 여기에 다음 항목 유형을 추가할 수 있습니다.
    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID
  6. 관심 목록 만들기를 클릭합니다.

관심 목록 고정

  1. 디스플레이 수정을 클릭합니다.
  2. 고정하려는 관심 목록 옆의 체크박스를 클릭합니다.
  3. 저장을 클릭합니다.

관심 목록 고정 해제

  1. 관심 목록 대시보드에서 고정 해제하려는 관심 목록을 선택하고 more_vert 를 선택합니다.
  2. 디스플레이에서 삭제를 클릭합니다.

관심 목록 수정

  1. 관심 목록 대시보드에서 수정하려는 관심 목록을 선택하고 more_vert 아이콘을 클릭합니다.
  2. 관심 목록 수정을 클릭합니다.

관심 목록 삭제

  1. 관심 목록 대시보드에서 삭제하려는 관심 목록을 선택하고 more_vert 를 클릭합니다.
  2. 관심 목록 삭제를 클릭합니다.

관심 목록에 항목 추가

관심 목록에 항목을 추가하려면 다음 형식 중 하나를 사용해서 줄마다 항목 이름, 유형, 네임스페이스(선택사항)를 지정합니다.

  • NAME,TYPE

  • NAME,TYPE,NAMESPACE

    TYPE는 다음 중 하나일 수 있습니다.

    • ASSET_IP_ADDRESS
    • EMAIL
    • EMPLOYEE_ID
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID
    • USERNAME
    • WINDOWS_SID

    NAMESPACE는 애셋 항목 유형에만 지정할 수 있습니다.

    • ASSET_IP_ADDRESS
    • HOSTNAME
    • MAC
    • PRODUCT_OBJECT_ID
    • PRODUCT_SPECIFIC_ID

예를 들면 다음과 같습니다.

205.148.5.0,ASSET_IP_ADDRESS
website.com,HOSTNAME,chronicle

이 예시는 애셋 IP 주소인 205.148.5.0chronicle 네임스페이스 아래의 호스트 이름 website.com에 해당하는 관심 목록에 추가된 두 항목을 보여줍니다. 관심 목록에 최대 10,000개의 항목을 포함할 수 있습니다.

관심 목록에서 항목 삭제

관심 목록에서 항목을 삭제하려면 삭제하려는 항목을 나타내는 줄을 삭제하고 저장을 클릭합니다.

위험 점수 설정 변경

항목 위험 점수 페이지에서는 항목, 알림, 감지에 대해 위험 점수를 계산하는 방법을 정의할 수 있습니다. 이 페이지에서는 고유한 검색 요구에 따라 위험 계산 방식을 조정할 수 있습니다.

항목 위험 점수 페이지에는 업데이트할 수 있는 세 가지 필드가 있습니다.

이러한 설정을 변경하려면 다음 단계를 수행합니다.

  1. 탐색 메뉴에서 설정 > 항목 위험 점수를 선택합니다.
  2. 상황에 맞게 위험 점수를 업데이트합니다.
  3. 저장을 클릭합니다. 기본 위험 분석 페이지로 돌아가면 화면 위쪽에 항목 위험 점수가 변경되었음을 나타내는 메시지가 표시됩니다.
  4. (선택사항) 이러한 값을 다시 설정하려면 값 오른쪽에서 재설정을 클릭합니다.

업데이트는 새로운 알림 및 감지에만 적용됩니다. 변경사항이 적용되려면 최대 30분까지 걸릴 수 있습니다.

항목 위험 점수 가중치

가중치는 알림 및 감지 위험 점수가 항목 위험 점수 계산에 미치는 정도를 정의합니다. 가중치는 0~1 사이의 값이며 기본값은 0.2입니다.

다음은 항목 위험 점수 계산에 영향을 주는 여러 숫자의 예시입니다.

  • 항목 위험 점수 가중치 0. 원시 위험 점수는 항목의 모든 감지 전반의 최대 감지 위험 점수입니다.
  • 항목 위험 점수 가중치 1. 원시 위험 점수는 항목의 모든 감지 위험 점수의 합계입니다.
  • 항목 위험 점수 가중치 0.5. 이 위험 점수는 항목의 위험 점수가 최대인 감지에 대해 전체 가중치를 부여하고 다른 모든 감지에 대해서는 절반의 가중치를 부여합니다.

감지에 대한 기본 위험 점수

감지에 대한 기본 위험 점수를 사용하면 감지 위험 점수에 기본값을 할당할 수 있습니다. 감지 위험 점수는 항목 위험 점수를 계산하기 위해 사용됩니다. 감지에 대한 위험 점수는 규칙을 작성할 때 정의됩니다. 규칙에 위험 점수가 정의되지 않았으면 기본값이 사용됩니다. 기본 점수는 15이고 위험 점수 범위는 0~100입니다.

알림에 대한 기본 위험 점수

감지에 대한 기본 위험 점수와 비슷하게, 이 필드를 사용하면 알림 위험 점수의 기본값을 할당할 수 있습니다. 규칙에 위험 점수가 정의되지 않았으면 기본값 40이 사용됩니다. 위험 점수 범위는 0~1,000입니다.

규칙에서 위험 점수 정의에 대한 자세한 내용은 결과 섹션 구문을 참조하세요.

종료된 알림 계수

종료된 알림 계수는 분석가가 종료한 것으로 표시된 알림의 위험 점수를 수정합니다. 0 이상 1 이하의 부동 소수점 한정자입니다. 기본값은 1.0입니다. 즉, 모든 미해결 알림과 종료된 알림은 원래 점수를 유지합니다. 종료된 알림 계수의 값이 0.0이면 모든 종료된 알림은 위험 점수 0을 받게 되며 전체 항목의 위험 점수를 더 이상 높이지 않습니다.