선별된 감지를 사용하여 위협 식별
Google Cloud Threat Intelligence(GCTI)팀은 사전 정의된 위협 분석을 제공합니다. 이러한 선별된 감지의 일부인 GCTI는 고객이 기업에 대한 위협을 식별할 수 있도록 YARA-L 규칙 집합을 제공하고 관리합니다.
GCTI 관리 규칙은 다음을 수행합니다.
수집된 데이터에 사용할 수 있는 즉시 활용 가능한 인텔리전스를 고객에게 제공합니다.
선별된 감지를 통해 이 정보를 사용할 수 있는 간단한 방법을 고객에게 제공하여 Google 위협 인텔리전스를 활용합니다.
이 문서에서는 선별된 감지 규칙 집합을 사용 설정하고, 규칙 집합으로 생성된 감지를 확인하고, 알림을 조사하는 방법을 포함하여 선별된 감지를 사용하여 위협을 식별하는 데 필요한 단계를 요약합니다.
필수 데이터 수집
각 규칙 집합은 특정 데이터 소스에서 패턴을 식별하도록 설계되었으며 다음을 포함하여 다른 데이터 집합이 필요할 수 있습니다.
- 이벤트 데이터: 서비스와 관련하여 발생한 활동 및 이벤트를 설명합니다.
- 컨텍스트 데이터: 이벤트 데이터에 정의된 항목, 기기, 서비스 또는 사용자를 설명합니다. 이를 항목 데이터라고도 합니다.
각 규칙 집합을 설명하는 문서에서 규칙 집합에 필요한 필수 데이터도 검토합니다.
데이터 수집 확인
다음 방법을 사용하여 성공적인 데이터 수집을 확인할 수 있습니다.
- 데이터 수집 및 상태 대시보드: 모든 소스의 수집을 모니터링할 수 있습니다.
- 관리형 감지 테스트 테스트 규칙: 테스트 규칙을 사용 설정하여 필요한 수신 데이터가 모두 존재하고 선별된 특정 감지 규칙 집합에 필요한 형식인지 확인합니다.
데이터 수집 및 상태 대시보드 사용
수집되는 데이터의 유형과 볼륨에 대한 정보를 제공하는 데이터 수집 및 상태라는 사전 빌드된 SIEM 대시보드를 사용합니다. 새로 수집된 데이터는 약 30분 이내에 대시보드에 표시되어야 합니다. 자세한 내용은 SIEM 대시보드 사용을 참조하세요.
(선택사항) 관리형 감지 테스트 테스트 규칙 사용
특정 카테고리는 각 규칙 집합에 필요한 데이터가 올바른 형식인지 확인하는 데 도움이 되는 테스트 규칙 집합으로도 제공됩니다.
이러한 테스트 규칙은 관리형 감지 테스트 카테고리에 속합니다. 각 규칙 세트는 테스트 기기에서 수신한 데이터가 지정된 카테고리에 대한 규칙에서 예상하는 형식인지 검증합니다.
이는 수집 설정을 확인하거나 문제를 해결하려는 경우에 유용합니다. 이러한 테스트 규칙을 사용하는 방법에 대한 자세한 단계는 테스트 규칙을 사용하여 데이터 수집 확인을 참조하세요.
규칙 집합 사용 설정
선별된 감지는 YARA-L 규칙 집합으로 제공되는 위협 분석으로, 기업에 대한 위협을 식별하는 데 도움이 됩니다. 이러한 규칙 집합은 다음을 수행합니다.
- 수집된 데이터에 사용할 수 있는 즉시 활용 가능한 인텔리전스를 제공합니다.
- 이 정보를 사용하는 간단한 방법을 제공하여 Google 위협 인텔리전스를 사용합니다.
각 규칙 집합은 의심스러운 활동 패턴을 식별합니다. 규칙 집합에 대한 세부정보를 사용 설정하고 보려면 다음을 수행합니다.
- 기본 메뉴에서 감지 > 규칙 및 감지를 선택합니다. 기본 탭은 선별된 감지이며 기본 보기는 규칙 집합입니다.
- 선별된 감지를 클릭하여 규칙 집합 보기를 엽니다.
- 클라우드 위협 카테고리에서 CDIR SCC 향상된 유출 알림과 같은 규칙 집합을 선택합니다.
- 광범위한 규칙과 정확한 규칙 모두의 상태를 사용 설정됨으로 설정하고 알림을 사용으로 설정합니다. 규칙은 규칙 논리와 일치하는 패턴에 대한 수신 데이터를 평가합니다. 상태 = 사용 설정됨의 경우 규칙에서 패턴 일치가 발견되면 감지를 생성합니다. 알림 = 사용일 경우 규칙은 패턴 일치가 발견될 때도 알림을 생성합니다.
선별된 감지 페이지 작업에 대한 자세한 내용은 다음을 참조하세요.
규칙 집합을 사용 설정한 후 감지 또는 알림을 받지 못하는 경우 규칙 집합에 필요한 데이터가 수신되고 있으며 올바른 형식인지 확인하는 하나 이상의 테스트 규칙을 트리거하는 단계를 수행할 수 있습니다. 자세한 내용은 로그 데이터 수집 확인을 참조하세요.
규칙 집합으로 생성된 감지 식별
선별된 감지 대시보드에는 데이터에 대해 감지를 생성한 각 규칙에 대한 정보가 표시됩니다. 선별된 감지 대시보드를 열려면 다음을 수행합니다.
- 기본 메뉴에서 감지 > 규칙 및 감지를 선택합니다.
- 선별된 감지 > 대시보드를 클릭하여 대시보드 보기를 엽니다. 감지를 생성한 규칙 집합과 개별 규칙의 목록이 표시됩니다. 규칙은 규칙 집합별로 그룹화됩니다.
- CDIR SCC 향상된 유출 알림과 같은 관심 있는 규칙 집합으로 이동합니다.
- 특정 규칙으로 생성된 감지를 보려면 규칙을 클릭합니다. 그러면 감지를 표시하는 감지 페이지와 감지를 생성한 항목 또는 이벤트 데이터가 열립니다.
- 이 뷰에서 데이터를 필터링하고 검색할 수 있습니다.
자세한 내용은 선별된 감지 보기 및 선별된 감지 대시보드 열기를 참조하세요.
하나 이상의 규칙 집합에서 반환하는 알림 조정
선별된 감지가 너무 많은 감지 또는 알림을 생성하는 것을 발견할 수 있습니다. 규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다. 규칙 제외는 선별된 감지에만 사용되며 커스텀 규칙에는 사용되지 않습니다.
규칙 제외 항목은 규칙 집합 또는 규칙 집합의 특정 규칙에서 이벤트 평가를 제외하는 데 사용되는 기준을 정의합니다. 감지 볼륨을 줄이는 데 도움이 되는 규칙 제외 항목을 하나 이상 만듭니다. 예를 들어 다음 통합 데이터 모델(UDM) 필드를 기준으로 이벤트를 제외할 수 있습니다.
metadata.product_event_type
principal.user.userid
target.resource.name
target.resource.product_object_id
target.resource.attribute.labels["Recipient Account Id"]
principal.ip
network.http.user_agent
규칙 집합으로 생성된 알림 조사
알림 및 IOC 페이지에서는 알림 및 관련 항목에 대한 컨텍스트를 제공합니다. 알림에 대한 세부정보를 보고, 알림을 관리하고, 항목과의 관계를 볼 수 있습니다.
- 기본 메뉴에서 감지 > 알림 및 IOC를 선택합니다. 알림 뷰에는 모든 규칙에서 생성된 알림 목록이 표시됩니다.
- 알림 목록을 필터링할 기간을 선택합니다.
- CDIR SCC 향상된 유출과 같은 규칙 집합 이름으로 목록을 필터링합니다. SCC: DLP 컨텍스트를 사용하여 Google Drive로 BigQuery 유출과 같은 규칙 이름으로 목록을 필터링할 수도 있습니다.
- 목록에서 알림을 클릭하여 알림 및 IOC 페이지를 엽니다.
- 알림 및 IOC > 개요 탭에 알림에 대한 세부정보가 표시됩니다.
항목 그래프를 사용한 조사 컨텍스트 수집
알림 및 IOC > 그래프 탭에는 알림과 다른 알림 사이 또는 알림과 다른 항목 간의 관계를 시각적으로 나타내는 알림 그래프가 표시됩니다.
- 기본 메뉴에서 감지 > 알림 및 IOC를 선택합니다. 알림 뷰에는 모든 규칙에서 생성된 알림 목록이 표시됩니다.
- 알림 목록을 필터링할 기간을 선택합니다.
- CDIR SCC 향상된 유출과 같은 규칙 집합 이름으로 목록을 필터링합니다. 또한 SCC: DLP 컨텍스트를 사용하여 Google Drive로 BigQuery 유출과 같은 규칙 이름으로 목록을 필터링할 수도 있습니다.
- 목록에서 알림을 클릭하여 알림 및 IOC 페이지를 엽니다.
- 알림 및 IOC > 그래프 탭에 알림 그래프가 표시됩니다.
- 알림 그래프에서 노드를 선택하여 노드에 대한 세부정보를 확인합니다.
UDM 검색을 사용하여 조사 컨텍스트 수집
조사 중 UDM 검색 기능을 사용하여 원래 알림과 관련된 이벤트에 대한 추가 컨텍스트를 수집할 수 있습니다. UDM 검색을 사용하면 규칙으로 생성된 UDM 이벤트 및 알림을 찾을 수 있습니다. UDM 검색에는 UDM 데이터를 탐색할 수 있는 다양한 검색 옵션이 포함되어 있습니다. 특정 검색어와 연결된 개별 UDM 이벤트 및 UDM 이벤트 그룹을 모두 검색할 수 있습니다.
기본 메뉴에서 검색을 선택하여 UDM 검색 페이지를 엽니다.
UDM 검색어에 대한 자세한 내용은 UDM 검색 입력을 참조하세요. 기능의 성능 및 기능에 최적화된 UDM 검색 쿼리 작성 방법은 UDM 검색 권장사항을 참조하세요.
알림에서 응답 만들기
알림 또는 감지에 이슈 대응이 필요한 경우 SOAR 기능을 사용하여 대응을 시작할 수 있습니다. 자세한 내용은 케이스 개요 및 플레이북 화면 개요를 참조하세요.
다음 단계
다음 항목에서 규칙 집합을 검토합니다.