알림 및 IOC 보기
알림 및 IOC 페이지에는 현재 기업에 영향을 주는 모든 침해 지표(IOC)가 표시됩니다. 이 페이지에서는 알림과 IOC를 필터링하고 볼 수 있는 다양한 도구를 제공합니다.
보안 인프라, 보안 담당자 또는 Google Security Operations 규칙에서 알림을 지정할 수 있습니다.
데이터 RBAC를 사용하는 시스템에서는 할당된 범위와 연결된 규칙에서 발생한 알림 및 감지만 볼 수 있습니다. 자세한 내용은 데이터 RBAC가 감지에 미치는 영향을 참조하세요.
데이터 RBAC를 사용하는 시스템에서는 액세스 권한이 있는 애셋과 연결된 IOC의 일치 항목만 볼 수 있습니다. 자세한 내용은 데이터 RBAC가 침해 분석 및 IOC에 미치는 영향을 참조하세요.
Google Security Operations에서 자동으로 IOC를 지정합니다. Google Security Operations에서는 항상 자체 인프라와 수많은 다른 보안 데이터 소스 모두의 데이터를 포함합니다. 의심스러운 보안 표시기가 보안 데이터와 자동으로 연결됩니다. 일치 항목이 발견되면(예: 기업 내에서 의심스러운 도메인이 발견됨) Google Security Operations에서 이벤트에 IOC 라벨을 지정하고 IOC 일치 항목 탭에 표시합니다.
탐색 메뉴에서 감지 > 알림 및 IOC를 클릭합니다.
알림 보기
알림 탭에는 기업에 있는 모든 현재 알림 목록이 표시됩니다. 목록에서 알림 이름을 클릭하여 알림 뷰로 피벗합니다. 알림 뷰에는 알림과 해당 상태에 대한 추가 정보가 표시됩니다.
각 알림의 심각도, 우선순위, 위험 점수, 결과를 한눈에 볼 수 있습니다. 색상으로 구분된 아이콘과 기호를 사용하면 주의가 필요한 알림을 빠르게 식별할 수 있습니다.
알림 목록 새로고침
표시된 알림 목록의 새로고침 빈도를 선택하려면 오른쪽 상단에 있는 새로고침 시간 드롭다운 메뉴로 이동합니다. 보드가 5분, 15분 또는 1시간마다 자동으로 새로고침되도록 선택할 수 있습니다. 원형 화살표 아이콘을 클릭하여 최신 결과를 즉시 표시할 수도 있습니다.
새로고침 시간 오른쪽에 작은 캘린더 아이콘이 포함된 표시라고 표시된 검색창이 있습니다. 여기에서 표시되는 데이터의 기간을 조정할 수 있습니다.
캘린더 아이콘을 클릭하여 캘린더를 표시합니다. 왼쪽에서 사전 설정된 기간(지난 5분에서 지난 달까지) 중 하나를 선택하여 기간을 조정합니다. 달력에서 시작일 및 종료일을 선택하여 커스텀 기간을 지정할 수도 있습니다.
필터 사용
필터를 사용하려면 표의 왼쪽 상단에 있는 파란색 깔때기 모양 필터 아이콘을 클릭합니다.
알림 목록 필터라는 대화상자가 나타납니다.
왼쪽 열에서 다음 항목 중 필터링할 카테고리를 선택합니다.
- 작성자
- 케이스
- 우선순위
- 평판
- 규칙
- 규칙 ID
- 심각도
- 상태
- 결과
중간 열에서 필터 유형을 선택합니다.
- 다음 항목만 표시: 필터와 일치하는 항목을 표시합니다.
- 필터링: 필터와 일치하지 않는 항목을 표시합니다.
오른쪽 열에서 필터링할 요소를 선택합니다. 논리 연산자도 선택해야 합니다.
- OR: 결합된 조건 중 하나와 일치해야 합니다(논리합).
- AND: 모든 결합된 조건이 일치해야 합니다(논리곱).
예를 들어 심각도가 매우 높음으로 라벨이 지정된 알림을 찾고 있는 경우 왼쪽 열의 심각도와 오른쪽 열의 심각을 클릭하고 다음 항목만 표시를 선택합니다.
필터를 추가하려면 + 필터 추가를 클릭합니다.
필터를 추가하면 표 위에 칩으로 표시됩니다.
동일한 카테고리의 필터 2개를 사용하려는 경우 동일한 칩에 표시됩니다. 심각도 라벨에서 높음 또는 심각으로 라벨이 지정된 알림을 찾으려면 다음 단계를 완료합니다.
- 첫 번째 필터를 선택합니다.
- 두 번째 필터를 엽니다.
- 두 번째 필터를 클릭하면 두 가지 새로운 옵션인 다음 항목만 표시와 필터링이 표시됩니다. 다음 항목만 표시를 클릭합니다.
필터 지우기
필터 1개를 삭제하려면 삭제할 필터 옆에 있는 휴지통 아이콘을 클릭합니다.
페이지에서 기존 필터를 모두 삭제하려면 모든 칩이 있는 위치 옆에 있는 파란색 모두 지우기 버튼을 클릭합니다.
IOC 일치 항목 보기
IOC 도메인 일치는 보안 인프라가 의심스러운 것으로 확인되어 최근 기업 내에서 확인된 도메인을 나열합니다.
기업의 IOC를 보려면 IOC 일치 탭을 클릭합니다. 오른쪽 상단 모서리에 있는 지난 3일을 클릭하여 조사 날짜를 조정하여 기간과 이벤트 시간 대화상자 창을 열 수 있습니다.
IOC 매칭은 이벤트 타임스탬프가 위협 인텔리전스 피드에 제공된 활성 기간 간격 내에 있는 경우에만 수행됩니다. 활성 기간은 IOC가 유효한 시간 간격입니다. 위협 인텔리전스 피드에 활성 기간 간격이 없으면 피드 데이터에서 도메인이 식별될 때마다 IOC 일치 항목이 반환됩니다.
응용 위협 인텔리전스를 활성화하면 IOC 일치 탭에 추가 정보가 표시됩니다. 자세한 내용은 응용 위협 인텔리전스를 참조하세요.
IOC 일치 항목 탭
다음을 포함하여 이름 또는 페이지에 나열된 다른 열 카테고리를 기준으로 도메인을 정렬할 수 있습니다.
- 카테고리
- 소스
- 애셋
- 신뢰도
- 심각도
- IOC 수집 시간
- 최초 발생 일자
- 최근 발생 일자
왼쪽에 있는 절차적 필터링 메뉴를 사용하여 표시된 IOC를 필터링할 수도 있습니다.
Google Security Operations 고객
Google Security Operations 고객의 경우 케이스 ID를 포함하여 Google Security Operations SOAR 알림이 여기에 표시됩니다. 케이스 ID를 클릭하여 케이스 페이지를 엽니다. 케이스 페이지에서 알림 및 케이스에 대한 정보를 가져올 수 있습니다. 거기에 응답할 수도 있습니다. 자세한 내용은 케이스 개요를 참조하세요.
또한 Google Security Operations 고객의 경우 알림 및 IOC 페이지의 알림 상태 변경 및 알림 닫기 버튼이 비활성화됩니다. 하지만 Google Security Operations 고객은 케이스 페이지에서 알림을 변경할 수 있습니다. 알림 보기에서 케이스 페이지로 피벗하려면 알림 개요 페이지의 케이스 세부정보 섹션에서 케이스로 이동을 클릭합니다.