대시보드 개요
Google Security Operations SIEM 대시보드를 사용하면 보안 원격 분석, 수집 측정항목, 감지, 알림, IOC를 포함해서 Google Security Operations SIEM에서 데이터를 보고 분석할 수 있습니다. 이러한 대시보드는 Looker 기능을 기반으로 구축됩니다.
Google Security Operations SIEM은 이 문서에서 설명하는 여러 가지 기본 대시보드를 제공합니다. 또한 커스텀 대시보드도 만들 수 있습니다.
기본 대시보드
대시보드 페이지로 이동하려면 왼쪽 탐색 메뉴에서 대시보드를 클릭합니다.
기본 대시보드에는 Google Security Operations SIEM 인스턴스 내에 저장된 사전 정의된 데이터 시각화가 포함됩니다. 이러한 대시보드는 Google Security Operations SIEM 데이터 수집 시스템 상태 파악 또는 기업 내 위협 상태 모니터링과 같은 특정 사용 사례를 위해 설계되었습니다.
각 기본 대시보드에는 특정 기간 동안 데이터를 볼 수 있게 해주는 시간 범위 필터가 포함됩니다. 이는 문제 해결 또는 추세 파악에 도움이 될 수 있습니다. 예를 들어 필터를 사용해서 지난 한 주 또는 일정 시간 범위 동안의 데이터를 볼 수 있습니다.
기본 대시보드는 수정할 수 없습니다. 기본 대시보드의 복사본을 만든 후 특정 사용 사례를 지원하도록 새 대시보드를 수정할 수 있습니다.
Google Security Operations SIEM은 다음과 같은 기본 대시보드를 제공합니다.
주 대시보드
주 대시보드에는 Google Security Operations SIEM 데이터 수집 시스템의 상태에 대한 정보가 표시됩니다. 여기에는 기업에서 감지된 IOC의 지리적 위치를 강조표시하는 세계 지도도 포함됩니다.
주 대시보드에서는 다음 시각화를 볼 수 있습니다.
- 수집된 이벤트: 수집된 총 이벤트 수입니다.
- 처리량: 특정 기간 동안 수집된 데이터의 볼륨입니다.
- 알림: 발생한 총 알림 수입니다.
- 시간 경과에 따른 이벤트: 일정 기간 동안 발생한 이벤트를 표시하는 열 차트입니다.
- 전역 위협 맵 - IOC IP 일치: IOC 일치 이벤트가 발생한 위치입니다.
클라우드 감지 및 대응 개요 대시보드
클라우드 감지 및 대응 대시보드는 클라우드 환경의 보안 상태를 모니터링하고 잠재적 위협을 조사할 수 있게 도와줍니다. 대시보드에는 데이터 소스의 볼륨, 규칙 집합, 알림, 기타 정보를 파악하는 데 도움이 되는 시각화가 표시됩니다.
시간 필터를 사용하면 기간별로 데이터를 필터링할 수 있습니다.
GCP 로그 유형 필터를 사용하면 Google Cloud 로그 유형별로 데이터를 필터링할 수 있습니다.
클라우드 감지 및 대응 개요 대시보드에서 다음 시각화를 볼 수 있습니다.
사용 설정된 CDIR 규칙 집합: Google Security Operations SIEM 사용자에 대해 GCTI에서 제공된 총 규칙 집합으로부터 클라우드 환경에서 사용 설정된 Google Security Operations SIEM 규칙 집합의 비율을 표시합니다. GCTI는 여러 개의 사전 패키징되고 조정된 규칙을 제공합니다. 이러한 규칙 집합을 사용 설정 또는 사용 중지할 수 있습니다.
포함된 GCP 데이터 소스: 사용 가능한 총 Google Cloud 데이터 소스 중에서 포함된 데이터 소스의 비율을 표시합니다. 예를 들어 40개의 로그 유형을 사용해서 데이터를 수집할 수 있지만 20개만 데이터를 전송할 경우 타일에 50%가 표시됩니다.
CDIR 알림: GCTI 규칙 집합 또는 클라우드 위협 내에서 규칙으로부터 발생하는 알림 수를 표시합니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.
최근 알림: 심각도 및 위험 점수와 함께 최근의 알림을 표시합니다. 이벤트 타임스탬프 시간 열을 사용해서 테이블을 정렬하고 각 알림으로 이동하여 세부정보를 확인할 수 있습니다. Security Command Center에 의해 향상된 집계된 보안 발견 항목의 수를 제공합니다. 이러한 보안 발견 항목은 GCTI에서 조정된 감지 규칙 집합에 따라 생성되고 발견 항목 유형에 따라 분류됩니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.
시간 경과에 따른 심각도별 알림: 시간 경과에 따른 심각도별 총 알림 추세를 표시합니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.
감지 범위: Google Security Operations SIEM 규칙 집합과 상태, 총 감지, 최근 감지 날짜에 대한 정보를 제공합니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.
클라우드 데이터 범위: 모든 사용 가능한 Google Cloud 서비스, 각 서비스를 포함하는 파서, 첫 번째 발견된 이벤트, 마지막 발견된 이벤트, 총 처리량에 대한 정보를 제공합니다.
CDIR 규칙 집합에 대한 자세한 내용은 클라우드 위협 카테고리 개요를 참조하세요.
테이블 다음에 다음 시간 간격에 따라 수집 추세를 보여주는 연관된 데이터와 모든 Google Cloud 서비스에 대한 그래프가 표시됩니다.
- 지난 24시간
- 지난 30일
- 지난 6개월
컨텍스트 인식 감지 - 위험 대시보드
컨텍스트 인식 감지 - 위험 대시보드는 기업 환경에서 애셋 및 사용자의 현재 위협 상태에 대한 통계 정보를 제공합니다. 규칙 감지 탐색 인터페이스의 필드를 기반으로 빌드됩니다.
심각도 및 위험 점수 값은 각 규칙에 정의된 변수입니다. 예시는 출력 섹션 구문을 참조하세요. 각 패널에서 심각도 및 위험 점수에 따라 데이터를 정렬하고 가장 위험한 사용자 및 애셋을 파악합니다.
컨텍스트 인식 감지 - 위험 대시보드에서 다음 시각화를 확인할 수 있습니다.
- 위험 상태의 애셋 및 기기: 메타 > 심각도에서 규칙을 설정한 심각도를 기준으로 상위 10개 애셋을 나열합니다. 메타 섹션 구문을 참조하세요. 심각도 수준은 매우 높음, 심각, 높음, 큼, 보통, 낮음입니다. 호스트 이름 값이 레코드에 없으면 IP 주소를 표시합니다.
- 위험 상태의 사용자: 심각도를 기준으로 상위 10명의 사용자를 나열합니다. 심각도 수준은 매우 높음, 심각, 높음, 큼, 보통, 낮음입니다. 레코드에 사용자 이름 값이 없으면 이메일 ID를 표시합니다.
- 집계 위험: 각 날짜에 대해 총 집계된 위험 점수를 표시합니다.
- 감지 결과: 감지 엔진 규칙으로 반환된 감지에 대한 세부정보를 표시합니다. 테이블에는 규칙 이름, 감지 ID, 위험 점수, 심각도가 포함됩니다.
데이터 수집 및 상태 대시보드
데이터 수집 및 상태 대시보드는 Google Security Operations SIEM 테넌트에 수집되는 데이터의 유형, 볼륨, 상태에 대한 정보를 제공합니다. 이 대시보드를 사용해서 해당 환경의 이상치를 모니터링할 수 있습니다.
이 대시보드는 수집된 로그의 양, 수집 오류, 기타 관련 정보를 파악하는 데 도움이 되는 시각화를 제공합니다. 대시보드의 데이터는 15분마다 새로고침되므로 최신 정보를 확인하려면 최대 15분 정도 기다려야 할 수 있습니다.
데이터 수집 및 상태 대시보드에서 다음 시각화를 볼 수 있습니다.
- 수집된 이벤트 수: 수집된 이벤트의 총 개수입니다.
- 수집 오류 수: 수집 중 발생한 총 오류 수입니다.
- 이벤트 개수별 로그 유형 분포: 각 로그 유형의 이벤트 수를 기준으로 로그 유형 분포를 표시합니다.
- 처리량별 로그 유형 분포: 처리량을 기준으로 로그 유형 분포를 표시합니다.
- 수집 - 상태별 이벤트: 상태를 기준으로 이벤트 수를 표시합니다.
- 수집 - 로그 유형별 이벤트: 상태 및 로그 유형을 기준으로 이벤트 수를 표시합니다.
- 최근에 수집된 이벤트: 각 로그 유형에 대해 최근에 수집된 이벤트를 표시합니다.
- 일일 로그 정보: 각 로그 유형에 대한 일일 로그 수를 표시합니다.
- 이벤트 수와 크기 비교: 일정 기간 동안 이벤트 수와 크기를 비교합니다.
- 수집 처리량: 일정 기간 동안 수집 처리량을 표시합니다.
IOC 일치 대시보드
침해 지표(IO) 일치 대시보드에서는 기업 환경의 IOC 항목을 시각적으로 파악할 수 있습니다.
IOC 일치 대시보드에서는 다음과 같은 시각화를 확인할 수 있습니다.
- 시간 경과에 따른 카테고리별 IOC 일치: 해당 카테고리를 기준으로 IOC 일치 수를 표시합니다.
- 상위 10개 도메인 IOC 지표: 개수와 함께 상위 10개 도메인 IOC 지표를 나열합니다.
- 상위 10개 IP IOC 지표: 개수와 함께 상위 10개 IP 주소 IOC 지표를 나열합니다.
- IOC 일치별 상위 10개 애셋: 개수와 함께 IOC 일치별 상위 10개 애셋을 나열합니다.
- 카테고리, 유형, 개수별 상위 10개 IOC 일치: 개수와 함께 카테고리 및 유형별 상위 10개 IOC 일치를 나열합니다.
- 상위 10개 IOC 값: 개수와 함께 상위 10개 IOC 값을 나열합니다.
- 드물게 표시되는 상위 10개 값: 개수와 함께 드물게 발생하는 상위 10개 IOC 일치를 나열합니다.
규칙 감지 대시보드
규칙 감지 대시보드는 감지 엔진 규칙으로 반환된 감지 항목에 대한 통계를 제공합니다. 감지 항목을 수신하려면 규칙을 사용 설정해야 합니다. 자세한 내용은 실시간 데이터에 대한 규칙 실행을 참조하세요.
규칙 감지 대시보드에서 다음 시각화를 볼 수 있습니다.
- 시간 경과에 따른 규칙 감지: 일정 시간 동안 규칙 감지 수를 표시합니다.
- 심각도별 규칙 감지: 규칙 감지의 심각도를 표시합니다.
- 시간 경과에 따른 심각도별 규칙 감지: 시간 경과에 따른 심각도별 일일 감지 수를 표시합니다.
- 감지별 최대 10개 규칙 이름: 최대 감지 수를 반환하는 상위 10개 규칙을 나열합니다.
- 시간 경과에 따른 이름별 규칙 감지: 매일 감지를 반환한 규칙과 반환된 감지 수를 표시합니다.
- 규칙 감지별 상위 10명의 사용자: 감지를 트리거한 이벤트에 표시된 상위 10명의 사용자 식별자를 나열합니다.
- 규칙 감지별 상위 10개 애셋 이름: 감지를 트리거한 이벤트에 표시된 상위 10개 애셋 이름을 나열합니다(예: 호스트 이름).
- 규칙 감지별 상위 10개 IP: 감지를 트리거한 이벤트에 표시된 상위 10개 IP 주소를 나열합니다.
사용자 로그인 개요 대시보드
사용자 로그인 개요 대시보드는 기업 환경에 로그인하는 사용자에 대한 통계를 제공합니다. 이 정보는 악의적인 행위자가 기업에 액세스하려는 시도를 추적하는 데 유용할 수 있습니다.
예를 들어 사무소가 없는 국가에서 기업 환경에 액세스하려는 특정 사용자를 식별하거나 회계 애플리케이션에 반복적으로 액세스를 시도하는 특정 사용자를 찾아낼 수 있습니다.
사용자 로그인 개요 대시보드에서 다음 시각화를 볼 수 있습니다.
- 성공한 로그인 횟수: 성공한 총 로그인 횟수입니다.
- 실패한 로그인 횟수: 실패한 총 로그인 횟수입니다.
- 상태별 로그인: 성공 및 실패한 로그인을 분할해서 보여줍니다.
- 시간 경과에 따른 상태별 로그인: 시간 범위에 따라 성공 및 실패한 로그인을 분할해서 보여줍니다.
- 로그인별 상위 10개 애플리케이션: 로그인 수를 기준으로 빈도수가 높은 상위 10개 애플리케이션을 분할해서 보여줍니다.
- 애플리케이션별 로그인: 각 애플리케이션의 로그인 상태 수를 표시합니다. 각 애플리케이션의 수는
security_result.action
필드에 정의한 로그 데이터를 기준으로 채워집니다. 이벤트 열거 유형을 참조하세요. - 로그인별 상위 10개 국가: 사용자가 로그인한 상위 10개 국가 수를 표시합니다.
- 국가별 로그인: 사용자가 로그인한 모든 국가 수를 표시합니다.
- IP별 상위 10개 로그인: 사용자가 로그인한 상위 10개 IP 주소를 표시합니다.
- 로그인 위치 맵: 사용자가 로그인한 IP 주소의 위치를 표시합니다.
- 로그인 상태별 상위 10명의 사용자: 각 사용자의 로그인 상태 수를 표시합니다. 각 애플리케이션의 수는
security_result.action
필드에 정의한 로그 데이터를 기준으로 채워집니다. 이벤트 열거 유형을 참조하세요.