알림 조사

알림은 보안 시스템에서 위협으로 식별된 데이터에 연결됩니다. 알림을 조사하면 알림 및 관련된 항목에 대한 컨텍스트를 파악할 수 있습니다.

알림을 클릭하면 다음과 같이 3개의 탭으로 구성된 알림 세부정보가 포함된 페이지로 연결됩니다.

  • 개요: 알림 상태와 감지 기간을 포함하여 알림에 대한 중요한 세부정보를 요약해서 보여줍니다.
  • 그래프: YARA-L 규칙으로부터 생성된 알림을 시각화합니다. 다른 항목에 대한 알림의 관계를 그래프로 표시합니다. 알림이 트리거되면 알림과 연결된 항목이 그래프에 표시되고 화면 왼쪽에 각각 자체 카드가 표시됩니다. 알림 그래프는 UDM 이벤트에서 principal, target, src, observer, intermediary, about 항목을 사용합니다.
  • 알림 기록: 알림 상태가 변경된 시간 또는 메모가 추가된 시간을 포함하여 이 알림에 발생한 모든 변경사항이 나열됩니다.

항목과 알림 사이의 관계를 시각화하는 그래프 아래에는 알림에 대해 더 많은 컨텍스트를 제공하는 다음과 같은 3개의 하위 탭이 있습니다.

  • 이벤트: 알림과 관련된 이벤트의 세부정보가 포함됩니다.
  • 항목: 알림과 연결된 각 항목에 대한 세부정보가 포함됩니다.
  • 알림 컨텍스트: 알림에 대한 추가 컨텍스트를 제공합니다.

시작하기 전에

알림 그래프를 채우려면 알림을 생성하는 YARA-L 규칙을 만들어야 합니다. 알림 그래프의 품질은 YARA-L 규칙에 포함된 컨텍스트에 따라 달라집니다. 규칙의 결과 섹션은 해당 규칙으로 트리거되는 검색 결과에 컨텍스트를 제공합니다.

알림 그래프에 사용되기 때문에 결과 섹션에는 principal, target, src, observer, intermediary, about과 같은 UDM 명사를 추가하는 것이 좋습니다. 이러한 UDM 명사에 대해서는 다음과 같은 필드가 알림 그래프에 사용됩니다.

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

또한 위의 UDM 필드 목록의 값은 알림 컨텍스트 하위 탭의 UDM 검색에 연결됩니다. 자세한 내용은 알림에 대한 컨텍스트 보기를 참조하세요.

다음 YARA-L 규칙에서는 상당한 개수의 Google Cloud 서비스 API가 짧은 시간 범위(1시간) 내에 사용 중지되었었을 때 알림이 생성됩니다.

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

알림이 생성된 후에는 알림 그래프 페이지로 이동하여 알림에 대해 더 많은 컨텍스트를 확인하고 이를 더 조사할 수 있습니다.

알림 및 IOC 페이지 또는 UDM 검색 페이지에서 그래프에 액세스할 수 있습니다.

알림 및 IOC에서 알림 그래프에 액세스

알림 및 침해 지표(IOC) 페이지에서는 현재 기업에 영향을 미치는 모든 알림과 IOC를 필터링하고 볼 수 있습니다. 이 페이지에 대한 자세한 내용과 IOC 일치를 보는 방법은 알림 및 IOC 보기를 참조하세요.

알림 및 IOC 페이지에서 알림에 대해 자세히 알아보려면 다음 단계를 수행합니다.

  1. 탐색 메뉴에서 감지 > 알림 및 IOC를 클릭합니다.
  2. 알림 테이블에서 조사하려는 알림을 찾습니다.
  3. 알림 행에서 이름 열의 텍스트를 클릭하여 알림 그래프를 엽니다.
  1. 탐색 메뉴 상단에서 검색을 선택합니다.
  2. 검색 관리자로 검색을 로드하거나 새 검색을 만듭니다. UDM에서 검색 수행에 대해 자세히 알아보려면 UDM 검색을 참조하세요.
    1. 개요, 항목, 알림의 3개 탭이 표시됩니다. 알림을 클릭합니다.
  3. 조사하려는 알림을 클릭합니다. 알림 뷰어가 표시됩니다.
  4. 세부정보 보기를 클릭하여 알림 보기를 엽니다.
  5. 그래프 탭을 클릭하여 알림 그래프를 표시합니다.

알림 세부정보 보기

알림 보기에서 개요 탭에 알림과 관련된 다음 정보가 표시됩니다.

  • 알림 세부정보: 알림 상태, 생성 날짜, 심각도, 우선순위, 위험 정부입니다.
  • 감지 요약: 알림을 생성한 감지 규칙입니다. 동일한 감지 규칙에서 다른 알림을 볼 수 있습니다.
  • 이벤트: 이 알림과 연결된 이벤트입니다.

중요한 정보 보기 외에도 알림 상태를 조정할 수 있습니다.

알림 상태 변경

  1. 오른쪽 상단 모서리에서 알림 상태 변경을 클릭합니다.
  2. 표시된 창에서 상황에 맞게 심각도 및 우선순위 수준을 업데이트합니다.
  3. 저장을 클릭합니다.

알림 닫기

  1. 알림 닫기를 클릭합니다.
  2. 표시되는 창에서 알림을 닫은 이유에 대한 컨텍스트를 제공하는 메모를 기록할 수 있습니다.
  3. 정보를 입력하고 저장을 누릅니다.

항목 관계 보기

그래프는 서로 다른 알림 및 항목의 연결 방식을 보여줍니다. 이 기능으로 제공되는 시각적인 대화형 그래프를 사용하면 기존 항목에 대한 관계 정보를 확장하여 알려지지 않은 관계를 파악할 수 있습니다. 또한 시간 범위를 늘리고 이전 시점 알림을 확장하는 방식으로 검색을 확장해서 보다 포괄적인 알림 경로를 얻을 수 있습니다.

또한 임의 노드에 대해 오른쪽 상단에 있는 + 아이콘을 클릭하여 검색을 확장할 수 있습니다. 이렇게 하면 해당 항목과 관련된 모든 노드가 표시됩니다.

그래프 아이콘

각 항목마다 서로 다른 아이콘으로 표시됩니다.

아이콘 아이콘이 나타내는 항목 설명
사용자 사용자는 네트워크에서 액세스를 요청하고 정보를 사용하는 사용자 또는 기타 항목입니다. 예: janedoe, cloudysanfrancisco@gmail.com
database 리소스 리소스는 자체적으로 고유한 리소스 이름이 있는 항목을 나타내는 일반적인 용어입니다. 예: BigQuery 테이블, 데이터베이스, 프로젝트
IP 주소
description 파일
도메인 이름
URL
device_unknown 알 수 없는 항목 유형 Google Security Operations 소프트웨어에서 인식되지 않는 항목 유형입니다.
메모리 애셋 애셋은 조직에 대해 값을 생성하는 모든 것을 나타냅니다. 여기에는 호스트 이름, MAC 주소, 내부 IP 주소가 포함될 수 있습니다. 예: 10.120.89.92(내부 IP 주소), 00:53:00:4a:56:07(MAC 주소)

같은 규칙에서 2개 이상의 알림이 발생하면 하나의 그룹 아이콘으로 그룹화됩니다. 동일한 항목을 나타내는 지표는 하나의 아이콘으로 통합됩니다.

각 아이콘에 대한 자세한 내용은 다음 문서를 검토하세요.

알림 그래프를 클릭하면 알림 이전 및 이후 12시간 동안의 모든 결과가 그래프에 표시됩니다. 알림 항목이 없으면 원래 알림만 그래프에 표시됩니다.

기본 알림은 빨간색 원으로 강조 표시됩니다. 알림은 항목에 실선으로 연결되고, 다른 알림에는 점선으로 연결됩니다. 가장자리(두 노드 사이의 연결 선)로 포인터를 가져가면 그래프에서 한 노드에 연결되는 결과 변수 또는 일치 변수가 표시됩니다.

왼쪽에는 연결된 규칙, 감지 창, 심각도, 우선순위 상태 등에 대한 세부정보가 포함된 각 노드에 대한 카드가 표시됩니다.

그래프 바로 위에는 그래프 옵션이라는 버튼이 있습니다. 그래프 옵션을 클릭하면 비알림 감지위험 점수의 두 옵션이 표시됩니다. 둘 다 기본적으로 사용하도록 설정되며 선호도에 따라 사용 또는 사용 중지하도록 전환할 수 있습니다.

노드를 이동하려면 단순히 그래프 주위로 노드를 드래그합니다. 노드를 놓으면 새로고침을 클릭할 때까지 마지막에 놓은 위치에 고정됩니다.

노드 추가 및 삭제

노드를 클릭하면 화면 아래에 테이블이 표시됩니다. 각 노드에서 다음 작업을 수행할 수 있습니다.

알림

  • 관련 항목, 알림, 이벤트 보기
  • 알림에서 결과 및 일치 보기
  • 모든 하위 그래프 삭제
  • On 그래프 열에서 체크박스를 선택하여 그래프에서 관련 항목 및 알림을 추가하거나 삭제합니다.

항목

  • 모든 관련 알림 보기
  • 모든 하위 그래프 삭제
  • On 그래프 열에서 체크박스를 선택하거나 선택 해제하여 그래프에서 관련 알림을 추가하거나 삭제합니다.

그룹

  • 해당 그룹을 구성하는 모든 항목 또는 알림 보기
  • 페이지 하단의 테이블에서 On 그래프를 클릭하여 개별 노드를 그룹화 해제합니다.

노드에서 위험 점수를 추가하거나 삭제하려면 테이블 위에서 위험 점수를 선택하거나 선택 해제합니다.

알림 그래프 확장

더 많은 관련 노드를 보려면 알림 하단에서 + 아이콘을 클릭합니다. 선택한 아이콘과 관련된 항목 및 알림이 팝업으로 표시됩니다. 각 새 알림에는 추가 세부정보가 있는 측면 카드가 포함됩니다.

그래프 재설정

그래프를 지우려면 오른쪽 창에서 시간 범위를 조정하면 됩니다. 최대 범위는 90일입니다. 또한 시간 범위를 재설정하면 그래프가 원래 상태로 재설정됩니다. 시간 범위를 업데이트하면 추가 노드 그래프가 지워지고 그래프가 원래 상태로 재설정됩니다.

노드를 다시 기본 위치로 이동하려면 새로고침을 클릭합니다.

알림 컨텍스트 보기

알림 컨텍스트 섹션에는 알림에 대해 추가 컨텍스트를 제공하는 값 목록이 포함됩니다.

알림 컨텍스트에는 선택한 알림이 결과로 생성되었는지 또는 규칙에 의해 일치되었는지를 나타내는 유형 열이 포함됩니다. 그 다음 열은 변수라고 합니다. 이러한 변수 이름은 규칙에 정의된 일치 항목 및 결과 변수의 이름을 기준으로 합니다. 마지막으로 맨 오른쪽 열은 UDM 필드입니다. UDM 필드가 나열된 변수는 열에도 연결됩니다.

시작하기 전에 섹션에 나열된 UDM 필드 외에도 다음과 같은 UDM 필드가 UDM 검색 페이지에 연결됩니다.

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

이러한 필드와 연결된 특정 UDM 명사는 principal, target, src, observer, intermediary, about입니다. 값을 클릭하면 UDM 검색이 트리거되고 이전 일자의 시간 범위와 함께 값이 전달됩니다.

시작하기 전에 섹션에 있는 YARA-L 규칙 예시에서는 다음 UDM 필드가 UDM 검색 페이지에 연결됩니다.

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

알림 기록 보기

알림 기록 탭에서는 이 알림에 대해 발생한 모든 작업의 전체 기록을 볼 수 있습니다. 여기에는 다음과 같은 콘텐츠가 포함됩니다.

  • 알림이 처음 표시된 시간
  • 팀 구성원이 이 알림에 대해 남긴 모든 메모
  • 심각도가 변경되었는지 여부
  • 우선순위가 변경되었는지 여부
  • 알림이 종료되었는지 여부

Google Security Operations SOAR의 알림

Google Security Operations SOAR의 알림에는 Google Security Operations SOAR 케이스에 대한 추가 정보가 포함됩니다. 또한 이 알림은 Google Security Operations SOAR에서 케이스를 열 수 있는 링크를 제공합니다. 자세한 내용은 Google Security Operations SOAR 케이스 개요를 참조하세요.

Google Security Operations SOAR 케이스 알림

Google Security Operations SOAR 케이스 알림