사용자 조사
Google Security Operations 사용자 뷰를 사용하면 보안 이벤트가 기업 내 사용자들에게 어떤 영향을 주는지 더욱 정확하게 파악할 수 있습니다. 보안 관리자는 개별 사용자의 동작에 집중함으로써 계정 손상 또는 기타 보안 문제를 나타내는 활동을 검색할 수 있습니다. EDR, 방화벽, 웹 프록시, 사용자 컨텍스트, 인증 등 네트워크의 기기로부터 데이터를 수집하고 정규화해야 합니다.
사용자 검색
Google Security Operations에서 사용자 뷰를 열려면 기업 내 사용자의 사용자 이름 또는 이메일 주소를 검색창에 입력합니다. 사용자가 Google Security Operations 계정 내에 있으면 결과적으로 사용자가 표시됩니다. 사용자 이름을 클릭하여 해당 사용자 뷰로 피벗합니다.
사용자 뷰 별칭 지정
사용자 뷰에는 단일 사용자와 연관된 이벤트가 중복되지 않도록 보장하고 Google Security Operations 계정 내에서 쉽게 검색할 수 있게 해주는 사용자 별칭 지정 기능이 포함되어 있습니다. 예를 들어 사용자 식별자가 dennis
이고 이메일이 dennis@altostrat.com
인 Dennis라는 직원이 있다고 가정해보세요. Google Security Operations에서 dennis
를 검색하면 dennis
및 dennis@altostrat.com
모두에 대한 이벤트가 반환됩니다.
사용자 뷰 기능
사용자 뷰에는 기업 내에서 사용자 데이터를 더 세밀하게 조사할 수 있게 해주는 많은 기능과 사용자 인터페이스 컨트롤이 포함되어 있습니다. 일부 기능은 사용자 뷰에서만 사용되고 다른 기능은 다른 Google Security Operations 이벤트 뷰(도메인 뷰, IP 주소 뷰 등)와 함께 사용됩니다.
Google Security Operations 사용자 뷰 기능
1 사용자 정보
엔터프라이즈 IT 시스템 내에 저장된 사용자에 대한 정보를 표시합니다(예: Active Directory, Workday, Okta 등).
2 기간 선택
왼쪽 및 오른쪽 화살표를 사용하여 한 번의 캘린더 주 간격(토요일-일요일) 동안 사용자와 연관된 이벤트를 조사합니다. 표시된 기간에 대한 데이터가 없으면 관련 기간으로 빠르게 이동할 수 있도록 최초 발생 시간 및 마지막 발생 시간 옵션이 제공됩니다.
3 X축 타임 시프트
기본적으로 사용자 뷰에서 그라데이션 히트맵은 12:00 UTC(정오)가 가운데로 표시됩니다. X축 타임 시프트 컨트롤을 사용하면 정오를 기준으로 이전 또는 이후 12시간까지로 히트맵 중앙을 이동할 수 있습니다. 이렇게 하면 해당 사용자의 비정상 기간에 집중할 수 있습니다. 예를 들어 그림에 표시된 것처럼 저녁 늦은 시간과 이른 오전 시간의 사용자 활동에 집중하기 위해 디스플레이 중심 시간을 0:00 UTC(자정)로 이동할 수 있습니다.
X축 타임 시프트를 +12로 설정
4 그라데이션 히트맵
사용자 뷰 그라데이션 히트맵에는 조사 중인 기간의 사용자 활동에 대한 집계 뷰가 표시됩니다. 각 정사각형은 해당 기간 동안 로깅된 사용자 활동에 대한 시간(UTC)을 나타냅니다. 이 차트를 사용하면 비정상적이거나 일반적이지 않은 사용자 활동을 찾을 수 있습니다.
정사각형을 클릭하면 활동 기간이 표시되고 녹색 팝오버에서 해당 기간을 클릭하면 타임라인에서 해당 이벤트 시간으로 이동합니다.
각 정사각형의 색상은 검정색부터 흰색까지 단계별로 표시됩니다.
검정색 정사각형은 사용자 활동이 없음을 나타냅니다.
흰색 정사각형은 사용자 활동이 자주 있음을 나타냅니다.
회색 정사각형은 짙은 회색부터 옅은 회색의 순서로 사용자 활동이 적은 것부터 많은 것을 나타냅니다.
예를 들어 어떤 사용자는 일반적으로 정규 업무 시간 중에 활동이 많고 늦은 야간 시간 또는 주말에 활동이 없습니다. 하지만 이 사용자에게서 최근 매일 오전 3시에 활동이 발생했습니다. 그라데이션 히트맵을 사용하면 이러한 종류의 일반적이지 않은 활동을 빠르게 찾아낼 수 있습니다.
5 사용자 알림
사용자 보안 알림은 Google Security Operations에서 캡처되어 여기에 표시됩니다. 연결된 링크를 클릭하면 해당 알림을 추가로 조사할 수 있습니다.
7 열
타임라인 탭에 표시되는 열을 맞춤설정합니다.
6 타임라인 및 애셋
또한 타임라인 및 애셋 탭도 사용자 뷰 내에서 사용할 수 있습니다. 다른 Google Security Operations 뷰에서와 같이 타임라인 탭에는 이벤트가 시간순으로 나열되고 애셋 탭에는 해당 사용자와 연관된 애셋이 영숫자순으로 나열됩니다. 표시된 애셋은 기업 내에서 이 특정 사용자의 활동에 해당하며 지정된 기간에 의해 제한됩니다.
이러한 탭을 다음과 같이 사용합니다.
타임라인 탭: 타임라인 탭에서 이벤트를 선택하면 그라데이션 히트맵에서도 해당 이벤트가 녹색으로 강조표시됩니다. 알림은 빨간색 삼각형과 빨간색 텍스트로 표시됩니다.
애셋 탭: 애셋을 선택하면 애셋 탭에 해당 항목이 녹색으로 표시되고 애셋과 관련된 모든 활동이 그라데이션 히트맵에도 녹색으로 강조표시됩니다. 애셋 탭에서 처음 또는 마지막으로 액세스된 항목을 클릭하여 애셋 뷰로 피벗할 수 있습니다.
8 절차적 필터링
사용자 뷰에서 절차적 필터링 아이콘을 클릭하여 절차적 필터링 메뉴를 열고 여러 특성을 기준으로 사용자 정보를 필터링할 수 있습니다. 예를 들어 주 구성원 위치를 기준으로 필터링하여 사용자가 로그인을 시도한 지리적 위치를 조사할 수 있습니다. 여기에는 일반적이지 않은 위치에서 로그인하는 사용자가 표시될 수 있습니다.
주 구성원 위치에 대한 절차적 필터링
고려사항
사용자 뷰에는 다음과 같은 제한사항이 있습니다.
- 이 뷰에는 80,000개의 이벤트만 표시할 수 있습니다.
- 이 뷰에 표시되는 이벤트만 필터링할 수 있습니다.
- 이 뷰에는 사용자, 이메일, DNS 이벤트 유형만 채워집니다. 이 뷰에서 처음 표시된 정보와 마지막으로 표시된 정보도 이러한 이벤트 유형으로 제한됩니다.
- 일반 이벤트는 선별된 뷰에 표시되지 않습니다. 원시 로그 및 UDM 검색에만 표시됩니다.