Chronicle SIEM 개요
Chronicle SIEM은 핵심 Google 인프라를 기반으로 하는 특수한 레이어로 빌드된 클라우드 서비스로서, 기업에서 생성하는 방대한 보안 및 네트워크 원격 분석을 비공개로 유지, 분석, 검색할 수 있도록 설계되었습니다. Chronicle은 데이터를 정규화하고, 색인을 생성하고, 상관관계를 지정하고 분석하며, 위험한 활동에 대한 즉각적인 분석과 컨텍스트를 제공합니다.
Chronicle을 사용하면 몇 달 혹은 그 이상에 해당하는 기간 동안 회사에서 집계된 보안 정보를 검사할 수 있습니다. Chronicle을 사용하여 기업 내에서 액세스하는 모든 도메인을 검색하세요. 특정 애셋, 도메인 또는 IP 주소로 검색 범위를 좁혀 보안 침해가 발생했는지 확인할 수 있습니다.
Chronicle 플랫폼 개요
데이터 수집
Chronicle에서는 다음과 같은 다양한 방법을 통해 다양한 보안 원격 분석 유형을 수집할 수 있습니다.
전달자: 고객의 네트워크에 배포된 경량 소프트웨어 구성요소로, syslog, 패킷 캡처, 기존 로그 관리 또는 보안 정보 및 이벤트 관리(SIEM) 데이터 저장소를 지원합니다.
수집 API: Chronicle 플랫폼에 직접 로그를 보낼 수 있는 API로 고객 환경에서 하드웨어나 소프트웨어를 추가로 사용할 필요가 없습니다.
서드파티 통합: Office 365 및 Azure AD와 같은 소스를 비롯한 로그 수집을 지원하기 위해 서드파티 클라우드 API와 통합합니다.
데이터 분석
Chronicle의 분석 기능은 간단한 브라우저 기반 애플리케이션으로 보안 전문가에게 제공됩니다. 이러한 기능 중 대부분은 읽기 API를 통해 프로그래매틱 방식으로 액세스할 수도 있습니다. Chronicle은 분석가가 잠재적 위협을 발견할 때 어떤 위협인지, 무엇을 하고 있는지, 중요한지, 어떻게 대응하는 것이 최선인지를 판단할 수 있는 방법을 제공합니다.
보안 및 규정 준수
핵심 Google 인프라를 기반으로 하는 특수한 비공개 레이어인 Chronicle은 컴퓨팅 및 스토리지 기능은 물론 해당 인프라의 보안 설계 및 기능을 상속합니다.
보안 설계의 일환으로 Chronicle은 사용자 인증 정보(예시: Chronicle 피드가 서드파티 API에서 로그 데이터를 수집할 수 있도록 제공하는 사용자 인증 정보)를 Secret Manager에 저장합니다.
Chronicle 기능
검색
- 원시 로그 스캔: 파싱되지 않은 원시 로그를 검색합니다.
- 정규 표현식: 정규 표현식을 사용하여 파싱되지 않은 원시 로그를 검색합니다.
조사 보기
- 엔터프라이즈 통계: 조사가 가장 필요한 도메인과 애셋을 표시합니다.
- 애셋 뷰: 기업 내 애셋을 조사하고 의심스러운 도메인과 관련되었는지 여부를 확인합니다.
- IP 주소 뷰: 기업 내 특정 IP 주소와 해당 주소가 애셋에 미치는 영향을 조사합니다.
- 해시 뷰: 해시 값을 기준으로 파일을 검색하고 조사합니다.
- 도메인 뷰: 기업 내 특정 도메인과 해당 도메인이 애셋에 미치는 영향을 조사합니다.
- 사용자 뷰: 보안 관련 활동으로 영향을 받았을 수 있는 기업 내 사용자를 조사합니다.
- 절차적 필터링: 이벤트 유형, 로그 소스, 네트워크 연결 상태, 최상위 도메인(TLD) 등 애셋에 대한 정보를 세부적으로 조정합니다.
선별된 정보
- 애셋 통계 블록: 추가 조사가 필요할 수 있는 도메인 및 알림을 강조표시합니다.
- 보급률 그래프: 지정된 기간 동안 애셋이 연결된 도메인 수를 보여줍니다.
- 인기 있는 보안 제품의 알림
Detection Engine
Chronicle Detection Engine을 사용하면 데이터에서 보안 문제 검색 프로세스를 자동화할 수 있습니다. 모든 수신 데이터를 검색하고 기업에 잠재적 위협과 알려진 위협이 표시되면 이를 알리는 규칙을 지정할 수 있습니다.
VirusTotal
Chronicle에서 VirusTotal을 실행하여 VT 컨텍스트를 클릭해 애셋, 도메인 또는 IP 주소를 추가로 조사할 수 있습니다.