고급 BigQuery 내보내기 사용

이 문서에서는 고급 BigQuery 내보내기 기능을 사용하여 BigQuery에서 Google SecOps 데이터에 액세스하고 사용하는 방법을 설명합니다. Enterprise Plus 고객은 이 기능을 사용하여 완전 관리형 스트리밍 데이터 파이프라인을 통해 거의 실시간으로 보안 데이터에 액세스할 수 있습니다. 이 기능을 사용하면 보안 운영에서 데이터 지연이라는 중요한 문제를 해결하고, 위협을 더 적시에 효과적으로 탐지하고 대응할 수 있습니다.

시작하기 전에

자격 요건과 필요한 조치를 정의하는 다음 사항을 검토하는 것이 좋습니다.

• Enterprise Plus 고객만 해당: 이 기능은 Google SecOps Enterprise Plus 고객에게만 제공됩니다. 다른 모든 고객은 자체 관리 Google Cloud 프로젝트에서 BigQuery로 데이터 내보내기 구성을 참고하세요.

• 기능 활성화 필요: 이 기능은 요청 시 사용 설정되며 조직의 Google SecOps 인스턴스에서 초기 구성이 필요할 수 있습니다. 필요한 경우 Google SecOps 담당자에게 문의하여 기능 사용 설정 여부를 확인하세요.

• 이전 알림: 이 기능을 활성화하면 BigQuery의 Google SecOps 데이터에 설명된 이전 방법이 재정의됩니다. 고급 BigQuery Export로 마이그레이션하는 동안 전환 기간 동안 이전 파이프라인이 활성 상태로 유지됩니다. 이 이중 작업은 중단 없이 새 기능으로 전환할 수 있도록 설계되었습니다. 계정의 이전 내보내기 파이프라인이 사용 중지되기 전에 알림이 전송됩니다.

기능 개요

고급 BigQuery 내보내기는 보안이 유지되고 Google에서 관리하는 BigQuery 프로젝트에서 통합 데이터 모델 (UDM) 이벤트, 규칙 감지, 침해 지표 (IoC) 일치 항목을 비롯한 필수 Google SecOps 데이터 세트를 자동으로 프로비저닝하고 관리합니다. BigQuery 연결 데이터 세트를 통해 이 데이터에 대한 보안 읽기 전용 액세스 권한을 얻을 수 있으며, 이 데이터 세트는 자체 Google Cloud 프로젝트에 직접 표시됩니다. 이 기능을 사용하면 데이터 파이프라인이나 스토리지를 관리하는 오버헤드 없이 로컬에 저장된 것처럼 보안 데이터를 쿼리할 수 있습니다.

Google SecOps는 다음 보안 데이터 카테고리를 BigQuery로 내보냅니다.

• UDM 이벤트 레코드: 고객이 수집한 로그 데이터로부터 생성된 UDM 레코드입니다. 이러한 레코드는 별칭 정보로 보강됩니다.
• 규칙 일치 (감지): 규칙이 하나 이상의 이벤트와 일치하는 인스턴스입니다.
• IoC 일치: IoC 피드와 일치하는 이벤트의 아티팩트 (예: 도메인 또는 IP 주소)입니다. 여기에는 전역 피드 및 고객별 피드에 대한 일치가 포함됩니다.
• 수집 측정항목: 수집된 로그 줄 수, 로그에서 생성된 이벤트 수, 로그를 파싱할 수 없음을 나타내는 로그 오류 수와 같은 통계입니다.
• 항목 그래프 및 항목 관계: 항목 설명 및 다른 항목과의 관계입니다.

주요 이점

고급 BigQuery 내보내기의 주요 이점은 다음과 같습니다.

• 거의 실시간 데이터 업데이트: 스트리밍 아키텍처를 사용하면 수집 후 몇 분 이내에 보안 데이터를 쿼리할 수 있습니다. UDM 이벤트, 규칙 감지, IoC 일치는 예상 지연 시간 5~10분으로 사용할 수 있습니다.
• 간소화되고 예측 가능한 비용 모델: Google SecOps는 관리 BigQuery 프로젝트 내의 모든 데이터 수집 및 스토리지 비용을 부담합니다. 조직은 쿼리를 실행할 때 발생하는 BigQuery 분석 비용만 부담합니다.
• 유지보수가 필요 없는 데이터 액세스: 기본 인프라는 Google에서 완전 관리하므로 팀에서 데이터 엔지니어링이 아닌 데이터 분석에 집중할 수 있습니다.

일반적인 사용 사례

고급 BigQuery 내보내기는 임시 조사, 맞춤 분석, 비즈니스 인텔리전스 도구와의 통합을 위해 최신 보안 데이터에 직접 고성능으로 액세스해야 하는 보안 분석가, 위협 추적자, 데이터 과학자, 보안 엔지니어를 위해 설계되었습니다.

Advanced BigQuery Export의 일반적인 사용 사례는 다음과 같습니다.

• BigQuery에서 직접 임시 쿼리를 실행합니다.
• Microsoft Power BI와 같은 자체 비즈니스 인텔리전스 도구를 사용해서 대시보드, 보고서, 분석을 만듭니다.
• Google SecOps 데이터를 서드 파티 데이터 세트와 조인합니다.

아키텍처

고급 BigQuery 내보내기 아키텍처는 연속 스트리밍 파이프라인을 사용합니다. Google SecOps 인스턴스의 데이터는 높은 처리량의 BigQuery Storage Write API를 사용하여 Google에서 관리하는 보안 테넌트 프로젝트로 푸시됩니다.

Google SecOps는 BigQuery 공유를 사용하여 안전한 데이터 등록정보를 만들고 액세스 권한을 제공합니다. BigQuery 탐색기 창에서 Google Cloud 프로젝트가 이 목록을 자동으로 구독하며, 이 목록은 secops_linked_data 연결된 데이터 세트로 표시됩니다.

이 모델은 강력한 데이터 격리를 지원하면서 원활한 읽기 전용 쿼리 액세스를 제공합니다.

고급 BigQuery 내보내기 사용

이 섹션에서는 BigQuery에서 Google SecOps 데이터에 액세스하고 사용하는 방법을 설명합니다.

주요 용어 및 개념

다음은 고급 BigQuery 내보내기의 몇 가지 주요 용어와 개념입니다.

• 연결된 데이터 세트: 다른 프로젝트의 공유 데이터 세트에 대한 심볼릭 링크 또는 포인터 역할을 하는 읽기 전용 BigQuery 데이터 세트입니다. 데이터를 복사하지 않고도 데이터를 쿼리할 수 있으므로 데이터 제공업체가 물리적 스토리지를 관리하는 동안 안전하게 액세스할 수 있습니다.
• BigQuery 공유: 조직이 BigQuery 데이터 세트와 같은 데이터 및 분석 애셋을 내부 및 외부에서 안전하게 공유할 수 있도록 지원하는 Google Cloud 서비스입니다.
• 테넌트 프로젝트: Google SecOps가 소유하고 관리하는 Google Cloud 프로젝트입니다. 이 프로젝트는 내보낸 보안 데이터가 물리적으로 저장되고 관리되는 위치입니다. 이 프로젝트에 직접 액세스할 수 없습니다.
• 프로젝트: 조직에서 소유하고 Google SecOps 인스턴스에 연결하는 Google Cloud 프로젝트입니다. 연결된 데이터 세트가 표시되고 쿼리를 실행하며 분석 비용이 발생하는 프로젝트입니다.
• 프로젝트 ID: 프로젝트의 전역 고유 식별자입니다.
• 통합 데이터 모델 (UDM): 수백 개의 공급업체 제품에서 보안 원격 분석 데이터를 일관된 형식으로 파싱하고 정규화하기 위한 Google의 확장 가능한 표준 스키마입니다.

시스템 설정

다음 단계에 따라 고급 BigQuery 내보내기를 사용하도록 시스템을 설정하고 데이터를 쿼리하세요.

1. 라이선스 확인: 조직에 Google SecOps Enterprise Plus 라이선스가 있는지 확인합니다.
2. 프로젝트 식별: Google Cloud 콘솔에 로그인하고 Google SecOps 인스턴스에 연결된 Google Cloud 프로젝트를 선택합니다.
3. 연결된 데이터 세트 찾기: BigQuery 콘솔에서 탐색기 창을 사용하여 프로젝트의 리소스로 이동합니다. secops_linked_data이라는 연결된 데이터 세트가 표시됩니다. 이 데이터 세트는 Google SecOps에서 관리하는 실시간 보안 데이터에 대한 읽기 전용 포인터입니다.

4. ID 및 액세스 관리 (IAM) 권한 확인: 데이터를 쿼리하려면 사용자 또는 서비스 계정에 프로젝트에 대한 다음 IAM 역할이 부여되어 있어야 합니다.

   • roles/bigquery.dataViewer
   • roles/bigquery.jobUser

   이러한 역할을 통해 사용자 (예: 보안 분석가 및 데이터 소비자)는 연결된 데이터 세트에서 데이터를 쿼리하고 프로젝트 내에서 BigQuery 작업을 실행할 수 있습니다.

5. 테스트 쿼리 실행: BigQuery SQL 작업공간을 열고 기본 쿼리를 실행하여 액세스가 올바르게 구성되었는지 확인합니다. 다음 코드 스니펫을 사용할 수 있습니다 (PROJECT_ID를 실제 Google Cloud 프로젝트 ID로 바꿈).

   SELECT *
   FROM `PROJECT_ID.secops_linked_data.events`
   LIMIT 10;
   

BigQuery 데이터 쿼리

BigQuery에서 직접 쿼리를 실행하거나 Microsoft Power BI와 같은 자체 비즈니스 인텔리전스 도구를 BigQuery에 연결할 수 있습니다.

쿼리에 대한 자세한 내용은 다음을 참고하세요.

• BigQuery에서 쿼리에 액세스하고 쿼리를 실행하는 방법에 대한 자세한 내용은 쿼리 실행을 열고 대화형 쿼리를 실행하고 일괄 쿼리를 실행하는 방법을 알아보세요.
• 파티션을 나눈 테이블을 쿼리하는 방법은 파티션을 나눈 테이블 쿼리를 참조하세요.

BigQuery의 데이터 보관 기간

BigQuery의 데이터 보관 기간은 Google SecOps 테넌트에 대해 구성된 데이터 보관 기간과 동일합니다. BigQuery의 데이터 보관 정책을 맞춤설정할 수 있는 별도의 구성 가능한 설정은 없습니다. 데이터는 테넌트의 보관 기간이 지나면 BigQuery 테이블에서 자동으로 삭제됩니다.

연결된 데이터 세트

연결된 데이터 세트에는 여러 테이블이 포함되어 있으며 각 테이블은 서로 다른 유형의 보안 데이터에 해당합니다.

다음 표에는 사용 가능한 데이터 세트, 목표 데이터 업데이트 빈도, 데이터 무결성을 보장하는 데 사용되는 기본 키가 요약되어 있습니다.

샘플 쿼리

다음 예에서는 일반적인 보안 사용 사례에 대해 데이터 세트를 쿼리하는 방법을 보여줍니다. PROJECT_ID를 실제 Google Cloud 프로젝트 ID로 바꿔야 합니다.

예—지난 24시간 동안 특정 IP 주소에서 발생한 모든 네트워크 연결 찾기

이 쿼리는 events 테이블에서 의심스러운 IP 주소의 최근 네트워크 활동을 검색합니다.

SELECT
  metadata.product_event_type,
  principal.ip,
  target.ip,
  network.application_protocol
FROM
  `PROJECT_ID.secops_linked_data.events`
WHERE
  principal.ip = '192.0.2.1'
  AND metadata.event_timestamp > TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 24 HOUR);

예 - 가장 빈번한 상위 10개 규칙 감지 수

rule_detections 테이블에 대한 이 쿼리는 환경에서 감지된 가장 일반적인 위협 또는 정책 위반을 식별하는 데 도움이 됩니다.

SELECT
  rule_name,
  COUNT(*) AS detection_count
FROM
  `PROJECT_ID.secops_linked_data.rule_detections`
WHERE
  detection.id IS NOT NULL
GROUP BY
  1
ORDER BY
  2 DESC
LIMIT
  10;

권장사항

다음은 고급 BigQuery 내보내기로 쿼리하는 몇 가지 권장사항입니다.

• 비용 최적화: SELECT *를 사용하지 마세요. 쿼리에서 필요한 열만 지정하여 스캔되는 데이터의 양을 줄이고 쿼리 비용을 낮춥니다.
• 파티션 필터 사용: events 테이블은 hour_time_bucket 열을 기준으로 파티션이 나뉩니다. 이 열에 항상 WHERE 절 필터를 포함하여 쿼리를 가능한 가장 작은 시간 범위로 제한하세요. 이렇게 하면 성능이 크게 향상되고 비용이 절감됩니다.
• 효율적인 쿼리 작성: UDM 스키마는 광범위하고 희소합니다. 특정 이벤트 유형을 효율적으로 필터링하려면 관련 필드에 WHERE... IS NOT NULL를 사용하세요. 예를 들어 DNS 쿼리만 찾으려면 WHERE network.dns.questions.name IS NOT NULL를 필터링합니다.
• 쿼리 검증: 쿼리를 실행하기 전에 BigQuery UI의 쿼리 검사기를 사용합니다. 쿼리 검사기는 데이터 처리량을 추정하여 예상치 못한 대규모의 비용이 많이 드는 쿼리를 방지하는 데 도움이 됩니다.

알려진 제한사항

다음은 고급 BigQuery 내보내기 기능의 알려진 제한사항입니다.

• 엔티티 그래프 지연 시간: entity_graph 데이터 세트는 일괄 처리 프로세스를 사용하여 내보내지며 데이터 업데이트 빈도는 약 4시간입니다.
• 고객 관리 암호화 키 (CMEK): Google SecOps 인스턴스에서 CMEK를 사용 설정한 고객은 고급 BigQuery 내보내기를 사용할 수 없습니다.
• UDM 스키마 열: BigQuery는 테이블당 열을 10,000개로 제한합니다. UDM 스키마에는 27,000개가 넘는 필드가 포함되어 있으며 필드가 드물게 채워져 있습니다. 내보내기 파이프라인은 특정 이벤트에 대해 채워진 열만 지능적으로 포함하므로 대부분의 고객은 한도를 훨씬 밑돌게 됩니다. Google SecOps는 열 사용량을 모니터링하고 이 기준점에 가까워지면 테넌트 프로젝트의 한도 상향을 사전에 요청합니다.
• 보관 정책: BigQuery로 내보낸 모든 보안 데이터의 데이터 보관 기간은 Google SecOps 프로젝트의 데이터 보관 기간과 자동으로 동기화되며 별도로 구성할 수 없습니다.
• 지연된 데이터: 드물지만 데이터가 처리 파이프라인에 크게 늦게 도착하는 경우 데이터가 올바르게 병합되지 않을 수 있습니다. 시스템은 이를 최소화하도록 설계되었지만, eventual consistency를 사용하는 처리량이 많은 스트리밍 시스템의 알려진 특징입니다.
• 보강된 데이터: 보증 범위는 일회성으로 보강된 UDM 이벤트로 제한됩니다. 다시 보강된 UDM 이벤트는 테넌트 프로젝트의 BigQuery 인스턴스로 내보내지지 않습니다.
• 이전 데이터: 데이터 내보내기는 고급 BigQuery Export가 사용 설정된 시점부터 시작되며 이전 데이터는 기존 프로젝트에서 계속 액세스할 수 있습니다. 고급 BigQuery 내보내기를 활성화하기 전에 내보낸 데이터를 쿼리하려면 두 프로젝트의 데이터를 조인하는 단일 쿼리를 사용하거나 각 프로젝트에서 별도의 쿼리 두 개를 실행해야 합니다 (이전 데이터 세트용 하나, 새 데이터 세트용 하나).

문제 해결 및 지원

다음 표에는 발생할 수 있는 일반적인 문제의 해결 방법이 나와 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.