네이티브 대시보드 개요
이 문서에서는 Google Security Operations의 네이티브 대시보드 기능을 사용하여 다양한 데이터 소스에 대한 시각화를 빌드하는 방법을 설명합니다. YARA-L 2.0 속성을 사용하여 채워지는 여러 차트로 구성됩니다.
시작하기 전에
Google SecOps 인스턴스에 다음이 사용 설정되어 있는지 확인합니다.
네이티브 대시보드를 사용하기 전에 대시보드 데이터를 효과적으로 보고 상호작용할 수 있는 올바른 Identity and Access Management (IAM) 역할과 구성이 설정되어 있는지 확인하는 것이 좋습니다.
프로젝트를 구성 Google Cloud 하거나 Google SecOps 인스턴스를 기존 클라우드 프로젝트로 이전합니다.
Google Cloud ID 공급업체 또는 서드 파티 ID 공급업체를 구성합니다.
필요한 IAM 권한
네이티브 대시보드에 액세스하려면 다음 권한이 필요합니다.
| IAM 권한 | 목적 |
|---|---|
chronicle.nativeDashboards.list |
모든 네이티브 대시보드 목록 보기 |
chronicle.nativeDashboards.get |
네이티브 대시보드를 보고 대시보드 필터를 적용하고 전역 필터를 적용합니다. |
chronicle.nativeDashboards.create |
새 네이티브 대시보드를 만듭니다. |
chronicle.nativeDashboards.duplicate |
기존 대시보드의 사본을 만듭니다. |
chronicle.nativeDashboards.update |
차트 추가 및 수정, 필터 추가, 대시보드 액세스 변경, 전역 시간 필터 관리 |
chronicle.nativeDashboards.delete |
네이티브 대시보드를 삭제합니다. |
네이티브 대시보드 이해하기
기본 대시보드는 보안 이벤트, 감지, 관련 데이터에 대한 유용한 정보를 제공합니다. 이 섹션에서는 지원되는 데이터 소스를 간략히 설명하고 역할 기반 액세스 제어 (RBAC)가 대시보드 내의 공개 상태 및 데이터 액세스에 미치는 영향을 설명합니다.
지원되는 데이터 소스
네이티브 대시보드에는 다음과 같은 데이터 소스가 포함되며 각 데이터 소스에는 해당하는 YARA-L 접두사가 있습니다.
| 데이터 소스 | 쿼리 시간 간격 | YARA-L 접두사 | 스키마 |
|---|---|---|---|
| 이벤트 | 90일 | no prefix |
필드 |
| 항목 그래프 | 365일 | graph |
필드 |
| 처리 측정항목 | 365일 | ingestion |
필드 |
| 규칙 세트 | 365일 | ruleset |
필드 |
| 감지 | 365일 | detection |
필드 |
| IOC | 365일 | ioc |
필드 |
데이터 RBAC의 영향
데이터 역할 기반 액세스 제어 (RBAC)는 개별 사용자 역할을 사용하여 조직 내 데이터에 대한 사용자 액세스를 제한하는 보안 모델입니다. 데이터 RBAC를 사용하면 관리자가 범위를 정의하고 사용자에게 할당하여 액세스가 직무 기능에 필요한 데이터로만 제한되도록 할 수 있습니다. 기본 대시보드의 모든 쿼리는 데이터 RBAC 규칙을 따릅니다. 액세스 제어 및 범위에 관한 자세한 내용은 데이터 RBAC의 액세스 제어 및 범위를 참고하세요.
감지 및 분석
효과적인 위협 감지는 이벤트, 항목 관계, IOC 일치를 분석하는 데 달려 있습니다. 이 섹션에서는 감지의 작동 방식, 항목 그래프가 조사에 도움이 되는 방식, 규칙 집합이 감지를 개선하는 방식을 설명합니다.
이벤트, 항목 그래프, IOC 일치
이러한 소스에서 반환되는 데이터는 사용자에게 할당된 액세스 범위로 제한되므로 승인된 데이터의 결과만 표시됩니다. 사용자에게 여러 범위가 있는 경우 할당된 모든 범위의 데이터가 쿼리에 포함됩니다. 사용자가 액세스할 수 있는 범위 외부의 데이터는 검색 결과에 표시되지 않습니다.
감지 및 감지가 포함된 규칙 세트
수신되는 보안 데이터가 규칙에 정의된 기준과 일치하면 감지가 생성됩니다. 사용자는 할당된 범위와 연결된 규칙에서 발생한 감지만 볼 수 있습니다.
고급 기능 및 모니터링
감지를 미세 조정하고 가시성을 개선하려면 YARA-L 2.0 규칙 및 처리 측정항목과 같은 고급 구성을 사용하면 됩니다. 이 섹션에서는 이러한 기능 통계를 살펴보고 감지 효율성을 최적화하고 데이터 처리를 모니터링하는 방법을 알아봅니다.
YARA-L 2.0 속성
YARA-L 2.0은 네이티브 대시보드에서 사용될 때 다음과 같은 고유한 속성을 갖습니다.
대시보드에서는 항목 그래프, 처리 측정항목, 규칙 세트, 감지 등 추가 데이터 소스를 사용할 수 있습니다. 이러한 데이터 소스 중 일부는 아직 YARA-L 규칙 및 통합 데이터 모델 (UDM) 검색에서 사용할 수 없습니다.
Google Security Operations 기본 대시보드용 YARA-L 2.0 함수 및 통계 측정항목을 포함하는 집계 함수를 참고하세요.
YARA-L 2.0의 쿼리에는
match또는outcome섹션 또는 둘 다 포함되어야 합니다.YARA-L 규칙의
events섹션은 암시되며 쿼리에서 선언할 필요가 없습니다.대시보드에서는 YARA-L 규칙의
condition섹션을 사용할 수 없습니다.
처리 측정항목
처리 구성요소는 소스 로그 피드에서 플랫폼으로 로그를 가져오는 서비스 또는 파이프라인입니다. 각 처리 구성요소는 자체 처리 측정항목 스키마 내에서 특정 로그 필드 집합을 수집합니다. 이 측정항목은 전 세계 사용자에게만 표시됩니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.