Google Security Operations 개요
Google Security Operations는 Google 인프라를 기반으로 하는 특수한 레이어로 빌드된 클라우드 서비스로, 기업이 생성하는 방대한 양의 보안 및 네트워크 원격 분석을 비공개로 보관, 분석, 검색할 수 있도록 설계되었습니다.
Google Security Operations는 데이터를 정규화하고 색인을 생성하고 상관관계를 지정하고 분석하며 위험한 활동에 대한 즉각적인 분석과 컨텍스트를 제공합니다. Google Security Operations는 사전 빌드된 기업 워크플로, 응답, 조정 플랫폼과의 통합을 사용하여 위협을 감지하고 이러한 위협의 범위와 원인을 조사하고 해결 방법을 제공하는 데 사용될 수 있습니다.
Google SecOps를 사용하면 몇 달 혹은 그 이상에 해당하는 기간 동안 기업에서 집계한 보안 정보를 검사할 수 있습니다. Google Security Operations를 사용하여 기업 내에서 액세스하는 모든 도메인을 검색합니다. 특정 애셋, 도메인 또는 IP 주소로 검색 범위를 좁혀 침해가 발생했는지 확인할 수 있습니다.
보안 분석가는 Google SecOps 플랫폼의 다음 기능을 사용하여 수명 주기 전반에 걸쳐 보안 위협을 분석하고 완화할 수 있습니다.
- 수집: 전달자, 파서, 커넥터, 웹훅을 사용하여 데이터를 플랫폼에 수집합니다.
- 감지: 이러한 데이터는 범용 데이터 모델(UDM)을 통해 집계 및 정규화되고 감지 및 위협 인텔리전스에 연결됩니다.
- 조사: 케이스 관리, 검색, 공동작업, 컨텍스트 인식 분석을 통해 위협을 조사합니다.
- 응답: 보안 분석가는 자동화된 플레이북과 사고 관리 기능을 사용하여 빠르게 응답하고 해결 방법을 제공할 수 있습니다.
데이터 수집
Google Security Operations는 다음을 포함한 다양한 방법을 통해 여러 보안 원격 분석 유형을 수집할 수 있습니다.
전달자: 고객의 네트워크에 배포된 경량 소프트웨어 구성요소로, syslog, 패킷 캡처, 기존 로그 관리 또는 보안 정보 및 이벤트 관리(SIEM) 데이터 저장소를 지원합니다.
수집 API: 로그를 직접 Google Security Operations 플랫폼에 보낼 수 있는 API로, 고객 환경에 하드웨어나 소프트웨어를 추가할 필요가 없습니다.
서드 파티 통합: Office 365 및 Azure AD와 같은 소스를 포함하여 로그를 용이하게 수집하도록 서드 파티 클라우드 API와 통합합니다.
위협 분석
Google Security Operations 분석 기능은 브라우저 기반 애플리케이션으로 제공됩니다. 읽기 API를 통해 프로그래매틱 방식으로 이러한 기능 대부분에 액세스할 수도 있습니다. Google Security Operations는 잠재적 위협을 발견했을 때 분석가에게 추가로 조사하고 최적의 대응 방법을 결정하는 방법을 제공합니다.
Google Security Operations 기능 요약
이 섹션에서는 Google Security Operations에 사용할 수 있는 일부 기능을 설명합니다.
검색
- UDM 검색: Google Security Operations 인스턴스 내에서 통합 데이터 모델(UDM) 이벤트와 알림을 찾을 수 있습니다.
- 원시 로그 스캔: 파싱되지 않은 원시 로그를 검색합니다.
- 정규 표현식: 정규 표현식을 사용하여 파싱되지 않은 원시 로그를 검색합니다.
케이스 관리
관련된 알림을 케이스별로 그룹화하고 분류 및 우선순위 선별을 위해 케이스 큐를 정렬 및 필터링하고 모든 케이스, 케이스 감사 및 보고에 대한 공동작업을 수행할 수 있습니다.
플레이북 디자이너
사전 정의된 작업을 선택하고 플레이북 캔버스에 끌어 놓는 방식으로 추가 코딩 없이 플레이북을 빌드할 수 있습니다. 또한 플레이북을 사용하면 알림 유형과 SOC 역할마다 전용 뷰를 만들 수 있습니다. 케이스 관리는 특정 알림 유형과 사용자 역할에 관련된 데이터만 제공합니다.
그래프 조사 담당자
공격 주체, 대상, 시간을 시각화하고 위협 헌팅 기회를 식별하고 전체 상황을 파악하며 조치를 취할 수 있습니다.
대시보드 및 보고
작업을 효과적으로 측정 및 관리하고 이해관계자에게 가치를 입증하며 실시간 SOC 측정항목과 KPI를 추적할 수 있습니다. 기본 제공되는 대시보드와 보고서를 사용하거나 자체 도구를 빌드할 수 있습니다.
통합 개발 환경(IDE)
코딩에 익숙한 보안팀은 기존 플레이북 작업을 수정 및 강화하고 코드를 디버깅하고 기존 통합을 위한 새 작업을 빌드하며 Google Security Operations SOAR Marketplace에서 제공되지 않는 통합을 만들 수 있습니다.
조사 뷰
- 애셋 뷰: 기업 내 애셋과 해당 애셋이 의심스러운 도메인과 관련되어 있는지 여부를 조사합니다.
- IP 주소 뷰: 기업 내 특정 IP 주소와 해당 주소가 애셋에 미치는 영향을 조사합니다.
- 해시 뷰: 해시 값을 기준으로 파일을 검색하고 조사합니다.
- 도메인 뷰: 기업 내 특정 도메인과 해당 도메인이 애셋에 미치는 영향을 조사합니다.
- 사용자 뷰: 보안 관련 활동의 영향을 받았을 수 있는 기업 내 사용자를 조사합니다.
- 절차적 필터링: 이벤트 유형, 로그 소스, 네트워크 연결 상태, 최상위 도메인(TLD)을 포함한 애셋에 대한 정보를 미세 조정합니다.
강조 표시된 정보
- 애셋 통계 블록은 추가 조사가 필요할 수 있는 도메인과 알림을 강조 표시합니다.
- 보급률 그래프에서는 지정된 기간 동안 애셋이 연결된 도메인 수를 보여줍니다.
- 다른 인기 보안 제품의 알림을 제공합니다.
감지 엔진
Google Security Operations 감지 엔진을 사용하면 데이터에서 보안 문제 검색 프로세스를 자동화할 수 있습니다. 모든 수신 데이터를 검색하고 기업에 잠재적 위협과 알려진 위협이 표시되면 이를 알리는 규칙을 지정할 수 있습니다.
액세스 제어
사전 정의된 역할을 적용하고 새 역할을 구성하여 Google Security Operations 인스턴스 내에 저장된 데이터 클래스, 알림, 이벤트에 대한 액세스를 제어할 수 있습니다. Identity and Access Management는 Google Security Operations에 액세스 제어를 제공합니다.