Chronicle Security Operations 개요

Chronicle Security Operations는 Google 인프라를 기반으로 하는 특수한 레이어로 빌드된 클라우드 서비스이며, 기업이 생성하는 방대한 보안 및 네트워크 원격 분석을 비공개로 유지, 분석, 검색할 수 있도록 설계되었습니다.

Chronicle은 데이터를 정규화하고, 색인을 생성하고, 상관관계를 지정하고 분석하며, 위험한 활동에 대한 즉각적인 분석과 컨텍스트를 제공합니다. Chronicle을 사용하면 기업 워크플로, 응답, 조정 플랫폼을 지원하는 사전 빌드된 통합을 사용해서 위협을 감지하고, 이러한 위협의 범위 및 원인을 조사하고, 해결 방법을 제공할 수 있습니다.

Chronicle SecOps를 사용하면 몇 달 혹은 그 이상에 해당하는 기간 동안 회사에서 집계된 보안 정보를 검사할 수 있습니다. Chronicle을 사용하여 기업 내에서 액세스하는 모든 도메인을 검색하세요. 특정 애셋, 도메인 또는 IP 주소로 검색 범위를 좁혀 보안 침해가 발생했는지 확인할 수 있습니다.

보안 분석가는 Chronicle SecOps 플랫폼의 다음 기능을 통해 수명 주기 전반에 걸쳐서 보안 위협을 분석하고 해결할 수 있습니다.

  • 수집: 전달자, 파서, 커넥터, 웹훅을 사용해서 플랫폼에 데이터를 수집합니다.
  • 감지: 이러한 데이터는 범용 데이터 모델(UDM)을 사용해서 집계 및 정규화되고 감지 및 위협 인텔리전스에 연결됩니다.
  • 조사: 케이스 관리, 검색, 공동작업, 컨텍스트 인식 분석을 통해 위협을 조사합니다.
  • 응답: 보안 분석가가 자동화된 플레이북 및 사고 관리 기능을 통해 빠르게 응답하고 해결 방법을 제공할 수 있습니다.

데이터 수집

Chronicle Security Operations에서는 다음과 같은 다양한 방법을 통해 다양한 보안 원격 분석 유형을 수집할 수 있습니다.

  • 전달자: 고객의 네트워크에 배포된 경량 소프트웨어 구성요소로, syslog, 패킷 캡처, 기존 로그 관리 또는 보안 정보 및 이벤트 관리(SIEM) 데이터 저장소를 지원합니다.

  • 수집 API: Chronicle Security Operations 플랫폼에 직접 로그를 보낼 수 있는 API로 고객 환경에서 하드웨어나 소프트웨어를 추가로 사용할 필요가 없습니다.

  • 서드파티 통합: Office 365 및 Azure AD와 같은 소스를 비롯한 로그 수집을 지원하기 위해 서드파티 클라우드 API와 통합합니다.

위협 분석

Chronicle Security Operations의 분석 기능은 간단한 브라우저 기반 애플리케이션으로 보안 전문가에게 제공됩니다. 이러한 기능 중 대부분은 읽기 API를 통해 프로그래매틱 방식으로 액세스할 수도 있습니다. Chronicle은 분석가가 잠재적 위협을 발견했을 때 추가 분석을 수행하고 최적의 대응 방법을 결정할 수 있는 방법을 제공합니다.

Chronicle Security Operations 기능 요약

이 섹션에서는 Chronicle Security Operations에서 사용 가능한 일부 기능에 대해 설명합니다.

  • UDM 검색: Chronicle 인스턴스 내에서 통합 데이터 모델(UDM) 이벤트 및 알림을 찾을 수 있습니다.
  • 원시 로그 스캔: 파싱되지 않은 원시 로그를 검색합니다.
  • 정규 표현식: 정규 표현식을 사용하여 파싱되지 않은 원시 로그를 검색합니다.

케이스 관리

관련된 알림을 케이스별로 그룹화하고, 분류 및 우선순위 선별을 위해 케이스 큐를 정렬 및 필터링하고, 모든 케이스, 케이스 감사 및 보고에 대한 공동작업을 쉽게 수행할 수 있습니다.

플레이북 디자이너

사전 정의된 작업을 선택하고 이를 플레이북 캔버스에 끌어 놓는 방식으로 추가 코드 없이 플레이북을 빌드할 수 있습니다. 또한 플레이북을 사용하면 각 알림 유형 및 각 SOC 역할에 대해 전용 뷰를 만들 수 있습니다. 케이스 관리는 특정 알림 유형 및 사용자 역할에 관련된 데이터만 제공합니다.

그래프 조사 담당자

공격 주체, 대상, 시간을 시각화하고, 위협 공격 기회를 식별하고, 전체 상황을 파악하고, 조치를 취할 수 있습니다.

대시보드 및 보고

작업을 효과적으로 측정 및 관리하고, 이해관계자에게 가치를 입증하고, 실시간 SOC 측정항목 및 KPI를 추적할 수 있습니다. 기본 제공되는 대시보드 및 보고서를 사용하거나 자체 도구를 빌드할 수 있습니다.

통합 개발 환경(IDE)

코딩 기술이 있는 보안팀은 기존 플레이북 작업을 수정 및 강화하고, 코드를 디버깅하고, 기존 통합을 위한 새 작업을 빌드하고, Chronicle SOAR Marketplace에서 제공되지 않는 통합을 만들 수 있습니다.

조사 뷰

  • 애셋 뷰: 기업 내 애셋을 조사하고 의심스러운 도메인과 관련되었는지 여부를 확인합니다.
  • IP 주소 뷰: 기업 내 특정 IP 주소와 해당 주소가 애셋에 미치는 영향을 조사합니다.
  • 해시 뷰: 해시 값을 기준으로 파일을 검색하고 조사합니다.
  • 도메인 뷰: 기업 내 특정 도메인과 해당 도메인이 애셋에 미치는 영향을 조사합니다.
  • 사용자 뷰: 보안 관련 활동으로 영향을 받았을 수 있는 기업 내 사용자를 조사합니다.
  • 절차적 필터링: 이벤트 유형, 로그 소스, 네트워크 연결 상태, 최상위 도메인(TLD) 등 애셋에 대한 정보를 세부적으로 조정합니다.

강조 표시된 정보

  • 애셋 통계 블록은 추가 조사가 필요할 수 있는 도메인 및 알림을 강조 표시합니다.
  • 보급률 그래프는 지정된 기간 동안 애셋이 연결된 도메인 수를 보여줍니다.
  • 다른 인기 보안 제품의 알림을 제공합니다.

감지 엔진

Chronicle Detection Engine을 사용하면 데이터에서 보안 문제 검색 프로세스를 자동화할 수 있습니다. 모든 수신 데이터를 검색하고 기업에 잠재적 위협과 알려진 위협이 표시되면 이를 알리는 규칙을 지정할 수 있습니다.

액세스 제어

사전 정의된 역할을 적용하고 새 역할을 구성하여 Chronicle 인스턴스 내에 저장된 데이터 클래스, 알림, 이벤트에 대한 액세스를 제어할 수 있습니다. Identity and Access Management는 Chronicle에 대한 액세스 제어를 제공합니다.