Google SecOps 플랫폼 이해

플랫폼 탐색 문서에 따라 SIEM 및 SOAR로 분할된 영역이 표시됩니다. 그 이유는 Google Security Operations 플랫폼에서 보안 정보 및 이벤트 관리(SIEM), 보안 조정, 자동화, 응답(SOAR)에 사용되는 도구를 제공하기 때문입니다. Google SecOps 플랫폼 일부는 SIEM 또는 SOAR에만 해당되므로 이러한 라벨이 지정됩니다.

Google SecOps 플랫폼에는 개별 검색 화면 2개가 있습니다.

SIEM 검색을 통해 UDM 검색 페이지로 이동할 수 있습니다. UDM 검색을 설정하면 Google Security Operations 인스턴스에서 통합 데이터 모델(UDM) 이벤트와 알림을 찾을 수 있습니다. 개별 UDM 이벤트 또는 공유 검색어에 연결된 UDM 이벤트 그룹을 검색할 수 있습니다. 또한 SOAR 커넥터와 웹훅에서 수집된 알림에 대한 정보도 검색에 포함되므로 고유한 전체 환경을 제공합니다. 자세한 내용은 SIEM 검색을 참조하세요.

SOAR 검색 화면은 케이스와 항목 등 두 가지 기본 영역에 초점을 맞춥니다. 이 화면에서 열리거나 닫힌 케이스 모두 또는 케이스와 관련된 항목을 검색할 수 있습니다. 더 자세히 알아보려면 찾는 항목으로 드릴다운하면 됩니다. 검색 결과에서 병합 케이스와 같은 일괄 작업을 수행할 수 있습니다. 자세한 내용은 SOAR 검색을 참조하세요.

SIEM 대시보드 및 SOAR 대시보드

SIEM 대시보드에 UDM 이벤트 데이터에 대한 정보가 표시됩니다. 여기에는 보안 원격 분석, 수집 측정항목, 감지, 알림, IOC 등이 포함됩니다. 자세한 내용은 SIEM 대시보드를 참조하세요.

SOAR 대시보드에는 케이스, 플레이북, SOC 분석가 데이터에 대한 정보가 표시됩니다. 새 대시보드를 만들어 다른 사용자와 공유할 수 있습니다. 자세한 내용은 SOAR 대시보드를 참조하세요.

SIEM 설정 및 SOAR 설정

대부분의 SOAR 관리 및 구성은 SOAR 설정 내에 있고 대부분의 SIEM 관리 및 구성은 SIEM 설정 내에 있습니다. 권한은 플랫폼 양측에 개별적으로 설정되며 서로 종속되지 않습니다. 예를 들어 SIEM 설정의 모든 모듈에 대한 전체 권한을 부여하는 동안 특정 사용자 그룹의 SOAR 설정에서 권한을 플레이북으로 제한할 수 있습니다.

하지만 전체 Google SecOps 플랫폼에 적용되는 몇 가지 설정이 있습니다. 이러한 플랫폼 전체 설정은 SOAR 설정에서 제어됩니다. 여기에는 모든 Google SecOps 플랫폼 사용자 그룹을 매핑하는 IDP 그룹 매핑 페이지와 각 사용자 그룹의 방문 페이지 선택을 정의하는 권한 그룹 페이지가 포함됩니다. Identity and Access Management(IAM)를 통해 관리되는 권한 변경사항은 즉시 적용됩니다. 그러나 SOAR 설정에서 관리되는 권한은 사용자가 다음에 플랫폼에 로그인할 때만 적용됩니다.

SIEM 설정에 대한 자세한 내용은 SIEM 설정을 참조하세요.

SOAR 설정에 대한 자세한 내용은 SOAR 설정을 참조하세요.

SecOps SIEM 및 서드 파티 SIEMS를 사용한 데이터 수집

Google SecOps 플랫폼은 기본 제공되는 SIEM 플랫폼(전달자와 데이터 피드를 사용하여 원시 로그 수집)을 사용하여 알림을 수집할 뿐만 아니라 SOAR > 커넥터 및 웹훅을 통해 서드 파티 SIEMS의 알림도 허용할 수 있습니다.

이를 통해 다른 SIEM과 자체 Google SecOps SIEM 제품을 유연하게 활용할 수 있습니다. 가능한 한 보다 원활한 제공을 위해 기본 제공되는 SIEM을 사용하는 것이 좋습니다.
기본 제공되는 SIEM 및 서드 파티 SIEMS 모두에서 수집된 알림을 케이스로 그룹화하여 케이스 관리 기능의 일부로 확인할 수 있습니다. 서드 파티 SIEM에서 수집된 알림을 플랫폼의 SIEM 측으로 전송하고 UDM 검색을 사용하여 볼 수 있지만 기본 제공되는 SIEM 규칙이 적용되지 않습니다.