- Google Security Operations를 사용한 고급 보안 운영
- Mandiant Attack Surface Management, Sensitive Data Protection, Assured OSS와 같은 다른 Google Cloud 제품과의 통합
- 멀티 클라우드 지원
- 위험 분석을 수행합니다.
Enterprise 등급 기능에 대한 설명은 Security Command Center 개요를 참조하세요.
Google Cloud 콘솔의 설정 가이드를 사용하여 Enterprise 등급의 활성화 프로세스를 완료합니다. 초기 필수 태스크 후에는 추가 태스크를 완료하여 조직에 필요한 선택적 기능을 설정할 수 있습니다.
가격 책정 및 구독에 대한 자세한 내용은 Security Command Center 가격 책정을 참조하세요.
다른 등급으로 Security Command Center를 활성화하는 방법은 조직에 Security Command Center 표준 등급 또는 프리미엄 등급 활성화를 참조하세요.
시작하기 전에
Security Command Center를 처음 활성화하기 전에 다음을 완료하세요.
- 활성화 계획
- 조직 만들기
- 관리 프로젝트 만들기
- 권한 및 API 구성
- 알림 연락처 구성
활성화 계획
이 섹션에서는 활성화를 준비하는 데 필요한 결정과 정보에 대해 설명합니다.
지원 담당자 확인
새 Google SecOps 인스턴스를 활성화할 때 회사 이름과 담당자 이메일 주소를 입력합니다. 조직의 담당자를 확인합니다. 이 구성은 필수 연락처와 관련이 없습니다.
Google SecOps 구성 선택
활성화 중에 Security Command Center Enterprise를 Google SecOps 인스턴스에 연결합니다.
기존 인스턴스에 연결
Security Command Center Enterprise를 기존 Google SecOps SIEM 독립형 또는 Google SecOps SOAR 독립형 인스턴스에 연결할 수 없습니다. 사용 중인 Google SecOps 인스턴스의 유형에 관해 궁금한 점이 있으면 Google Cloud 영업 담당자에게 문의하세요.
기존 Google SecOps 인스턴스를 선택하면 선택사항을 확인할 수 있도록 SecOps 인스턴스에 연결 페이지에 인스턴스 링크가 제공됩니다. 인스턴스를 확인하려면 해당 인스턴스에 액세스할 수 있어야 합니다.
인스턴스에 로그인하려면 관리 프로젝트에 대해 최소한 Chronicle API 제한된 데이터 액세스 뷰어 (roles/chronicle.restrictedDataAccessViewer
) 역할이 있어야 합니다.
새 인스턴스 프로비저닝
새 인스턴스를 프로비저닝하면 새 인스턴스만 Security Command Center와 연결됩니다. Security Command Center를 사용하면 Google Cloud 콘솔과 새로 프로비저닝된 Security Operations 콘솔 간에 이동할 수 있습니다.
활성화 중에 새 Google SecOps 인스턴스를 프로비저닝할 위치를 지정합니다. 지원되는 리전 및 멀티 리전의 목록은 SecOps 서비스 위치 페이지를 참고하세요. 이 위치는 다른 Security Command Center 기능이나 서비스가 아닌 Google SecOps에만 적용됩니다.
각 Google SecOps 인스턴스에는 사용자가 소유하고 관리하는 전용 관리 프로젝트가 있어야 합니다. 이 프로젝트는 Security Command Center Enterprise를 활성화한 조직과 동일한 조직에 있어야 합니다. 여러 Google SecOps 인스턴스에 동일한 관리 프로젝트를 사용할 수 없습니다.
기존 Google SecOps 인스턴스가 있고 Security Command Center Enterprise용 새 인스턴스를 프로비저닝하는 경우 두 인스턴스 모두 Google Cloud 데이터 직접 수집에 동일한 구성을 사용합니다. 동일한 구성 설정을 사용하여 두 Google SecOps 인스턴스 모두에 대한 처리를 제어하며 두 인스턴스는 동일한 데이터를 수신합니다.
Security Command Center Enterprise를 활성화하는 동안 활성화 프로세스는 Google Cloud 로그 처리 설정을 수정하여 모든 데이터 유형 필드(Google Cloud Logging, Cloud 애셋 메타데이터, Security Command Center Premium 발견 항목)를 사용 설정으로 설정합니다. 내보내기 필터 설정이 변경되지 않습니다. Security Command Center Enterprise에서 모든 기능이 설계된 대로 작동하려면 이러한 데이터 유형이 필요합니다. 활성화가 완료된 후 Google Cloud 로그 처리 설정을 변경할 수 있습니다.
조직 만들기
Security Command Center에는 도메인과 연결된 조직 리소스가 필요합니다. 조직을 만들지 않은 경우 조직 만들기 및 관리를 참고하세요.
조직이 여러 개인 경우 Security Command Center Enterprise를 활성화할 조직을 식별합니다. Security Command Center Enterprise를 활성화하려는 각 조직에 대해 다음 활성화 단계를 따라야 합니다.
관리 프로젝트 만들기
Security Command Center Enterprise에는 Google SecOps 및 Mandiant Attack Surface Management 통합을 위해 관리 프로젝트라는 프로젝트가 필요합니다. 이 프로젝트는 Security Command Center Enterprise 전용으로 사용하는 것이 좋습니다.
이전에 Google SecOps를 사용 설정한 후 기존 인스턴스에 연결하려면 Google SecOps에 연결된 기존 관리 프로젝트를 사용하세요.
새 Google SecOps 인스턴스를 프로비저닝하려면 새 인스턴스에 전용된 새 관리 프로젝트를 만듭니다. 다른 Google SecOps 인스턴스에 연결된 관리 프로젝트를 재사용하지 마세요.
프로젝트 만들기 및 관리에 대해 자세히 알아보세요.
권한 및 API 구성
이 섹션에서는 Security Command Center Enterprise를 설정하는 데 필요한 Identity and Access Management 역할을 나열하고 조직 및 관리 프로젝트에서 이를 부여하는 방법을 설명합니다. 또한 Security Command Center Enterprise 등급에 필요한 모든 API를 사용 설정하는 방법도 설명합니다. Security Command Center 역할 및 Google Cloud API에 대해 자세히 알아보세요.
조직의 권한 구성
Make sure that you have the following role or roles on the organization:
- Organization Administrator (
roles/resourcemanager.organizationAdmin
) - Cloud Asset Owner (
roles/cloudasset.owner
) - Security Center Admin (
roles/securitycenter.admin
) - Security Admin (
roles/iam.securityAdmin
) - Chronicle Service Viewer (
roles/chroniclesm.viewer
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM으로 이동 - 조직을 선택합니다.
- 액세스 권한 부여를 클릭합니다.
-
새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.
- 역할 선택 목록에서 역할을 선택합니다.
- 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
- 저장을 클릭합니다.
- Google Cloud 콘솔에서 Security Command Center Enterprise 등급을 활성화하려는 조직을 보고 있는지 확인합니다.
- 이전에 만든 프로젝트의 관리를 선택합니다.
-
Make sure that you have the following role or roles on the project:
- Service Usage Admin (
roles/serviceusage.serviceUsageAdmin
) - Service Account Token Creator (
roles/iam.serviceAccountTokenCreator
) - Chronicle API Admin (
roles/chronicle.admin
) - Chronicle Service Admin (
roles/chroniclesm.admin
) - Chronicle SOAR Admin (
roles/chronicle.soarAdmin
) - Service Account Key Admin (
roles/iam.serviceAccountKeyAdmin
) - Service Account Admin (
roles/iam.serviceAccountAdmin
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM으로 이동 - 프로젝트를 선택합니다.
- 액세스 권한 부여를 클릭합니다.
-
새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.
- 역할 선택 목록에서 역할을 선택합니다.
- 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
- 저장을 클릭합니다.
- Service Usage Admin (
-
Enable the Cloud Asset, Cloud Pub/Sub, Cloud Resource Manager, Compute Engine, Policy Analyzer, and Recommender APIs.
Google Cloud 콘솔에서 Security Command Center 위험 개요 페이지로 이동합니다.
Security Command Center Enterprise 등급을 활성화하려는 조직을 보고 있는지 확인합니다.
Security Command Center 페이지에서 Security Command Center 가져오기를 클릭합니다.
Security Command Center Enterprise 시작하기 페이지에서 구성할 서비스 계정 및 API를 검토한 후 Enterprise 활성화를 클릭합니다.
- 생성될 서비스 계정을 보려면 서비스 계정 및 권한 보기를 클릭합니다.
- 사용 설정할 API를 보려면 Security Command Center Enterprise API 보기를 클릭합니다.
- 이용약관을 보려면 Security Command Center Enterprise 이용약관을 클릭하세요.
Security Command Center Enterprise 시작하기 페이지가 표시되지 않으면 Google Cloud 영업팀에 문의하여 구독 자격이 활성 상태인지 확인하세요.
다음 페이지에는 환경에 따라 다른 뷰가 표시됩니다.
기존 Google SecOps 인스턴스가 있는 경우 기존 인스턴스를 사용하거나 새 인스턴스를 만들라는 메시지가 표시됩니다. 5단계로 이동하여 인스턴스 유형을 선택합니다.
기존 Google SecOps 인스턴스가 없는 경우 6단계로 이동하여 새 Google SecOps 인스턴스를 만듭니다.
다음 중 하나를 선택하여 새 인스턴스를 만들거나 기존 인스턴스를 사용합니다.
예, 기존 Google Security Operations 인스턴스에 연결을 선택한 다음 메뉴에서 인스턴스를 선택합니다. 7단계로 이동하여 활성화를 시작합니다.
메뉴에는 Security Command Center Enterprise를 활성화하는 조직과 연결된 Google SecOps 인스턴스가 표시됩니다. 각 항목에는 Google SecOps 고객 ID, 프로비저닝된 리전, 연결된 Google Cloud 프로젝트 이름이 포함됩니다. Security Command Center Enterprise와 호환되지 않는 인스턴스는 선택할 수 없습니다.
이 페이지에는 선택한 Google SecOps 인스턴스의 링크가 제공되므로 인스턴스를 확인할 수 있습니다. 인스턴스를 열 때 오류가 발생하면 인스턴스에 액세스하는 데 필요한 IAM 권한이 있는지 확인합니다.
아니요, 새 Google Security Operations 인스턴스 만들기를 선택한 후 6단계에 따라 새 Google SecOps 인스턴스 만들기를 계속 진행합니다.
새 Google SecOps 인스턴스를 만들려면 추가 설정 세부정보를 입력합니다.
회사 연락처 정보를 지정합니다.
- 기술 지원 담당자: 개인 이메일 주소 또는 그룹 이메일 주소를 입력합니다.
- 회사 이름: 회사 이름을 입력합니다.
Google Security Operations가 프로비저닝될 위치 유형을 선택합니다.
- 리전: 단일 리전을 선택합니다.
- 멀티 리전: 멀티 리전 위치를 선택합니다.
이 위치는 다른 Security Command Center 기능이 아닌 Google SecOps에만 사용됩니다. 지원되는 리전 및 멀티 리전의 목록은 SecOps 서비스 위치 페이지를 참고하세요.
다음을 클릭한 다음 전용 관리 프로젝트를 선택합니다. 이전 단계에서 전용 관리 프로젝트를 만들었습니다.
기존 Google SecOps 인스턴스에 연결된 프로젝트를 선택하면 활성화를 시작할 때 오류가 발생합니다.
활성화를 클릭합니다. 설정 가이드 페이지와 프로비저닝 상태가 표시됩니다. 보안 운영 기능이 준비되고 발견 항목이 제공될 때까지 다소 시간이 걸릴 수 있습니다.
Google Cloud 콘솔에서 Security Command Center 위험 개요 페이지로 이동합니다.
> 등급 세부정보로 이동합니다.
설정표시된 조직이 Security Command Center Enterprise 등급을 활성화한 조직인지 확인합니다.
설정 가이드 보기를 클릭합니다.
Amazon Web Services (AWS)를 사용 중이고 취약점 및 위험 평가를 위해 Security Command Center를 AWS에 연결하려면 3단계: Amazon Web Services (AWS) 통합 설정하기를 클릭합니다. 자세한 내용은 취약점 감지 및 위험 평가를 위해 AWS에 연결을 참조하세요.
보안 운영을 수행할 사용자 및 그룹을 추가하려면 4단계: 사용자 및 그룹 설정을 클릭합니다. 자세한 내용은 IAM을 사용하여 SecOps 기능에 대한 액세스 제어를 참조하세요.
보안 조정, 자동화, 응답(SOAR)을 구성하려면 5단계: 통합 구성을 클릭합니다. Google Security Operations 인스턴스의 설정에 따라 사용 사례가 이미 설치되어 있을 수 있습니다. 설치되지 않은 경우 계정 담당자 또는 Google Cloud 영업팀에 문의하세요. 티켓팅 시스템과 통합하려면 티켓팅 시스템과 Security Command Center Enterprise 통합을 참조하세요.
보안 정보 및 이벤트 관리(SIEM)에 대한 데이터 수집을 구성하려면 6단계: 로그 수집 구성을 클릭하세요. 선별된 감지 및 클라우드 인프라 사용 권한 관리와 같은 기능을 사용 설정하려면 데이터 수집을 구성해야 합니다. 자세한 내용은 로그 처리를 위해 AWS에 연결을 참고하세요.
Google Cloud 조직에서 민감한 정보를 모니터링하려면 Sensitive Data Protection 설정을 클릭합니다. 자세한 내용은 민감한 정보 탐색 사용 설정을 참고하세요.
코드 보안을 강화하려면 코드 보안 설정을 클릭하세요. 안내를 보려면 코드 보안을 위해 Assured OSS와 통합을 참조하세요.
- Security Command Center 발견 항목 작업 방법 알아보기
- Google Cloud 보안 소스 알아보기
- Google Security Operations의 선별된 감지 기능으로 위협 조사
Google SecOps를 확인하려면 다음 작업도 실행해야 합니다.
관리 프로젝트에서 권한 구성 및 API 사용 설정
알림 연락처 구성
보안 관리자가 중요한 알림을 수신할 수 있도록 필수 연락처를 구성합니다. 자세한 내용은 알림 연락처 관리를 참조하세요.
Security Command Center Enterprise 등급 활성화
활성화 프로세스에서는 Security Command Center Enterprise에 포함된 서비스 계정, 권한, 서비스를 자동으로 구성합니다. 기존 Google SecOps Standard, Enterprise 또는 Enterprise Plus 인스턴스에 연결하거나 새 인스턴스를 프로비저닝할 수 있습니다.
Google Cloud 콘솔에서 설정 가이드에 따라 추가 기능을 구성할 수 있습니다.
추가 Security Command Center 기능 구성
Google Cloud 콘솔의 설정 가이드는 6개의 단계와 추가 구성 권장사항으로 구성됩니다. Security Command Center를 활성화할 때 처음 두 단계를 완료합니다. 조직의 요구사항에 따라 이후에 나머지 단계 및 권장사항을 완료할 수 있습니다.