고가치 리소스 세트 정의 및 관리

이 페이지에서는 리소스 값 구성을 생성, 수정, 삭제, 확인하는 방법을 보여줍니다.

리소스 값 구성을 사용하여 가치가 높은 리소스 세트를 만듭니다. 가치가 높은 리소스 세트는 공격 경로 시뮬레이션에서 가치가 높은 리소스로 간주되는 리소스 인스턴스(리소스라고 함)를 결정합니다.

Google Cloud의 리소스에 대한 리소스 값 구성을 정의하거나 Security Command Center의 엔터프라이즈 등급이 있는 경우 Security Command Center가 연결된 다른 클라우드 서비스 제공업체의 리소스에 대한 리소스 값 구성을 정의할 수 있습니다.

공격 경로 시뮬레이션을 실행하면 공격 경로를 식별하고 고가치 리소스로 지정된 리소스와 Vulnerability 클래스, Misconfiguration 클래스, Toxic combination 클래스 발견 항목에 대한 공격 노출 점수를 계산합니다.

공격 경로 시뮬레이션은 하루에 4회(6시간마다) 실행할 수 있습니다. 조직이 성장함에 따라 시뮬레이션에는 시간이 오래 걸리지만 항상 하루에 한 번 이상 실행됩니다. 시뮬레이션 실행은 리소스 또는 리소스 값 구성의 생성, 수정, 삭제에 의해 트리거되지 않습니다.

고가치 리소스 세트 및 리소스 값 구성에 대한 소개는 고가치 리소스 세트를 참조하세요.

시작하기 전에

리소스 값 구성을 보고 사용하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

리소스 값 구성 만들기

Google Cloud 콘솔의 Security Command Center 설정 페이지에서 공격 경로 시뮬레이션 탭을 사용하여 리소스 값 구성을 만듭니다.

리소스 값 구성을 만들려면 클라우드 서비스 제공업체의 탭을 클릭하고 다음 단계를 따르세요.

Google Cloud

  1. Security Command Center 설정공격 경로 시뮬레이션 페이지로 이동합니다.

    설정으로 이동

  2. 조직을 선택합니다. 공격 경로 시뮬레이션 페이지가 열립니다.

  3. 새 구성 만들기를 클릭합니다. 리소스 값 구성 만들기 패널이 열립니다.

  4. 이름 필드에 이 리소스 값 구성의 이름을 지정합니다.

  5. (선택사항) 구성에 대한 설명을 입력합니다.

  6. 클라우드 제공업체에서 Google Cloud를 선택합니다.

  7. 범위 선택 필드에서 선택을 클릭하고 프로젝트 브라우저를 사용하여 프로젝트, 폴더 또는 조직을 선택합니다. 이 구성은 지정된 범위의 리소스 인스턴스에만 적용됩니다.

  8. 리소스 유형 선택 필드에서 필드를 클릭하여 드롭다운 메뉴를 표시하고 리소스 유형 또는 모두를 선택합니다. 이 구성은 지정된 리소스 유형의 인스턴스에 적용됩니다. 모두를 선택하면 지원되는 모든 리소스 유형의 인스턴스에 적용됩니다. 기본값은 모두입니다.

  9. (선택사항) 라벨 섹션에서 라벨 추가를 클릭하여 하나 이상의 라벨을 지정합니다. 라벨이 지정되면 메타데이터에 라벨이 포함된 리소스에만 구성이 적용됩니다.

    리소스에 새 라벨을 적용할 경우 구성에서 일치에 라벨을 사용할 수 있기까지 몇 시간이 걸릴 수 있습니다.

  10. (선택사항) 태그 섹션에서 태그 추가를 클릭하여 하나 이상의 태그를 지정합니다. 태그를 지정하면 메타데이터에 태그가 포함된 리소스에만 구성이 적용됩니다.

    리소스에 새 태그를 정의하면 구성에서 일치에 태그를 사용할 수 있기까지 몇 시간이 걸릴 수 있습니다.

  11. 다음 옵션 중 하나를 지정하여 일치하는 리소스의 우선순위 값을 설정합니다.

    • (선택사항) Sensitive Data Protection 탐색 서비스를 사용하는 경우 Security Command Center를 사용 설정하여 Sensitive Data Protection의 데이터 민감도 분류를 기준으로 지원되는 데이터 리소스의 우선순위 값을 자동으로 설정하세요.

      1. Sensitive Data Protection의 탐색 통계 포함 옆에 있는 슬라이더를 클릭합니다.
      2. 첫 번째 리소스 값 할당 필드에서 민감도 높은 데이터가 포함된 일치하는 리소스에 할당할 우선순위 값을 선택합니다.
      3. 두 번째 리소스 값 할당 필드에서 중간 민감도 데이터가 포함된 일치하는 리소스에 할당할 우선순위 값을 선택합니다.
    • 리소스 값 선택 필드에서 리소스 인스턴스에 할당할 값을 선택합니다. 이 값은 고가치 리소스 세트의 다른 리소스 인스턴스에 상대적입니다. 이 값은 공격 노출 점수를 계산하는 동안 사용됩니다.

  12. 저장을 클릭합니다.

AWS

Security Command Center가 리소스 값 구성에 지정한 리소스의 공격 노출 점수와 공격 경로를 반환하려면 먼저 Security Command Center가 AWS에 연결되어 있어야 합니다. 자세한 내용은 멀티 클라우드 지원을 참조하세요.

  1. Security Command Center 설정공격 경로 시뮬레이션 페이지로 이동합니다.

    설정으로 이동

  2. 조직을 선택합니다. 공격 경로 시뮬레이션 페이지가 열립니다.

  3. 새 구성 만들기를 클릭합니다. 리소스 값 구성 만들기 패널이 열립니다.

  4. 이름 필드에 이 리소스 값 구성의 이름을 지정합니다.

  5. (선택사항) 구성에 대한 설명을 입력합니다.

  6. 클라우드 제공업체에서 Amazon Web Services를 선택합니다.

  7. (선택사항) 계정 ID 필드에 12자리 AWS 계정 ID를 입력합니다. 지정하지 않으면 리소스 값 구성이 AWS 연결 구성에 지정된 모든 AWS 계정에 적용됩니다.

  8. (선택사항) 리전 필드에 AWS 리전을 입력합니다. 예를 들면 us-east-1입니다. 지정하지 않으면 리소스 값 구성이 모든 AWS 리전에 적용됩니다.

  9. 리소스 유형 선택 필드에서 필드를 클릭하여 드롭다운 메뉴를 표시하고 리소스 유형 또는 모두를 선택합니다. 이 구성은 지정된 리소스 유형의 인스턴스에 적용됩니다. 모두를 선택하면 지원되는 모든 AWS 리소스 유형의 인스턴스에 적용됩니다. 기본값은 모두입니다.

  10. (선택사항) 태그 섹션에서 태그 추가를 클릭하여 하나 이상의 태그를 지정합니다. 태그를 지정하면 메타데이터에 태그가 포함된 리소스에만 구성이 적용됩니다.

    리소스에 새 태그를 정의하면 구성에서 일치에 태그를 사용할 수 있기까지 몇 시간이 걸릴 수 있습니다.

  11. 다음 옵션 중 하나를 지정하여 일치하는 리소스의 우선순위 값을 설정합니다.

    • (선택사항) Sensitive Data Protection 탐색 서비스를 사용하는 경우 Security Command Center를 사용 설정하여 Sensitive Data Protection의 데이터 민감도 분류를 기준으로 지원되는 AWS 데이터 리소스의 우선순위 값을 자동으로 설정하세요.

      1. Sensitive Data Protection의 탐색 통계 포함 옆에 있는 슬라이더를 클릭합니다.
      2. 첫 번째 리소스 값 할당 필드에서 민감도 높은 데이터가 포함된 일치하는 리소스에 할당할 우선순위 값을 선택합니다.
      3. 두 번째 리소스 값 할당 필드에서 중간 민감도 데이터가 포함된 일치하는 리소스에 할당할 우선순위 값을 선택합니다.
    • 리소스 값 선택 필드에서 리소스 인스턴스에 할당할 값을 선택합니다. 이 값은 고가치 리소스 세트의 다른 리소스 인스턴스에 상대적입니다. 이 값은 공격 노출 점수를 계산하는 동안 사용됩니다.

  12. 저장을 클릭합니다.

새 구성은 다음 공격 경로 시뮬레이션이 실행된 후에만 공격 노출 점수와 공격 경로에 반영됩니다.

고가치 리소스 세트를 보면 세트의 리소스와 일치하는 리소스 값 구성을 확인할 수 있습니다. 자세한 내용은 고가치 리소스와 일치하는 구성 보기를 참고하세요.

구성 수정

리소스 값 구성에서 이름을 제외한 모든 사양을 업데이트할 수 있습니다.

이 단계에서는 수정하려는 리소스 값 구성의 이름을 알고 있다고 가정합니다. 관련 리소스의 이름만 알고 있다면 고가치 리소스와 일치하는 구성 보기를 참고하세요.

기존 리소스 값 구성을 업데이트하려면 다음 단계를 따르세요.

  1. Security Command Center 설정공격 경로 시뮬레이션 페이지로 이동합니다.

    설정으로 이동

  2. 조직을 선택합니다. 기존 구성이 표시된 공격 경로 시뮬레이션 페이지가 열립니다.

  3. 구성 이름 열에서 업데이트해야 하는 구성의 이름을 클릭합니다. 리소스 값 구성 수정 페이지가 열립니다.

  4. 필요에 따라 구성의 사양을 업데이트합니다.

  5. (선택사항) 일치하는 리소스 미리보기를 클릭하여 업데이트된 구성 일치 항목과 일치하는 리소스 수와 개별 일치 리소스 인스턴스 목록을 확인합니다.

  6. 저장을 클릭합니다.

변경사항은 다음 공격 경로 시뮬레이션이 실행된 후에만 공격 노출 점수와 공격 경로에 반영됩니다.

구성 삭제

리소스 값 구성을 삭제하려면 다음 단계를 따르세요.

  1. Security Command Center 설정공격 경로 시뮬레이션 페이지로 이동합니다.

    설정으로 이동

  2. 조직을 선택합니다. 공격 경로 시뮬레이션 페이지가 열립니다.

  3. 삭제해야 하는 구성의 행 오른쪽에 있는 리소스 값 구성에서 세로 점을 클릭하여 작업 메뉴를 표시합니다. 세로 점이 표시되지 않으면 오른쪽으로 스크롤하세요.

  4. 표시된 작업 메뉴에서 삭제를 선택합니다.

  5. 확인 대화상자에서 확인을 선택합니다.

    구성이 삭제됩니다.

구성 보기

Security Command Center 설정공격 경로 시뮬레이션 페이지에서 모든 기존 리소스 값 구성을 볼 수 있습니다.

  1. 특정 리소스 값 구성을 보려면 공격 경로 시뮬레이션 페이지로 이동합니다.

    설정으로 이동

  2. 조직을 선택합니다. 공격 경로 시뮬레이션 페이지가 열립니다.

  3. 공격 경로 시뮬레이션 페이지의 리소스 값 구성에서 필요한 구성을 찾을 때까지 리소스 값 구성 목록을 스크롤합니다.

  4. 구성 속성을 보려면 구성 이름을 클릭합니다. 속성이 리소스 값 구성 수정 페이지에 표시됩니다.

가치가 높은 리소스와 일치하는 구성 보기

고가치 리소스 세트에 있는 리소스와 일치하는 모든 구성을 볼 수 있습니다. 이 기능은 가치가 높은 리소스 세트의 리소스 값을 결정한 규칙을 검토하는 데 유용합니다.

고가치 리소스와 일치하는 구성을 보려면 다음 단계를 따르세요.

  1. 중요도가 높은 리소스 세트 보기
  2. 구성을 보려는 리소스를 찾습니다. 해당 리소스의 일치하는 구성은 일치하는 구성 열에 나열됩니다. 구성은 리소스에 할당하는 리소스 값(High, Medium 또는 Low)에 따라 내림차순으로 나열됩니다.
  3. 구성의 속성을 보려면 구성 이름을 클릭합니다. 속성이 리소스 값 구성 수정 페이지에 표시됩니다.

    최근에 삭제된 구성은 다음 공격 경로 시뮬레이션이 실행될 때까지 계속 표시되지만 클릭할 수는 없습니다.

  4. 선택사항: 구성을 수정한 후 저장을 클릭합니다.

문제 해결

리소스 값 구성을 생성, 편집 또는 삭제한 후 오류가 발생하면 다음 단계에 따라 Google Cloud 콘솔에서 SCC Error 클래스 발견 항목을 확인합니다.

  1. Google Cloud 콘솔의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 빠른 필터 패널에서 발견 항목 클래스 섹션으로 스크롤하고 SCC 오류를 선택합니다.

  3. 발견 항목 쿼리 결과 패널에서 다음 SCC Error 발견 항목에 대한 발견 항목을 살펴보고 카테고리 이름을 클릭합니다.

    • APS no resource value configs match any resources
    • APS resource value assignment limit exceeded

    발견 항목 세부정보 패널이 열립니다.

  4. 발견 항목 세부정보 패널에서 다음 단계 섹션의 정보를 검토합니다.

문서에서 공격 경로 시뮬레이션 SCC Error 발견 항목에 대한 해결 안내를 검토하려면 다음을 참조하세요.

다음 단계

Security Command Center 발견 항목 사용에 대한 자세한 내용은 발견 항목 검토 및 관리를 참조하세요.