이 문서에서는 Security Command Center Enterprise 등급의 케이스 개념을 설명하고 이를 사용하는 방법을 설명합니다.
케이스, 알림, 플레이북, 작업, 커넥터 기능은 Google Security Operations에서 제공합니다.
개요
Security Command Center에서 케이스 기능을 사용하여 발견 항목에 대한 세부정보를 가져오고, 알림에 플레이북을 연결하고, 자동 위협 응답을 적용하고, 해결할 상태 발견 항목을 정의할 수 있습니다. 케이스는 발견 항목을 조사하고, 플레이북을 사용하여 위협에 대응하며, 티켓팅 시스템을 사용하여 취약점 및 잘못된 구성을 완화하는 데 도움이 됩니다.
Security Command Center에서 케이스는 커넥터에서 수집한 여러 알림 및 관련 정보에 대한 상위 수준 컨테이너입니다. 알림은 하나 이상의 보안 관련 활동에 의해 트리거되고 플레이북을 통해 추가 정보를 수집하여 보강됩니다. 커넥터는 수집된 정보를 사용해서 새로운 수신 알림을 동일한 침입과 관련된 다른 알림과 함께 기존 미해결 케이스로 그룹화할 수 있는지 여부를 확인합니다.
케이스에 대한 자세한 내용은 Google SecOps 문서의 케이스 개요를 참조하세요.
발견 항목 흐름
Security Command Center Enterprise에는 발견 항목에 대한 두 가지 흐름이 있습니다.
Security Command Center 위협 발견 항목은 보안 정보 및 이벤트 관리(SIEM) 모듈을 거칩니다. 내부 SIEM 규칙을 트리거한 후 발견 항목이 알림으로 전환됩니다.
커넥터는 알림을 수집하여 보안 조정, 자동화, 대응(SOAR) 모듈에 수집합니다. 여기에서 플레이북은 케이스별로 그룹화된 알림을 처리하고 강화합니다.
취약점 및 잘못된 구성으로 이루어진 Security Command Center 상태 발견 항목은 SOAR 모듈로 직접 이동합니다. SCC Enterprise - Urgent Posture Findings 커넥터가 상태 발견 항목을 수집하고 알림으로 케이스에 그룹화하면 플레이북이 알림을 처리하고 보강합니다.
Security Command Center Enterprise에서 Security Command Center 발견 항목은 케이스 알림이 됩니다.
케이스 조사
수집 중에 보안 전문가가 분류할 대상을 알 수 있도록 발견 항목이 케이스로 그룹화됩니다.
매개변수가 동일한 여러 발견 항목이 하나의 케이스로 그룹화됩니다. 발견 항목 그룹화 메커니즘에 대한 자세한 내용은 케이스의 발견 항목 그룹화를 참조하세요. Jira 또는 ServiceNow와 같은 티켓 시스템을 사용하는 경우 케이스별로 티켓이 생성됩니다. 즉, 한 케이스의 모든 발견 항목에 대해 티켓은 하나입니다.
발견 항목 상태
발견 항목은 다음과 같은 상태일 수 있습니다.
활성: 발견 항목이 활성 상태입니다.
숨김: 발견 항목이 활성 상태이고 숨겨졌습니다. 케이스의 모든 발견 항목이 숨겨지면 케이스가 종료됩니다. 케이스의 발견 항목 숨기기에 대해 자세히 알아보려면 케이스에서 발견 항목 숨기기를 참조하세요.
종료됨: 발견 항목이 비활성 상태입니다.
발견 항목 상태는 케이스 개요 탭의 발견 항목 상태 위젯과 알림의 발견 항목 요약 위젯에 표시됩니다.
티켓팅 시스템과 통합하는 경우 동기화 작업을 사용 설정하여 발견 항목 및 해당 상태에 대한 정보를 자동으로 최신 상태로 유지하고 케이스 데이터를 관련 티켓과 동기화합니다. 케이스 데이터 동기화에 대한 자세한 내용은 케이스 데이터 동기화 사용 설정을 참조하세요.
발견 항목 심각도와 케이스 우선순위 비교
기본적으로 케이스에 포함된 모든 발견 항목에는 동일한 severity 속성이 포함됩니다. 심각도가 서로 다른 발견 항목을 하나의 케이스에 포함하도록 그룹화 설정을 구성할 수 있습니다.
케이스 우선순위는 가장 높은 발견 항목 심각도를 기준으로 합니다. 발견 항목 심각도가 변경되면 Security Command Center는 케이스의 모든 발견 항목 중 가장 높은 심각도 속성과 일치하도록 케이스 우선순위를 자동으로 업데이트합니다. 발견 항목 숨기기는 케이스 우선순위에 영향을 주지 않습니다. 숨겨진 발견 항목의 심각도가 가장 높은 경우 이를 기준으로 케이스 우선순위가 정의됩니다.
다음 예시에서는 발견 항목 3(숨겨진 경우에도) 심각도가 '중요'로 설정되었기 때문에 케이스 1의 우선순위가 '중요'입니다.
- 케이스 1: 우선순위:
CRITICAL- 발견 항목 1, 활성. 심각도:
HIGH - 발견 항목 2, 활성. 심각도:
HIGH - 발견 항목 3, 숨김. 심각도:
CRITICAL
- 발견 항목 1, 활성. 심각도:
다음 예시에서는 모든 발견 항목 중 가장 높은 심각도가 높음이므로 케이스 2의 우선순위가 높음입니다.
- 케이스 2: 우선순위:
HIGH- 발견 항목 1, 활성. 심각도:
HIGH - 발견 항목 2, 활성. 심각도:
HIGH - 발견 항목 3, 숨김. 심각도:
HIGH
- 발견 항목 1, 활성. 심각도:
케이스 검토
케이스를 검토하려면 다음 단계를 따르세요.
- 보안 운영 콘솔에서 케이스로 이동합니다.
- 검토할 케이스를 선택합니다. 케이스 뷰가 열리고 알림에 대한 모든 정보 또는 선택한 케이스로 그룹화된 알림 모음과 함께 발견 항목 요약을 찾을 수 있습니다.
- 케이스에 대해 수행된 활동과 포함된 알림에 대한 자세한 내용은 케이스 월 탭을 확인하세요.
발견 항목 개요를 보려면 알림 탭으로 이동합니다.
알림 탭에는 다음 정보가 포함됩니다.
- 알림 이벤트 목록
- 알림에 연결된 플레이북
- 발견 항목 개요
- 영향을 받은 애셋에 대한 정보
- (선택사항) 티켓 세부정보
티켓팅 시스템과 통합
기본적으로 티켓팅 시스템은 Security Command Center Enterprise와 통합되어 있지 않습니다.
취약점 및 잘못된 구성 발견 항목이 포함된 케이스에는 티켓팅 시스템을 통합하고 구성하는 경우에만 관련 티켓이 있습니다. 티켓팅 시스템을 통합하면 Security Command Center Enterprise가 상태 케이스를 기반으로 티켓을 만들고 동기화 작업을 사용하여 플레이북에서 수집한 모든 정보를 티켓 시스템에 전달합니다.
기본적으로 위협 발견 항목이 포함된 케이스는 티켓팅 시스템을 Security Command Center Enterprise 인스턴스와 통합하더라도 관련 티켓이 없습니다. 위협 케이스에 티켓을 사용하려면 작업을 추가하여 사용 가능한 플레이북을 맞춤설정하거나 새 플레이북을 만듭니다.
케이스 담당자와 티켓 담당자 비교
모든 발견 항목은 특정 시점에 단일 리소스 소유자가 있습니다. 리소스 소유자는 Google Cloud 태그, 필수 연락처, 또는 SCC Enterprise - Urgent Posture Findings 커넥터에 구성된 대체 소유자 매개변수 값을 사용하여 정의됩니다.
티켓팅 시스템을 통합하면 기본적으로 티켓 담당자가 리소스 소유자가 됩니다. 자동 및 수동 티켓 할당에 대한 자세한 내용은 상태 케이스를 기준으로 티켓 할당을 참조하세요.
티켓 담당자는 발견 항목을 해결하는 일을 담당합니다.
케이스 담당자는 Security Command Center Enterprise의 케이스를 담당하며 발견 항목을 분류하거나 완화하지 않습니다.
예를 들어 케이스 담당자는 엔지니어 (티켓 양수인)와 공동작업하고 케이스의 모든 알림이 해결되었는지 확인하는 위협 관리자 또는 다른 보안 전문가일 수 있습니다. 케이스 담당자는 티켓팅 시스템을 담당하지 않습니다.
다음 단계
케이스에 대한 자세한 내용은 Google SecOps 문서의 다음 리소스를 참조하세요.