케이스 개요

이 문서에서는 Security Command Center Enterprise 등급의 케이스 개념을 설명하고 이를 사용하는 방법을 설명합니다.

케이스, 알림, 플레이북, 작업, 커넥터 기능은 Google Security Operations에서 제공합니다.

개요

Security Command Center에서 케이스 기능을 사용하여 발견 항목에 대한 세부정보를 가져오고, 알림에 플레이북을 연결하고, 자동 위협 응답을 적용하고, 해결할 상태 발견 항목을 정의할 수 있습니다. 케이스는 발견 항목을 조사하고 플레이북을 사용해서 위협에 대응하며 티켓팅 시스템을 사용해서 취약점 및 잘못된 구성을 완화하는 데 도움이 됩니다.

Security Command Center에서 케이스는 커넥터에서 수집한 여러 알림 및 관련 정보에 대한 상위 수준 컨테이너입니다. 알림이 하나 이상의 보안 관련 활동에 의해 트리거되고 플레이북을 통해 추가 정보를 수집하여 보강됩니다. 커넥터는 수집된 정보를 사용해서 새로운 수신 알림을 동일한 침입과 관련된 다른 알림과 함께 기존 미해결 케이스로 그룹화할 수 있는지 여부를 확인합니다.

케이스에 대한 자세한 내용은 Google SecOps 문서의 케이스 개요를 참조하세요.

발견 항목 흐름

Security Command Center Enterprise에는 발견 항목에 대한 두 가지 흐름이 있습니다.

  1. Security Command Center 위협 발견 항목은 보안 정보 및 이벤트 관리(SIEM) 모듈을 거칩니다. 내부 SIEM 규칙을 트리거한 후 발견 항목이 알림으로 전환됩니다.

    커넥터는 알림을 수집하여 보안 조정, 자동화, 대응(SOAR) 모듈에 수집합니다. 여기에서 플레이북은 케이스별로 그룹화된 알림을 처리하고 강화합니다.

  2. 취약점과 잘못된 구성으로 구성된 Security Command Center 상태 발견 항목은 SOAR로 직접 이동합니다. SCC Enterprise - 긴급 상태 발견 항목 커넥터가 상태 발견 항목을 수집하여 케이스에 알림으로 그룹화한 후 플레이북이 알림을 처리하고 보강합니다.

Security Command Center Enterprise에서 Security Command Center 발견 항목은 케이스 알림이 됩니다.

케이스 조사

수집 중에 발견 항목을 케이스로 그룹화하여 보안 전문가가 분류할 대상을 알 수 있도록 합니다.

매개변수가 동일한 여러 발견 항목이 하나의 케이스로 그룹화됩니다. 자세한 내용은 케이스의 발견 항목 그룹화를 참조하세요. Jira 또는 ServiceNow와 같은 티켓 시스템을 사용하는 경우 케이스별로 티켓이 생성됩니다. 즉, 한 케이스의 모든 발견 항목에 대해 티켓은 하나입니다.

발견 항목 심각도와 케이스 우선순위 비교

기본적으로 케이스에 포함된 모든 발견 항목에는 동일한 severity 속성이 포함됩니다. 심각도가 다른 발견 항목을 하나의 사례에 포함하도록 그룹화 설정을 구성할 수 있습니다.

케이스 우선순위는 최대 발견 항목 심각도를 기준으로 합니다. 자세한 내용은 다음 예시를 참조하세요.

  • 케이스 1: 우선순위: CRITICAL

    • 발견항목 1: 심각도: HIGH
    • 발견항목 2: 심각도: HIGH
    • 발견항목 3: 심각도: CRITICAL

  • 케이스 2: 우선순위: HIGH

    • 발견항목 1: 심각도: HIGH
    • 발견항목 2: 심각도: HIGH
    • 발견항목 3: 심각도: HIGH

케이스 검토

케이스를 검토하려면 다음 단계를 따르세요.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.
  2. 검토할 케이스를 선택합니다. 케이스 뷰가 열리고 알림에 대한 모든 정보 또는 선택한 케이스로 그룹화된 알림 모음과 함께 발견 항목 요약을 찾을 수 있습니다.
  3. 케이스에 수행된 활동과 포함된 알림에 대한 자세한 내용은 케이스 월 탭을 확인하세요.

  4. 발견 항목 개요를 보려면 알림 탭으로 이동합니다.

    알림 탭에는 다음 정보가 포함됩니다.

    • 알림 이벤트 목록
    • 알림에 연결된 플레이북
    • 발견 항목 개요
    • 영향을 받은 애셋에 대한 정보
    • (선택사항) 티켓 세부정보

티켓팅 시스템과 통합

취약점 및 구성 오류 발견 항목이 포함된 케이스에는 티켓팅 시스템을 통합하고 구성하는 경우에만 관련 티켓이 있습니다. 티켓팅 시스템을 통합하면 Security Command Center Enterprise가 상태 케이스를 기반으로 티켓을 만들고 동기화 작업을 사용하여 플레이북에서 수집한 모든 정보를 티켓 시스템에 전달합니다.

기본적으로 위협 발견 항목이 포함된 케이스에는 티켓팅 시스템을 Security Command Center Enterprise 인스턴스와 통합하더라도 관련 티켓이 없습니다. 위협 사례에 티켓을 사용하려면 작업을 추가하여 사용 가능한 플레이북을 맞춤설정하거나 새 플레이북을 만듭니다.

케이스 담당자 및 티켓 담당자

모든 발견 항목에는 특정 시점에 단일 리소스 소유자가 있습니다. 리소스 소유자는 Google Cloud 태그, 필수 연락처, 또는 SCC Enterprise - 긴급 상태 발견 항목 커넥터에 구성된 대체 소유자 매개변수 값을 사용하여 정의됩니다.

티켓팅 시스템을 통합하면 리소스 소유자는 기본적으로 티켓 담당자입니다. 자동 및 수동 티켓 할당에 대한 자세한 내용은 상태 케이스를 기준으로 티켓 할당을 참조하세요.

티켓 담당자는 발견 항목에 대해 작업하여 이를 해결합니다.

케이스 담당자는 Security Command Center Enterprise의 케이스에 작업하며 발견 항목을 분류하거나 완화하지 않습니다.

예를 들어 케이스 담당자는 엔지니어 (티켓 양수인)와 공동작업하고 케이스의 모든 알림이 해결되었는지 확인하는 위협 관리자 또는 다른 보안 전문가일 수 있습니다. 케이스 담당자는 티켓팅 시스템에서 작업하지 않습니다.

다음 단계

케이스에 대한 자세한 내용은 Google SecOps 문서의 다음 리소스를 참조하세요.