Event Threat Detection 개념 개요

>

Event Threat Detection이란?

Event Threat Detection은 조직을 지속적으로 모니터링하고 시스템 내에서 위협을 실시간으로 파악하여 Security Command Center 프리미엄 등급의 기본 서비스입니다. 클라우드 범위에서 새로운 위협을 식별하기 위해 새로운 감지기를 통해 Event Threat Detection이 정기적으로 업데이트됩니다.

Event Threat Detection 작동 방식

Event Threat Detection는 조직의 Cloud Logging 스트림을 모니터링하고 하나 이상의 프로젝트에 대한 로그를 사용할 수 있을 때 로그를 사용합니다. 로그 항목에는 Event Threat Detection이 위협을 빠르게 감지하는 데 사용하는 상태 및 이벤트 정보가 포함됩니다. Event Threat Detection은 감지 로직과 독점 위협 인텔리전스를 로그에 포함된 상세 정보에 적용합니다. Event Threat Detection은 위협을 감지하면 Security Command Center 및 Cloud Logging 프로젝트에 이 발견 항목을 기록합니다.

Cloud Logging에서 Pub/Sub를 사용하여 발견 항목을 다른 시스템으로 내보내고 Cloud Functions로 처리할 수 있습니다.

규칙

규칙은 Event Threat Detection에서 감지하는 위협 유형을 정의합니다. 현재 Event Threat Detection에는 다음과 같은 기본 규칙이 포함됩니다.

표시 이름 API 이름 로그 소스 유형 설명
외부 테이블에 대한 유출 org_exfiltration Cloud 감사 로그 보호되는 조직에서 소유한 리소스로서 복사 또는 전송 작업 등 조직 외부에 저장된 리소스를 감지합니다.
VPC 경계 위반 vpc_perimeter_violation Cloud 감사 로그 VPC 서비스 제어로 보호되는 BigQuery 리소스에 대한 액세스를 감지합니다.
멀웨어: 잘못된 도메인 malware_bad_domain virtual private cloud(VPC) 흐름 로그
Cloud DNS 로그
알려진 잘못된 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다.
멀웨어: 잘못된 IP malware_bad_ip VPC 흐름 로그
방화벽 규칙 로그
알려진 잘못된 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다.
암호화폐 채굴: 풀 도메인 cryptomining_pool_domain VPC 흐름 로그
Cloud DNS 로그
알려진 마이닝 도메인과의 연결 또는 조회를 기반으로 암호화를 감지합니다.
암호화폐 채굴: 풀 IP cryptomining_pool_ip VPC 흐름 로그
방화벽 규칙 로그
알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다.
무작위 공격 SSH brute_force_ssh syslog 호스트에서 SSH의 성공적인 무차별 공격을 감지합니다.
발신 DoS outgoing_dos VPC 흐름 로그 발신 서비스 거부 트래픽을 감지합니다.
IAM: 비정상적인 권한 부여 iam_anomalous_grant Cloud 감사 로그 조직의 구성원이 아닌 ID 및 액세스 관리(IAM) 사용자 및 서비스 계정에 부여된 권한을 감지합니다. 참고: 현재 이 발견 항목은 gmail.com 이메일 주소가 있는 Security Command Center 사용자에게만 트리거됩니다.
IAM: 비정상적인 IP 위치정보
미리보기
iam_anomalous_ip_geolocation Cloud 감사 로그 요청하는 IP 주소의 위치정보를 기반으로 비정상적인 위치에서 Google Cloud에 액세스하는 Identity and Access Management(IAM) 사용자를 감지합니다.
IAM: 비정상적인 사용자 에이전트
미리보기
iam_anomalous_user_agent Cloud 감사 로그 비정상적인 사용자 에이전트에서 Google Cloud에 액세스하는 Identity and Access Management(IAM) 사용자를 감지합니다.
서비스 계정 자체 조사
미리보기
service_account_self_investigation Cloud 감사 로그 서비스 계정 사용자 인증 정보가 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사요오디면 이를 감지합니다.

커스텀 감지 규칙을 만들려면 로그 데이터를 BigQuery에 저장한 다음 위협 모델을 캡처하는 고유 또는 반복 SQL 쿼리를 실행합니다.

로그 유형

Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. 로그는 기본적으로 사용 중지되어 있으며 사용자가 생성해야 할 로그와 액세스할 수 있는 제품을 결정할 수 있습니다. 하지만 Event Threat Detection을 사용하려면 Event Threat Detection에서 완전한 가시성을 확보해야 할 조직, 폴더, 프로젝트의 로그를 사용 설정해야 합니다.

현재 Event Threat Detection에서는 다음 Google Cloud 소스의 로그를 사용합니다. 아래 링크의 안내에 따라 각 소스에 로그를 사용 설정하세요.

Virtual Private Cloud 흐름 로그 활성화

Event Threat Detection은 멀웨어, 피싱, 암호화폐 채굴, 아웃바운드 DDoS, 아웃바운드 포트 스캔 감지에 대한 Virtual Private Cloud(VPC) 흐름 로그를 분석합니다. Event Threat Detection는 VPC 흐름 로깅이 활성 상태일 때 가장 잘 작동합니다. VPC 흐름 로그 자세히 알아보기

Event Threat Detection는 빈번한 샘플링 및 짧은 집계 간격에서 가장 잘 작동합니다. 샘플링 레이트를 낮게 설정하거나 집계 간격을 길게 설정하면 이벤트의 발생과 감지 사이에 지연이 발생할 수 있습니다. 이러한 지연으로 인해 잠재적인 멀웨어, 암호화폐 채굴, 피싱 트래픽 증가를 평가하기가 더 어려워질 수 있습니다.

Cloud DNS 로그 활성화

Event Threat Detection은 멀웨어, 피싱, 암호화폐 채굴 감지에 대한 DNS 로그를 분석합니다. Event Threat Detection는 Cloud DNS 로깅이 활성 상태일 때 가장 잘 작동합니다. Cloud DNS 로그 자세히 알아보기

다음 단계