Event Threat Detection 개요

Event Threat Detection이란?

Event Threat Detection은 조직 또는 프로젝트를 지속적으로 모니터링하고 시스템 내에서 위협을 실시간으로 파악하여 Security Command Center 프리미엄 등급의 기본 서비스입니다. 클라우드 범위에서 새로운 위협을 식별하기 위해 새로운 감지기를 통해 Event Threat Detection이 정기적으로 업데이트됩니다.

Event Threat Detection 작동 방식

Event Threat Detection은 조직 또는 프로젝트의 Cloud Logging 스트림을 모니터링합니다. 조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Event Threat Detection에서 프로젝트 생성 시 프로젝트의 로그를 사용하고 Event Threat Detection에서 Google Workspace 로그를 모니터링할 수 있습니다. Cloud Logging에는 API 호출과 리소스 구성 또는 메타데이터를 만들거나, 읽거나, 수정하는 기타 작업에 대한 로그 항목이 포함됩니다. Google Workspace 로그는 도메인에 대한 사용자 로그인을 추적하고 Google Workspace 관리자 콘솔에서 수행되는 작업들에 대한 기록을 제공합니다.

로그 항목에는 Event Threat Detection이 위협을 빠르게 감지하는 데 사용하는 상태 및 이벤트 정보가 포함됩니다. Event Threat Detection은 tripwire 표시기 매칭, 기간별 프로파일링, 고급 프로파일링, 머신러닝, 이상 감지 등 독점 위협 인텔리전스와 감지 로직을 적용하여 거의 실시간으로 위협을 식별합니다.

Event Threat Detection에서 위협을 감지하면 Security Command Center에 발견 항목을 기록합니다. 조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Security Command Center가 Cloud Logging 프로젝트에 발견 항목을 기록할 수 있습니다. Cloud Logging 및 Google Workspace 로깅에서 Pub/Sub을 사용하여 발견 항목을 다른 시스템으로 내보내고 Cloud Functions로 처리할 수 있습니다.

조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Chronicle을 추가로 사용하여 일부 발견 항목을 조사할 수 있습니다. Chronicle은 통합 타임라인에서 위협을 조사하고 관련 항목을 피벗할 수 있게 해주는 Google Cloud 서비스입니다. Cronicle에 발견 항목을 보내는 방법은 Chronicle의 발견 항목 조사를 참조하세요.

발견 항목 및 로그를 보고 수정하는 기능은 사용자에게 부여된 Identity and Access Management(IAM) 역할에 따라 결정됩니다. Security Command Center IAM 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.

Event Threat Detection 규칙

규칙은 Event Threat Detection에서 감지하는 위협의 유형과 감지기가 작동하려면 사용 설정해야 하는 로그 유형을 정의합니다. 관리자 활동 감사 로그는 항상 기록되며 구성을 변경하거나 사용 중지할 수 없습니다.

Event Threat Detection에는 다음과 같은 기본 규칙이 포함됩니다.

표시 이름	API 이름	로그 소스 유형	설명
활성 스캔: RCE에 취약한 Log4j	사용할 수 없음	Cloud DNS 로그 참고: 이 규칙을 사용하려면 Cloud DNS 로깅을 사용 설정해야 합니다.	지원되는 Log4j 취약점 스캐너에서 시작한 난독화되지 않은 도메인의 DNS 쿼리를 식별하여 활성 Log4j 취약점을 감지합니다.
무작위 공격 SSH	`BRUTE_FORCE_SSH`	authlog	호스트에서 SSH의 성공적인 무작위 공격을 감지합니다.
사용자 인증 정보 액세스: 권한 있는 그룹에 추가된 외부 구성원	`EXTERNAL_MEMBER_ADDED_TO_PRIVILEGED_GROUP`	Google Workspace 로그: 로그인 감사 권한: `DATA_READ`	외부 구성원이 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)에 추가되는 이벤트를 감지합니다. 새로 추가된 구성원과 동일한 조직의 외부 구성원이 그룹에 아직 추가되지 않은 경우에만 발견 항목이 생성됩니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요. 발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
사용자 인증 정보 액세스: 공개로 설정된 권한이 있는 그룹	`PRIVILEGED_GROUP_OPENED_TO_PUBLIC`	Google Workspace: 관리 감사 권한: `DATA_READ`	권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)이 일반 대중에 액세스 가능하도록 변경되는 이벤트를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요. 발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할	`SENSITIVE_ROLE_TO_GROUP_WITH_EXTERNAL_MEMBER`	Cloud 감사 로그: 관리자 활동 로그	외부 구성원이 있는 Google 그룹에 민감한 역할이 부여되는 이벤트를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요. 발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
방어 회피: VPC 서비스 제어 수정	`DEFENSE_EVASION_MODIFY_VPC_SERVICE_CONTROL`	Cloud 감사 로그 VPC 서비스 제어 감사 로그	경계에서 제공하는 보호 효과를 저해하는 기존 VPC 서비스 제어 경계의 변경사항을 감지합니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
검색: 민감한 Kubernetes 객체 확인 가능	`GKE_CONTROL_PLANE_CAN_GET_SENSITIVE_OBJECT`	Cloud 감사 로그: GKE 데이터 액세스 로그	잠재적인 악의적 행위자가 `kubectl auth can-i get` 명령어를 사용하여 쿼리할 수 있는 GKE의 민감한 객체를 확인하려고 시도했습니다. 특히 규칙은 행위자가 다음 객체에 대한 API 액세스를 확인했는지 여부를 감지합니다. `*`(전체) `cluster-admin` `ClusterRole` `cluster-admin` `ClusterRoleBinding` `Secret`
탐색: 서비스 계정 자체 조사	`SERVICE_ACCOUNT_SELF_INVESTIGATION`	Cloud 감사 로그: Resource Manager 데이터 액세스 로그 권한: `DATA_READ`	동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되는 IAM 서비스 계정 사용자 인증 정보 감지. 민감한 역할 ^미리보기 발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.
삭제: 익명처리 프록시에서 액세스	`ANOMALOUS_ACCESS`	Cloud 감사 로그: 관리자 활동 로그	Tor IP 주소와 같은 익명 프록시 IP 주소에서 시작된 Google Cloud 서비스 수정 감지.
유출: BigQuery 데이터 무단 반출	`DATA_EXFILTRATION_BIG_QUERY`	Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그 권한: `DATA_READ`	다음 시나리오를 감지합니다. 보호되는 조직에서 소유한 리소스로서 복사 또는 전송 작업 등 조직 외부에 저장된 리소스. VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 시도.
유출: BigQuery 데이터 추출	`DATA_EXFILTRATION_BIG_QUERY_EXTRACTION`	Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그 권한: `DATA_READ`	다음 시나리오를 감지합니다. 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 조직 외부의 Cloud Storage 버킷에 저장됩니다. 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 조직에서 소유한 공개적으로 액세스 가능한 Cloud Storage 버킷에 저장됩니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
유출: Google Drive에 대한 BigQuery 데이터	`DATA_EXFILTRATION_BIG_QUERY_TO_GOOGLE_DRIVE`	Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그 권한: `DATA_READ`	다음을 감지합니다. 보호되는 조직에서 소유한 BigQuery 리소스는 추출 작업을 통해 Google Drive 폴더에 저장됩니다.
유출: Cloud SQL 데이터 무단 반출	`CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS`	Cloud 감사 로그: MySQL 데이터 액세스 로그 PostgreSQL 데이터 액세스 로그 SQL Server 데이터 액세스 로그	다음 시나리오를 감지합니다. 조직 외부의 Cloud Storage 버킷으로 내보내는 실시간 인스턴스 데이터 조직에서 소유하고 공개적으로 액세스할 수 있는 Cloud Storage 버킷으로 내보내는 실시간 인스턴스 데이터 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
유출: 외부 조직으로 Cloud SQL 복원 백업	`CLOUDSQL_EXFIL_RESTORE_BACKUP_TO_EXTERNAL_INSTANCE`	Cloud 감사 로그: MySQL 관리자 활동 로그 PostgreSQL 관리자 활동 로그 SQL Server 관리자 활동 로그	Cloud SQL 인스턴스 백업이 조직 외부의 인스턴스로 복원되는 이벤트를 감지합니다.
유출: Cloud SQL 초과 권한 부여	`CLOUDSQL_EXFIL_USER_GRANTED_ALL_PERMISSIONS`	Cloud 감사 로그: PostgreSQL 데이터 액세스 로그 참고: 이 규칙을 사용하려면 pgAudit 확장 프로그램을 사용 설정해야 합니다.	PostgreSQL용 Cloud SQL 사용자나 역할이 데이터베이스 또는 스키마의 모든 테이블, 절차, 함수에 대해 모든 권한을 부여받은 이벤트를 감지합니다.
초기 액세스: 사용자 테이블에 대한 데이터베이스 수퍼유저 작성	`CLOUDSQL_SUPERUSER_WRITES_TO_USER_TABLES`	Cloud 감사 로그: PostgreSQL용 Cloud SQL 데이터 액세스 로그 MySQL용 Cloud SQL 데이터 액세스 로그 참고: MySQL에서 이 규칙을 사용하려면 PostgreSQL용 pgAudit 확장 프로그램 또는 MySQL용 데이터베이스 감사를 사용 설정해야 합니다.	Cloud SQL 수퍼유저(PostgreSQL 서버의 경우 `postgres`, MySQL 사용자의 경우 `root`)가 시스템 이외 테이블에 쓰는 이벤트를 감지합니다.
초기 액세스: 휴면 서비스 계정 작업^미리보기	`DORMANT_SERVICE_ACCOUNT_USED_IN_ACTION`	Cloud 감사 로그: 관리자 활동 로그	휴면 사용자 관리 서비스 계정에서 작업을 트리거한 이벤트를 감지합니다. 이 컨텍스트에서는 서비스 계정이 180일 이상 비활성 상태인 경우 휴면 계정으로 간주됩니다.
초기 액세스: 과도한 권한 거부 작업^미리보기	`EXCESSIVE_FAILED_ATTEMPT`	Cloud 감사 로그: 관리자 활동 로그	주 구성원이 여러 메서드 및 서비스에서 권한 거부됨 오류를 반복적으로 트리거하는 이벤트를 감지합니다.
방어력 손상: 강력한 인증이 사용 중지됨	`ENFORCE_STRONG_AUTHENTICATION`	Google Workspace: 관리자 감사	조직의 2단계 인증이 사용 중지되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
방어력 손상: 2단계 인증이 사용 중지됨	`2SV_DISABLE`	Google Workspace 로그: 로그인 감사 권한: `DATA_READ`	사용자가 2단계 인증을 사용 중지했습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
초기 액세스: 계정 사용 중지됨 계정 도용	`ACCOUNT_DISABLED_HIJACKED`	Google Workspace 로그: 로그인 감사 권한: `DATA_READ`	의심스러운 활동으로 인해 사용자의 계정이 정지되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
초기 액세스: 사용 중지됨 비밀번호 유출	`ACCOUNT_DISABLED_PASSWORD_LEAK`	Google Workspace 로그: 로그인 감사 권한: `DATA_READ`	비밀번호 유출이 감지되어 사용자의 계정이 사용 중지되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
초기 액세스: 정부 기반 공격	`GOV_ATTACK_WARNING`	Google Workspace 로그: 로그인 감사 권한: `DATA_READ`	정부 지원 해킹 공격자가 사용자 계정이나 컴퓨터를 도용하려고 했을 수 있습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
초기 액세스: Log4j 손상 시도	사용할 수 없음	Cloud Load Balancing 로그: Cloud HTTP 부하 분산기 참고: 이 규칙을 사용하려면 HTTP(S) 부하 분산 로깅을 사용 설정해야 합니다.	헤더나 URL 매개변수 내에서 자바 이름 지정과 디렉터리 인터페이스(JNDI) 조회를 감지합니다. 이러한 조회는 Log4Shell 악용 시도를 나타낼 수 있습니다. 이러한 발견 항목은 취약점이나 손상이 아닌 감지나 악용 시도만 나타내므로 심각도가 낮습니다. 이 규칙은 상시 사용 설정되어 있습니다.
초기 액세스: 의심스러운 로그인이 차단됨	`SUSPICIOUS_LOGIN`	Google Workspace 로그: 로그인 감사 권한: `DATA_READ`	사용자의 계정에 대한 의심스러운 로그인이 감지되어 차단되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
Log4j 멀웨어: 잘못된 도메인	`LOG4J_BAD_DOMAIN`	Cloud DNS 로그: 관리자 활동 로그	Log4j 공격에 사용되는 알려진 도메인에 대한 연결이나 조회를 기반으로 Log4j 악용 트래픽을 감지합니다.
Log4j 멀웨어: 잘못된 IP	`LOG4J_BAD_IP`	VPC 흐름 로그 방화벽 규칙 로그 Cloud NAT 로그	Log4j 공격에 사용되는 알려진 IP 주소에 대한 연결을 기반으로 Log4j 악용 트래픽을 감지합니다.
멀웨어: 불량 도메인	`MALWARE_BAD_DOMAIN`	Cloud DNS 로그: 관리자 활동 로그	알려진 불량 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다.
멀웨어: 불량 IP	`MALWARE_BAD_IP`	VPC 흐름 로그 방화벽 규칙 로그 Cloud NAT 로그	알려진 불량 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다.
멀웨어: 암호화폐 채굴 불량 도메인	`CRYPTOMINING_POOL_DOMAIN`	Cloud DNS 로그: 관리자 활동 로그	알려진 마이닝 도메인과의 연결 또는 조회를 기반으로 암호화를 감지합니다.
멀웨어: 암호화폐 채굴 불량 IP	`CRYPTOMINING_POOL_IP`	VPC 흐름 로그 방화벽 규칙 로그 Cloud NAT 로그	알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다.
발신 DoS	`OUTGOING_DOS`	VPC 흐름 로그	발신 서비스 거부 트래픽을 감지합니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
지속성: Compute Engine 관리자가 SSH 키를 추가함	`GCE_ADMIN_ADD_SSH_KEY`	Cloud 감사 로그: 관리자 활동 로그	설정된 인스턴스(1주일 넘게 경과)에서 Compute Engine 인스턴스 메타데이터 ssh 키 값에 대한 수정 사항 감지. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
지속성: Compute Engine 관리자가 시작 스크립트를 추가함	`GCE_ADMIN_ADD_STARTUP_SCRIPT`	Cloud 감사 로그: 관리자 활동 로그	설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값의 수정 사항 감지. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
지속성: IAM 비정상적인 권한 부여	`IAM_ANOMALOUS_GRANT`	Cloud 감사 로그: 관리자 활동 로그	IAM 사용자 및 조직 구성원이 아닌 서비스 계정에 부여되는 권한을 감지합니다. 참고: 이 감지기는 조직의 기존 IAM 정책을 컨텍스트로 사용합니다. 외부 구성원에게 민감한 IAM을 부여하고 유사한 기존 IAM 정책이 3개 미만 있으면 이 감지기는 발견 항목을 생성합니다. 민감한 역할 ^미리보기 발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요. 이 발견 항목은 프로젝트 수준 활성화에 부분적으로만 사용 가능합니다. 특히 `external_member_added_to_policy` 규칙은 사용할 수 없습니다.
지속성: 새로운 API 메서드	`ANOMALOUS_BEHAVIOR_NEW_API_METHOD`	Cloud 감사 로그: 관리자 활동 로그	IAM 서비스 계정을 통한 Google Cloud 서비스 비정상적인 사용 감지.
지속성: 새로운 지역	`IAM_ANOMALOUS_BEHAVIOR_IP_GEOLOCATION`	Cloud 감사 로그: 관리자 활동 로그	요청 IP 주소의 위치정보를 토대로 비정상적인 위치에서 Google Cloud에 액세스하는 IAM 사용자 및 서비스 계정 감지. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
지속성: 새로운 사용자 에이전트	`IAM_ANOMALOUS_BEHAVIOR_USER_AGENT`	Cloud 감사 로그: 관리자 활동 로그	비정상적이거나 의심스러운 사용자 에이전트에서 Google Cloud에 액세스하는 IAM 서비스 계정 감지 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
지속성: SSO 사용 설정 전환	`TOGGLE_SSO_ENABLED`	Google Workspace: 관리자 감사	관리자 계정의 SSO(싱글 사인온) 사용 설정이 사용 중지되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
지속성: SSO 설정이 변경됨	`CHANGE_SSO_SETTINGS`	Google Workspace: 관리자 감사	관리자 계정의 SSO 설정이 변경되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 서비스 계정 가장^미리보기	`ANOMALOUS_SA_DELEGATION_IMPERSONATION_OF_SA_ADMIN_ACTIVITY`	Cloud 감사 로그: 관리자 활동 로그	관리 활동에 비정상적인 가장 서비스 계정이 사용된 경우를 감지합니다.
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 다단계 서비스 계정 위임^미리보기	`ANOMALOUS_SA_DELEGATION_MULTISTEP_ADMIN_ACTIVITY`	Cloud 감사 로그: 관리자 활동 로그	관리 활동에 비정상적인 다단계 위임된 요청이 발견되면 감지합니다.
권한 에스컬레이션: 데이터 액세스를 위한 비정상적인 다단계 서비스 계정 위임^미리보기	`ANOMALOUS_SA_DELEGATION_MULTISTEP_DATA_ACCESS`	Cloud 감사 로그: 데이터 액세스 로그	데이터 액세스 활동을 위한 비정상적인 다단계 위임 요청이 발견되면 감지합니다.
권한 에스컬레이션: 관리자 활동을 위한 비정상적인 서비스 계정 가장^미리보기	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_ADMIN_ACTIVITY`	Cloud 감사 로그: 관리자 활동 로그	관리 활동에 위임 체인의 잠재적으로 비정상적인 호출자/가장이 사용된 경우를 감지합니다.
권한 에스컬레이션: 데이터 액세스를 위한 비정상적인 서비스 계정 가장^미리보기	`ANOMALOUS_SA_DELEGATION_IMPERSONATOR_DATA_ACCESS`	Cloud 감사 로그: 데이터 액세스 로그	데이터 액세스 활동에 위임 체인의 잠재적으로 비정상적인 호출자/가장이 사용된 경우를 감지합니다.
권한 에스컬레이션: 민감한 Kubernetes RBAC 객체 변경사항	`GKE_CONTROL_PLANE_EDIT_SENSITIVE_RBAC_OBJECT`	Cloud 감사 로그: 관리자 활동 로그	권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 `PUT` 또는 `PATCH` 요청을 사용하여 민감한 `cluster-admin`의 `ClusterRole` 또는 `ClusterRoleBinding` 역할 기반 액세스 제어(RBAC) 객체를 수정하려고 시도했습니다.
권한 에스컬레이션: 마스터 인증서에 대한 Kubernetes CSR 만들기	`GKE_CONTROL_PLANE_CSR_FOR_MASTER_CERT`	Cloud 감사 로그: GKE 데이터 액세스 로그	잠재적인 악의적 행위자가 Kubernetes 마스터 인증서 서명 요청(CSR)을 만들어 `cluster-admin` 액세스 권한을 부여했을 수 있습니다.
권한 에스컬레이션: 민감한 Kubernetes 바인딩 만들기	`GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING`	Cloud 감사 로그: 관리자 활동 로그	권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 `cluster-admin` 역할에 새 `RoleBinding` 또는 `ClusterRoleBinding` 객체를 만들려고 시도했습니다.
권한 에스컬레이션: 손상된 부트스트랩 사용자 인증 정보로 Kubernetes CSR 가져오기	`GKE_CONTROL_PLANE_GET_CSR_WITH_COMPROMISED_BOOTSTRAP_CREDENTIALS`	Cloud 감사 로그: GKE 데이터 액세스 로그	잠재적인 악의적 행위자가 손상된 부트스트랩 사용자 인증 정보를 사용하여 `kubectl` 명령어로 인증서 서명 요청(CSR)을 쿼리했습니다.
권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행	`GKE_CONTROL_PLANE_LAUNCH_PRIVILEGED_CONTAINER`	Cloud 감사 로그: 관리자 활동 로그	잠재적인 악의적 행위자가 권한이 있는 컨테이너나 권한 에스컬레이션 기능이 있는 컨테이너를 포함하는 포드를 만들었습니다. 권한이 있는 컨테이너에는 `privileged` 필드가 `true`로 설정되어 있습니다. 권한 에스컬레이션 기능이 있는 컨테이너의 `allowPrivilegeEscalation` 필드는 `true`로 설정됩니다. 자세한 내용은 Kubernetes 문서의 SecurityContext v1 core API 참조를 확인하세요.

커스텀 감지 규칙을 만들려면 로그 데이터를 BigQuery에 내보낸 다음 위협 모델을 캡처하는 고유 또는 반복 SQL 쿼리를 실행합니다.

안전하지 않은 Google 그룹 변경사항

이 섹션에서는 Event Threat Detection에서 Google Workspace 로그, Cloud 감사 로그, IAM 정책을 사용하여 안전하지 않은 Google 그룹스 변경사항을 감지하는 방법을 설명합니다. Google 그룹스 변경사항 감지는 조직 수준에서 Security Command Center를 활성화할 때만 지원됩니다.

Google Cloud 고객은 Google 그룹스를 사용하여 자신의 조직에 있는 구성원에 대해 역할 및 권한을 관리하거나 사용자 컬렉션에 액세스 정책을 적용할 수 있습니다. 구성원에 직접 역할을 부여하는 대신 관리자가 Google 그룹스에 역할 및 권한을 부여하고 구성원을 특정 그룹에 추가할 수 있습니다. 그룹 구성원은 구성원이 특정 리소스 및 서비스에 액세스할 수 있도록 그룹의 모든 역할 및 권한을 상속합니다.

Google 그룹스를 사용하면 액세스 제어를 규모에 맞게 편리하게 관리할 수 있지만, 조직 또는 도메인에 속하지 않은 외부 사용자가 권한이 있는 그룹(즉, 민감한 역할 또는 권한이 부여된 그룹)에 추가될 위험이 있습니다. 민감한 역할은 보안 및 네트워크 설정, 로그, 개인 식별 정보(PII)에 대한 액세스를 제어하며 외부 그룹 구성원에게는 추천되지 않습니다.

대규모 조직에서는 외부 구성원이 권한 있는 그룹에 추가되는 시기를 관리자가 알지 못할 수 있습니다. Cloud 감사 로그는 그룹에 대한 역할 부여를 기록하지만, 이러한 로그 이벤트에는 그룹 구성원에 대한 정보가 포함되어 있지 않으므로 일부 그룹 변경사항의 잠재적 영향을 가릴 수 있습니다.

Google Cloud와 Google Workspace 로그를 공유하는 경우 Event Threat Detection에서 조직의 Google 그룹스에 추가된 새 구성원의 로깅 스트림을 모니터링합니다. 로그는 조직 수준에 있으므로 Event Threat Detection은 조직 수준에서 Security Command Center를 활성화할 때만 Google Workspace 로그를 스캔할 수 있습니다. 프로젝트 수준에서 Security Command Center를 활성화하면 Event Threat Detection에서 이러한 로그를 스캔할 수 없습니다.

Event Threat Detection은 외부 그룹 구성원을 식별하고, Cloud 감사 로그를 사용해서 영향을 받는 각 그룹의 IAM 역할을 검토하여 그룹에 중요한 역할이 부여되었는지 확인합니다. 이 정보는 권한 있는 Google 그룹스에서 다음과 같은 안전하지 않은 변경사항을 감지하기 위해 사용됩니다.

외부 그룹 구성원이 권한 있는 그룹에 추가됨
민감한 역할 또는 권한이 외부 그룹 구성원이 있는 그룹에 부여됨
일반 대중 누구나 참여할 수 있도록 변경된, 권한 있는 그룹

Event Threat Detection은 발견 항목을 Security Command Center에 기록합니다. 발견 항목에는 새로 추가된 외부 구성원의 이메일 주소, 이벤트를 시작하는 내부 그룹 구성원, 그룹 이름, 그룹과 연결된 중요한 역할이 포함되어 있습니다. 이 정보를 사용하여 그룹에서 외부 구성원을 삭제하거나 그룹에 부여된 중요한 역할을 취소할 수 있습니다.

Event Threat Detection 발견 항목에 대한 자세한 내용은 Event Threat Detection 규칙을 참조하세요.

중요한 IAM 역할 및 권한

안전하지 않은 Google 그룹 변경사항에서는 높음 또는 중간 민감도의 역할이 변경사항과 관련된 경우에만 발견 항목을 생성합니다. 역할의 민감도가 발견 항목에 할당된 심각도에 영향을 미칩니다.

높음 민감도 역할은 결제, 방화벽 설정, 로깅을 포함한 조직의 중요 서비스를 제어합니다. 이러한 역할과 일치하는 발견 항목은 심각도가 높음으로 분류됩니다.
중간 민감도 역할에는 주 구성원이 Google Cloud 리소스를 변경할 수 있는 수정 권한이 있으며, 흔히 민감한 정보를 보유하고 있는 데이터 저장소 서비스에 대한 보기 및 실행 권한이 있습니다. 발견 항목에 할당되는 심각도는 리소스에 따라 다릅니다.
- 중간 민감도 역할이 조직 수준에서 부여되면 발견 항목은 높음 심각도로 분류됩니다.
- 중간 민감도 역할이 리소스 계층 구조(폴더, 프로젝트, 버킷 등)의 낮은 수준에서 부여되면 발견 항목은 중간 심각도로 분류됩니다.

Event Threat Detection은 다음의 높음 및 중간 민감도 역할과 일치하는, 안전하지 않은 Google 그룹 변경사항을 감지합니다.

표 1. 높음 민감도 역할
카테고리	역할	설명
기본 역할: 모든 Google Cloud 서비스에서 수천 개의 권한을 포함합니다.	`roles/owner`	기본 역할
기본 역할: 모든 Google Cloud 서비스에서 수천 개의 권한을 포함합니다.	`roles/editor`	기본 역할
보안 역할: 보안 설정에 대한 액세스 제어	`roles/cloudkms.*`	모든 Cloud Key Management Service 역할
	`roles/cloudsecurityscanner.*`	모든 Web Security Scanner 역할
	`roles/dlp.*`	모든 Cloud Data Loss Prevention 역할.
	`roles/iam.*`	모든 IAM 역할
	`roles/secretmanager.*`	모든 Secret Manager 역할
	`roles/securitycenter.*`	모든 Security Command Center 역할
Logging 역할: 조직 로그에 대한 액세스 제어	`roles/errorreporting.*`	모든 Error Reporting 역할
	`roles/logging.*`	모든 Cloud Logging 역할
	`roles/stackdriver.*`	모든 Cloud Monitoring 역할
개인 정보 역할: 은행 및 연락처 정보를 포함하여 개인 식별 정보가 포함된 리소스에 대한 액세스 제어	`roles/billing.*`	모든 Cloud Billing 역할
	`roles/healthcare.*`	모든 Cloud Healthcare API 역할
	`roles/essentialcontacts.*`	모든 필수 연락처 역할
네트워킹 역할: 조직의 네트워크 설정에 대해 액세스를 제어합니다.	`roles/dns.*`	모든 Cloud DNS 역할
	`roles/domains.*`	모든 Cloud Domains 역할
	`roles/networkconnectivity.*`	모든 Network Connectivity Center 역할
	`roles/networkmanagement.*`	모든 Network Connectivity Center 역할
	`roles/privateca.*`	모든 Certificate Authority Service 역할
서비스 역할: Google Cloud의 서비스 리소스에 대해 액세스를 제어합니다.	`roles/cloudasset.*`	모든 Cloud 애셋 인벤토리 역할
	`roles/servicedirectory.*`	모든 서비스 디렉터리 역할
	`roles/servicemanagement.*`	모든 서비스 관리 역할
	`roles/servicenetworking.*`	모든 서비스 네트워킹 역할
	`roles/serviceusage.*`	모든 서비스 사용량 역할
Compute Engine 역할: 장기 실행 작업을 수행하고 방화벽 규칙과 연결된 Compute Engine 가상 머신에 대한 액세스 제어	`roles/compute.admin` `roles/compute.instanceAdmin` `roles/compute.instanceAdmin.v1` `roles/compute.loadBalancerAdmin` `roles/compute.networkAdmin` `roles/compute.orgFirewallPolicyAdmin` `roles/compute.orgFirewallPolicyUser` `roles/compute.orgSecurityPolicyAdmin` `roles/compute.orgSecurityPolicyUser` `roles/compute.orgSecurityResourceAdmin` `roles/compute.osAdminLogin` `roles/compute.publicIpAdmin` `roles/compute.securityAdmin` `roles/compute.storageAdmin` `roles/compute.xpnAdmin`	모든 Compute Engine 관리자 및 편집자 역할

표 2. 중간 민감도 역할
카테고리	역할	설명
수정 역할: Google Cloud 리소스를 변경할 수 있는 권한이 포함된 IAM 역할입니다.	예를 들면 다음과 같습니다. `roles/storage.objectAdmin` `roles/file.editor` `roles/source.writer` `roles/container.developer`	역할 이름은 일반적으로 관리자, 소유자, 편집자 또는 작성자와 같은 명칭으로 끝납니다. 테이블의 마지막 행에서 노드를 확장하여 모든 중간 중요도 역할을 확인합니다.
데이터 스토리지 역할: 데이터 스토리지 서비스를 보고 실행할 수 있는 권한이 포함된 IAM 역할입니다.	예를 들면 다음과 같습니다. `roles/cloudsql.viewer` `roles/cloudsql.client` `roles/bigquery.dataViewer` `roles/bigquery.user` `roles/spanner.databaseReader` `roles/spanner.databaseUser`	테이블의 마지막 행에서 노드를 확장하여 모든 중간 중요도 역할을 확인합니다.
모든 중간 중요도 역할 액세스 승인 `roles/accessapproval.approver` `roles/accessapproval.configEditor` Access Context Manager `roles/accesscontextmanager.gcpAccessAdmin` `roles/accesscontextmanager.policyAdmin` `roles/accesscontextmanager.policyEditor` 작업 `roles/actions.Admin` AI Platform `roles/ml.admin` `roles/ml.developer` `roles/ml.jobOwner` `roles/ml.modelOwner` `roles/ml.modelUser` API 게이트웨이 `roles/apigateway.admin` App Engine `roles/appengine.appAdmin` `roles/appengine.appCreator` `roles/appengine.serviceAdmin` AutoML `roles/automl.admin` `roles/automl.editor` BigQuery `roles/bigquery.admin` `roles/bigquery.dataEditor` `roles/bigquery.dataOwner` `roles/bigquery.dataViewer` `roles/bigquery.resourceAdmin` `roles/bigquery.resourceEditor` `roles/bigquery.resourceViewer` `roles/bigquery.user` Binary Authorization `roles/binaryauthorization.attestorsAdmin` `roles/binaryauthorization.attestorsEditor` `roles/binaryauthorization.policyAdmin` `roles/binaryauthorization.policyEditor` Cloud Bigtable `roles/bigtable.admin` `roles/bigtable.reader` `roles/bigtable.user` Cloud Build `roles/cloudbuild.builds.builder` `roles/cloudbuild.builds.editor` Cloud Deployment Manager `roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` Cloud Endpoints `roles/endpoints.portalAdmin`^베타 Cloud Functions `roles/cloudfunctions.admin` `roles/cloudfunctions.developer` `roles/cloudfunctions.invoker` Cloud IoT `roles/cloudiot.admin` `roles/cloudiot.deviceController` `roles/cloudiot.editor` `roles/cloudiot.provisioner` Cloud Life Sciences `roles/genomics.admin` `roles/genomics.admin` `roles/lifesciences.admin` `roles/lifesciences.editor` Cloud Monitoring `roles/monitoring.admin` `roles/monitoring.alertPolicyEditor` `roles/monitoring.dashboardEditor` `roles/monitoring.editor` `roles/monitoring.metricWriter` `roles/monitoring.notificationChannelEditor` `roles/monitoring.servicesEditor` `roles/monitoring.uptimeCheckConfigEditor` Cloud Run `roles/run.admin` `roles/run.developer` Cloud Scheduler `roles/cloudscheduler.admin` Cloud Source Repositories `roles/source.admin` `roles/source.writer` Cloud Spanner `roles/spanner.admin` `roles/spanner.backupAdmin` `roles/spanner.backupWriter` `roles/spanner.databaseAdmin` `roles/spanner.restoreAdmin` `roles/spanner.databaseReader` `roles/spanner.databaseUser` Cloud Storage `roles/storage.admin` `roles/storage.hmacKeyAdmin` `roles/storage.objectAdmin` `roles/storage.objectCreator` `roles/storage.objectViewer` `roles/storage.legacyBucketOwner` `roles/storage.legacyBucketWriter` `roles/storage.legacyBucketReader` `roles/storage.legacyObjectOwner` `roles/storage.legacyObjectReader` Cloud SQL `roles/cloudsql.admin` `roles/cloudsql.editor` `roles/cloudsql.client` `roles/cloudsql.instanceUser` `roles/cloudsql.viewer` Cloud Tasks `roles/cloudtasks.admin` `roles/cloudtasks.enqueuer` `roles/cloudtasks.queueAdmin` `roles/cloudtasks.taskDeleter` Cloud TPU `tpu.admin` Cloud Trace `roles/cloudtrace.admin` `roles/cloudtrace.agent` Compute Engine `roles/compute.imageUser` `roles/compute.osLoginExternalUser` `roles/osconfig.guestPolicyAdmin` `roles/osconfig.guestPolicyEditor` `roles/osconfig.osPolicyAssignmentAdmin` `roles/osconfig.osPolicyAssignmentEditor` `roles/osconfig.patchDeploymentAdmin` 컨테이너 분석 `roles/containeranalysis.admin` `roles/containeranalysis.notes.attacher` `roles/containeranalysis.notes.editor` `roles/containeranalysis.occurrences.editor` Data Catalog `roles/datacatalog.admin` `roles/datacatalog.categoryAdmin` `roles/datacatalog.entryGroupCreator` `roles/datacatalog.entryGroupOwner` `roles/datacatalog.entryOwner` Dataflow `roles/dataflow.admin` `roles/dataflow.developer` Dataproc `roles/dataproc.admin` `roles/dataproc.editor` Dataproc Metastore `roles/metastore.admin` `roles/metastore.editor` Datastore `roles/datastore.importExportAdmin` `roles/datastore.indexAdmin` `roles/datastore.owner` `roles/datastore.user` Eventarc `roles/eventarc.admin` `roles/eventarc.developer` `roles/eventarc.eventReceiver` Filestore `roles/file.editor` Firebase `roles/firebase.admin` `roles/firebase.analyticsAdmin` `roles/firebase.developAdmin` `roles/firebase.growthAdmin` `roles/firebase.qualityAdmin` `roles/firebaseabt.admin` `roles/firebaseappcheck.admin` `roles/firebaseappdistro.admin` `roles/firebaseauth.admin` `roles/firebasecrashlytics.admin` `roles/firebasedatabase.admin` `roles/firebasedynamiclinks.admin` `roles/firebasehosting.admin` `roles/firebaseinappmessaging.admin` `roles/firebaseml.admin` `roles/firebasenotifications.admin` `roles/firebaseperformance.admin` `roles/firebasepredictions.admin` `roles/firebaserules.admin` `roles/firebasestorage.admin` `roles/cloudconfig.admin` `roles/cloudtestservice.testAdmin` Game Servers `roles/gameservices.admin` Google Cloud VMware Engine `vmwareengine.vmwareengineAdmin` Google Kubernetes Engine `roles/container.admin` `roles/container.clusterAdmin` `roles/container.developer` Google Kubernetes Engine Hub `roles/gkehub.admin` `roles/gkehub.gatewayAdmin` `roles/gkehub.connect` Google Workspace `roles/gsuiteaddons.developer` IAP(Identity-Aware Proxy) `roles/iap.admin` `roles/iap.settingsAdmin` Microsoft Active Directory용 관리형 서비스 `roles/managedidentities.admin` `roles/managedidentities.domainAdmin` `roles/managedidentities.viewer` Redis용 Memorystore `roles/redis.admin` `roles/redis.editor` On-Demand Scanning API `roles/ondemandscanning.admin` Ops Config Monitoring `roles/opsconfigmonitoring.resourceMetadata.writer` 조직 정책 서비스 `roles/axt.admin` `roles/orgpolicy.policyAdmin` 기타 역할 `roles/autoscaling.metricsWriter` `roles/autoscaling.sitesAdmin` `roles/autoscaling.stateWriter` `roles/chroniclesm.admin` `roles/dataprocessing.admin` `roles/earlyaccesscenter.admin` `roles/firebasecrash.symbolMappingsAdmin` `roles/identityplatform.admin` `roles/identitytoolkit.admin` `roles/oauthconfig.editor` `roles/retail.admin` `roles/retail.editor` `roles/runtimeconfig.admin` 근접도 비콘 `roles/proximitybeacon.attachmentEditor` `roles/proximitybeacon.beaconEditor` Pub/Sub `roles/pubsub.admin` `roles/pubsub.editor` Pub/Sub Lite `roles/pubsublite.admin` `roles/pubsublite.editor` `roles/pubsublite.publisher` reCAPTCHA Enterprise `roles/recaptchaenterprise.admin` `roles/recaptchaenterprise.agent` Recommendations AI `roles/automlrecommendations.admin` `roles/automlrecommendations.editor` 추천자 `roles/recommender.billingAccountCudAdmin` `roles/recommender.cloudAssetInsightsAdmin` `roles/recommender.cloudsqlAdmin` `roles/recommender.computeAdmin` `roles/recommender.firewallAdmin` `roles/recommender.iamAdmin` `roles/recommender.productSuggestionAdmin` `roles/recommender.projectCudAdmin` Resource Manager `roles/resourcemanager.folderAdmin` `roles/resourcemanager.folderCreator` `roles/resourcemanager.folderEditor` `roles/resourcemanager.folderIamAdmin` `roles/resourcemanager.folderMover` `roles/resourcemanager.lienModifier` `roles/resourcemanager.organizationAdmin` `roles/resourcemanager.projectCreator` `roles/resourcemanager.projectDeleter` `roles/resourcemanager.projectIamAdmin` `roles/resourcemanager.projectMover` `roles/resourcemanager.tagAdmin` 리소스 설정 `roles/resourcesettings.admin` 서버리스 VPC 액세스 `roles/vpcaccess.admin` 서비스 소비자 관리 `roles/serviceconsumermanagement.tenancyUnitsAdmin` Storage Transfer Service `roles/storagetransfer.admin` `roles/storagetransfer.user` Vertex AI `roles/aiplatform.admin` `roles/aiplatform.featurestoreAdmin` `roles/aiplatform.migrator` `roles/aiplatform.user` Vertex AI Workbench 사용자 관리 노트북 `roles/notebooks.admin` `roles/notebooks.legacyAdmin` Workflows `roles/workflows.admin` `roles/workflows.editor`

로그 유형 및 활성화 요구사항

이 섹션에는 Event Threat Detection에서 사용하는 로그와 Event Threat Detection이 각 로그에서 찾는 위협과 함께 각 로그를 사용 설정하기 위해 수행해야 하는 작업이 나와 있습니다.

특정 위협은 여러 로그에서 감지될 수 있습니다. Event Threat Detection이 이미 사용 설정된 로그에서 위협을 감지할 수 있는 경우 다른 로그를 사용 설정하지 않아도 동일한 위협이 감지됩니다.

로그가 이 섹션에 나열되지 않으면 Event Threat Detection이 사용 설정되어 있더라도 로그를 스캔하지 않습니다. 자세한 내용은 잠재적 중복 로그 스캔을 참조하세요.

다음 표에 설명된 대로 일부 로그 유형은 조직 수준에서만 사용할 수 있습니다. 프로젝트 수준에서 Security Command Center를 활성화하면 Event Threat Detection에서 이러한 로그를 스캔하지 않고 발견 항목을 생성하지 않습니다.

잠재적 중복 로그 스캔

Event Threat Detection은 다음 로그 중 하나를 스캔하여 네트워크에서 멀웨어를 감지할 수 있습니다.

Cloud DNS 관리자 활동 감사 로그
Cloud NAT 로깅
방화벽 규칙 로깅
VPC 흐름 로그

Cloud DNS를 이미 사용하고 있다면 Cloud DNS 관리자 활동 감사 로그가 이미 사용 설정되어 있으며 생성 비용이 없습니다. 대부분의 사용자는 Cloud DNS 관리자 활동 감사 로그를 통해 멀웨어를 네트워크에 감지할 수 있습니다.

도메인 확인 범위보다 더 높은 수준의 가시성이 필요한 경우 VPC 흐름 로그를 사용 설정할 수 있지만 VPC 흐름 로그에는 비용이 발생할 수 있습니다. 이러한 비용을 관리하려면 집계 간격을 15분으로 늘리고 샘플링 레이트를 5% ~10%로 줄이는 것이 좋지만 재현율(더 높은 샘플)과 비용 관리(샘플링 레이트 감소) 간에 적절한 균형을 맞춰야 합니다.

방화벽 규칙 로깅 또는 Cloud NAT 로깅을 이미 사용하고 있는 경우 VPC 흐름 로그 대신 이러한 로그가 유용합니다.

Cloud NAT 로깅, 방화벽 규칙 로깅 또는 VPC 흐름 로그를 두 개 이상 사용 설정할 필요가 없습니다.

사용 설정해야 하는 로그

다음 표에는 Event Threat Detection에서 감지할 수 있는 위협 수를 늘리기 위해 사용 설정하거나 구성할 수 있는 Cloud Logging 및 Google Workspace 로그가 나와 있습니다.

로그 유형	위협 감지	구성 필요
Cloud DNS 데이터 액세스 감사 로그	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Cloud DNS에서 Logging 데이터 액세스 감사 로그 활성화
Cloud NAT 로깅	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	Cloud NAT 로깅 사용 설정
방화벽 규칙 로깅	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	방화벽 규칙 로깅을 사용 설정합니다.
Google Kubernetes Engine(GKE) 데이터 액세스 감사 로그	`Discovery: Can get sensitive Kubernetes object check` `Privilege Escalation: Create Kubernetes CSR for master cert` `Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials`	GKE의 Logging 데이터 액세스 감사 로그 활성화
Google Workspace 관리자 감사 로그	`Credential Access: Privileged Group Opened To Public` `Impair Defenses: Strong Authentication Disabled` `Impair Defenses: Two Step Verification Disabled` `Persistence: SSO Enablement Toggle` `Persistence: SSO Settings Changed`	Cloud Logging과 Google Workspace 관리자 감사 로그 공유 프로젝트 수준 활성화에서는 이 로그 유형을 스캔할 수 없습니다.
Google Workspace 로그인 감사 로그.	`Credential Access: External Member Added To Privileged Group` `Impair Defenses: Two Step Verification Disabled` `Initial Access: Account Disabled Hijacked` `Initial Access: Disabled Password Leak` `Initial Access: Government Based Attack` `Initial Access: Suspicious Login Blocked<`/td>	Cloud Logging과 Google Workspace 로그인 감사 로그 공유 프로젝트 수준 활성화에서는 이 로그 유형을 스캔할 수 없습니다.
HTTP(S) 부하 분산 백엔드 서비스 로그	`Initial Access: Log4j Compromise Attempt`	HTTP(S) 부하 분산 로깅 사용 설정
MySQL 데이터 액세스 감사 로그	`Exfiltration: Cloud SQL Data Exfiltration`	MySQL용 Cloud SQL에 Logging 데이터 액세스 감사 로그 활성화
PostgreSQL 데이터 액세스 감사 로그	`Exfiltration: Cloud SQL Data Exfiltration` `Exfiltration: Cloud SQL Over-Privileged Grant`	PostgreSQL용 Cloud SQL에 Logging 데이터 액세스 감사 로그 활성화 `Exfiltration: Cloud SQL Over-Privileged Grant` 위협을 감지하려면 pgAudit 확장 프로그램도 사용 설정해야 합니다.
Resource Manager 데이터 액세스 감사 로그	`Discovery: Service Account Self-Investigation`	Resource Manager의 Logging 데이터 액세스 감사 로그 활성화
SQL Server 데이터 액세스 감사 로그	`Exfiltration: Cloud SQL Data Exfiltration`	SQL Server용 Cloud SQL의 Logging 데이터 액세스 감사 로그 활성화
가상 머신의 authlog	`Brute force SSH`	VM 호스트에 운영 에이전트 또는 기존 Logging 에이전트 설치
VPC 흐름 로그	`Log4j Malware: Bad IP` `Malware: bad IP` `Malware: Cryptomining Bad IP`	VPC 흐름 로그를 사용 설정합니다.

상시 사용 설정 로그

다음 표에는 사용 설정하거나 구성할 필요가 없는 Cloud Logging 로그가 나와 있습니다. 이러한 로그는 상시 사용 설정되며 Event Threat Detection에서 자동으로 스캔합니다.

로그 유형	위협 감지	구성 필요
BigQueryAuditMetadata 데이터 액세스 로그	유출: BigQuery 데이터 무단 반출 유출: BigQuery 데이터 추출 유출: Google Drive로의 BigQuery 데이터	없음
Cloud DNS 관리자 활동 감사 로그	삭제: 익명처리 프록시에서 액세스 Log4j 멀웨어: 불량 도메인 멀웨어: 불량 도메인 멀웨어: 암호화폐 채굴 불량 도메인	없음
Google Kubernetes Engine(GKE) 관리자 활동 감사 로그	권한 에스컬레이션: 민감한 Kubernetes RBAC 객체의 변경사항 권한 에스컬레이션: 민감한 Kubernetes binding 만들기 권한 에스컬레이션: 권한이 있는 Kubernetes 컨테이너 실행	없음
IAM 관리자 활동 감사 로그	사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 민감한 역할 초기 액세스: 휴면 서비스 계정 작업^미리보기 초기 액세스: 초과 권한 거부 작업^미리보기 지속성: Compute Engine 관리자가 SSH 키 추가 지속성: Compute Engine 관리자가 시작 스크립트 추가 지속성: IAM 비정상적인 부여 지속성: 새 API 메서드 지속성: 새 지역 지속성: 신규 사용자 에이전트	없음
MySQL 관리자 활동 로그	유출: 외부 조직으로 Cloud SQL 복원 백업	없음
PostgreSQL 관리자 활동 로그	유출: 외부 조직으로 Cloud SQL 복원 백업	없음
SQL Server 관리자 활동 로그	유출: 외부 조직으로 Cloud SQL 복원 백업	없음
VPC 서비스 제어 감사 로그	방어 회피: VPC 서비스 제어 수정	없음

다음 단계

Event Threat Detection 사용에 대해 알아보기
위협에 대한 대응 계획을 조사하고 개발하는 방법 알아보기