Event Threat Detection이란?
Event Threat Detection은 조직을 지속적으로 모니터링하고 시스템 내에서 위협을 실시간으로 파악하여 Security Command Center 프리미엄 등급의 기본 서비스입니다. 클라우드 범위에서 새로운 위협을 식별하기 위해 새로운 감지기를 통해 Event Threat Detection이 정기적으로 업데이트됩니다.
Event Threat Detection 작동 방식
Event Threat Detection는 조직의 Cloud Logging 스트림을 모니터링하고 하나 이상의 프로젝트에 대한 로그를 사용할 수 있을 때 로그를 사용합니다. 로그 항목에는 Event Threat Detection이 위협을 빠르게 감지하는 데 사용하는 상태 및 이벤트 정보가 포함됩니다. Event Threat Detection은 감지 로직과 독점 위협 인텔리전스를 로그에 포함된 상세 정보에 적용합니다. Event Threat Detection은 위협을 감지하면 Security Command Center 및 Cloud Logging 프로젝트에 이 발견 항목을 기록합니다.
Cloud Logging에서 Pub/Sub를 사용하여 발견 항목을 다른 시스템으로 내보내고 Cloud Functions로 처리할 수 있습니다.
규칙
규칙은 Event Threat Detection에서 감지하는 위협 유형을 정의합니다. 현재 Event Threat Detection에는 다음과 같은 기본 규칙이 포함됩니다.
| 표시 이름 | API 이름 | 로그 소스 유형 | 설명 |
|---|---|---|---|
| 외부 테이블에 대한 유출 | org_exfiltration |
Cloud 감사 로그 | 보호되는 조직에서 소유한 리소스로서 복사 또는 전송 작업 등 조직 외부에 저장된 리소스를 감지합니다. |
| VPC 경계 위반 | vpc_perimeter_violation |
Cloud 감사 로그 | VPC 서비스 제어로 보호되는 BigQuery 리소스에 대한 액세스를 감지합니다. |
| 멀웨어: 잘못된 도메인 | malware_bad_domain |
virtual private cloud(VPC) 흐름 로그 Cloud DNS 로그 |
알려진 잘못된 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다. |
| 멀웨어: 잘못된 IP | malware_bad_ip |
VPC 흐름 로그 방화벽 규칙 로그 |
알려진 잘못된 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다. |
| 암호화폐 채굴: 풀 도메인 | cryptomining_pool_domain |
VPC 흐름 로그 Cloud DNS 로그 |
알려진 마이닝 도메인과의 연결 또는 조회를 기반으로 암호화를 감지합니다. |
| 암호화폐 채굴: 풀 IP | cryptomining_pool_ip |
VPC 흐름 로그 방화벽 규칙 로그 |
알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다. |
| 무작위 공격 SSH | brute_force_ssh |
syslog | 호스트에서 SSH의 성공적인 무차별 공격을 감지합니다. |
| 발신 DoS | outgoing_dos |
VPC 흐름 로그 | 발신 서비스 거부 트래픽을 감지합니다. |
| IAM: 비정상적인 권한 부여 | iam_anomalous_grant |
Cloud 감사 로그 | 조직의 구성원이 아닌 ID 및 액세스 관리(IAM) 사용자 및 서비스 계정에 부여된 권한을 감지합니다. 참고: 현재 이 발견 항목은 gmail.com 이메일 주소가 있는 Security Command Center 사용자에게만 트리거됩니다. |
| IAM: 비정상적인 IP 위치정보 미리보기 |
iam_anomalous_ip_geolocation |
Cloud 감사 로그 | 요청하는 IP 주소의 위치정보를 기반으로 비정상적인 위치에서 Google Cloud에 액세스하는 Identity and Access Management(IAM) 사용자를 감지합니다. |
| IAM: 비정상적인 사용자 에이전트 미리보기 |
iam_anomalous_user_agent |
Cloud 감사 로그 | 비정상적인 사용자 에이전트에서 Google Cloud에 액세스하는 Identity and Access Management(IAM) 사용자를 감지합니다. |
| 서비스 계정 자체 조사 미리보기 |
service_account_self_investigation |
Cloud 감사 로그 | 서비스 계정 사용자 인증 정보가 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사요오디면 이를 감지합니다. |
커스텀 감지 규칙을 만들려면 로그 데이터를 BigQuery에 저장한 다음 위협 모델을 캡처하는 고유 또는 반복 SQL 쿼리를 실행합니다.
로그 유형
Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. 로그는 기본적으로 사용 중지되어 있으며 사용자가 생성해야 할 로그와 액세스할 수 있는 제품을 결정할 수 있습니다. 하지만 Event Threat Detection을 사용하려면 Event Threat Detection에서 완전한 가시성을 확보해야 할 조직, 폴더, 프로젝트의 로그를 사용 설정해야 합니다.
현재 Event Threat Detection에서는 다음 Google Cloud 소스의 로그를 사용합니다. 아래 링크의 안내에 따라 각 소스에 로그를 사용 설정하세요.
Virtual Private Cloud 흐름 로그 활성화
Event Threat Detection은 멀웨어, 피싱, 암호화폐 채굴, 아웃바운드 DDoS, 아웃바운드 포트 스캔 감지에 대한 Virtual Private Cloud(VPC) 흐름 로그를 분석합니다. Event Threat Detection는 VPC 흐름 로깅이 활성 상태일 때 가장 잘 작동합니다. VPC 흐름 로그 자세히 알아보기
Event Threat Detection는 빈번한 샘플링 및 짧은 집계 간격에서 가장 잘 작동합니다. 샘플링 레이트를 낮게 설정하거나 집계 간격을 길게 설정하면 이벤트의 발생과 감지 사이에 지연이 발생할 수 있습니다. 이러한 지연으로 인해 잠재적인 멀웨어, 암호화폐 채굴, 피싱 트래픽 증가를 평가하기가 더 어려워질 수 있습니다.
Cloud DNS 로그 활성화
Event Threat Detection은 멀웨어, 피싱, 암호화폐 채굴 감지에 대한 DNS 로그를 분석합니다. Event Threat Detection는 Cloud DNS 로깅이 활성 상태일 때 가장 잘 작동합니다. Cloud DNS 로그 자세히 알아보기
다음 단계
Event Threat Detection 사용에 대해 알아보기
위협에 대한 대응 계획을 조사하고 개발하는 방법을 알아봅니다.