Event Threat Detection 개요

Event Threat Detection이란?

Event Threat Detection은 조직을 지속적으로 모니터링하고 시스템 내에서 위협을 실시간으로 파악하여 Security Command Center 프리미엄 등급의 기본 서비스입니다. 클라우드 범위에서 새로운 위협을 식별하기 위해 새로운 감지기를 통해 Event Threat Detection이 정기적으로 업데이트됩니다.

Event Threat Detection 작동 방식

Event Threat Detection은 조직의 Cloud Logging 스트림 및 Google Workspace 로그를 모니터링하고 로그를 사용할 수 있을 때 이를 프로젝트에 사용합니다. Cloud Logging에는 API 호출과 리소스 구성 또는 메타데이터를 만들거나, 읽거나, 수정하는 기타 작업에 대한 로그 항목이 포함됩니다. Google Workspace 로그는 도메인에 대한 사용자 로그인을 추적하고 Google Workspace 관리자 콘솔에서 수행되는 작업들에 대한 기록을 제공합니다.

로그 항목에는 Event Threat Detection이 위협을 빠르게 감지하는 데 사용하는 상태 및 이벤트 정보가 포함됩니다. Event Threat Detection은 tripwire 표시기 매칭, 기간별 프로파일링, 고급 프로파일링, 머신러닝, 이상 감지 등 독점 위협 인텔리전스와 감지 로직을 적용하여 거의 실시간으로 위협을 식별합니다.

Event Threat Detection에서 위협을 감지하면 Security Command Center 및 Cloud Logging 프로젝트에 발견 항목을 기록합니다. Cloud Logging 및 Google Workspace 로깅에서 Pub/Sub을 사용하여 발견 항목을 다른 시스템으로 내보내고 Cloud Functions로 처리할 수 있습니다.

또한 Chronicle을 사용하여 일부 발견 항목을 조사할 수 있습니다. Chronicle은 통합 타임라인에서 위협을 조사하고 관련 항목을 피벗할 수 있게 해주는 Google Cloud 서비스입니다. Cronicle에 발견 항목을 보내는 방법은 Chronicle의 발견 항목 조사를 참조하세요.

발견 항목 및 로그를 보고 수정하는 기능은 사용자에게 부여된 Identity and Access Management(IAM) 역할에 따라 결정됩니다. Security Command Center IAM 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.

Event Threat Detection 규칙

규칙은 Event Threat Detection에서 감지하는 위협의 유형과 감지기가 작동하려면 사용 설정해야 하는 로그 유형을 정의합니다. 관리자 활동 감사 로그는 항상 기록되며 구성을 변경하거나 사용 중지할 수 없습니다.

Event Threat Detection에는 다음과 같은 기본 규칙이 포함됩니다.

표시 이름 API 이름 로그 소스 유형 설명
유출: BigQuery 데이터 무단 반출 data_exfiltration_big_query Cloud 감사 로그: BigQueryAuditMetadata 데이터 액세스 로그
권한:
DATA_READ
다음 시나리오를 감지합니다.

  • 보호되는 조직에서 소유한 리소스로서 복사 또는 전송 작업 등 조직 외부에 저장된 리소스.
  • VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 시도.
멀웨어: 불량 도메인 malware_bad_domain Cloud DNS 로그:
관리자 활동 로그
알려진 불량 도메인에 대한 연결 또는 조회를 기반으로 멀웨어를 감지합니다.
멀웨어: 불량 IP malware_bad_ip VPC 흐름 로그
방화벽 규칙 로그
Cloud NAT 로그
알려진 불량 IP 주소에 대한 연결을 기반으로 멀웨어를 감지합니다.
암호화폐 채굴: 풀 도메인 cryptomining_pool_domain Cloud DNS 로그:
관리자 활동 로그
알려진 마이닝 도메인과의 연결 또는 조회를 기반으로 암호화를 감지합니다.
암호화폐 채굴: 풀 IP cryptomining_pool_ip VPC 흐름 로그
방화벽 규칙 로그
Cloud NAT 로그
알려진 마이닝 IP 주소에 대한 연결을 기반으로 암호화폐 채굴을 감지합니다.
무작위 공격 SSH brute_force_ssh syslog 호스트에서 SSH의 성공적인 무작위 공격을 감지합니다.
발신 DoS outgoing_dos VPC 흐름 로그 발신 서비스 거부 트래픽을 감지합니다.
지속성: IAM 비정상적인 권한 부여 iam_anomalous_grant Cloud 감사 로그:
관리자 활동 로그

IAM 사용자 및 조직 구성원이 아닌 서비스 계정에 부여되는 권한을 감지합니다. 참고: 이 발견 항목은 gmail.com 이메일 주소를 사용하는 Security Command Center 사용자에 대해서만 트리거됩니다.

민감한 역할 미리보기

발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

지속성: 새로운 지역 iam_anomalous_behavior_ip_geolocation Cloud 감사 로그:
관리자 활동 로그
요청 IP 주소의 위치정보를 토대로 비정상적인 위치에서 Google Cloud에 액세스하는 IAM 사용자 및 서비스 계정 감지.
지속성: 새로운 사용자 에이전트 iam_anomalous_behavior_user_agent Cloud 감사 로그:
관리자 활동 로그
비정상적이거나 의심스러운 사용자 에이전트에서 Google Cloud에 액세스하는 IAM 서비스 계정 감지
탐색: 서비스 계정 자체 조사 service_account_self_investigation Cloud 감사 로그:
Resource Manager 데이터 액세스 로그
권한:
DATA_READ

동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되는 IAM 서비스 계정 사용자 인증 정보 감지.

민감한 역할 미리보기

발견 항목은 부여된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

지속성: Compute Engine 관리자가 SSH 키를 추가함 미리보기 gce_admin_add_ssh_key Cloud 감사 로그:
관리자 활동 로그
설정된 인스턴스(1주일 넘게 경과)에서 Compute Engine 인스턴스 메타데이터 ssh 키 값에 대한 수정 사항 감지.
지속성: Compute Engine 관리자가 시작 스크립트를 추가함미리보기 gce_admin_add_startup_script Cloud 감사 로그:
관리자 활동 로그
설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값의 수정 사항 감지.
사용자 인증 정보 액세스: 권한이 있는 그룹 조인 가능성 위험
미리보기
privileged_group_opened_to_public Google Workspace:
관리 감사
권한:
DATA_READ

권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)이 일반 대중에 액세스 가능하도록 변경되었을 때 이를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.

발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

사용자 인증 정보 액세스: 하이브리드 그룹에 부여된 중요한 역할
미리보기
sensitive_role_to_group_with_external_member Cloud 감사 로그:
관리자 활동 로그

외부 구성원이 포함된 Google 그룹에 중요한 역할이 부여될 때 이를 감지합니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.

발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

사용자 인증 정보 액세스: 권한 있는 그룹에 추가된 외부 구성원
미리보기
external_member_added_to_privileged_group Google Workspace 로그:
로그인 감사
권한:
DATA_READ

외부 구성원이 권한 있는 Google 그룹(중요한 역할 또는 권한이 부여된 그룹)에 추가될 때 이를 감지합니다. 새로 추가된 구성원과 동일한 조직의 외부 구성원이 그룹에 아직 추가되지 않은 경우에만 발견 항목이 생성됩니다. 자세한 내용은 안전하지 않은 Google 그룹 변경을 참조하세요.

발견 항목은 그룹 변경과 연결된 역할의 중요도에 따라 높음 또는 중간 중요도로 분류됩니다. 자세한 내용은 중요한 IAM 역할 및 권한을 참조하세요.

초기 액세스: 사용 중지됨 비밀번호 유출 account_disabled_password_leak Google Workspace 로그:
로그인 감사
권한:
DATA_READ
비밀번호 유출이 감지되어 사용자의 계정이 사용 중지되었습니다.
초기 액세스: 의심스러운 로그인이 차단됨 suspicious_login Google Workspace 로그:
로그인 감사
권한:
DATA_READ
사용자의 계정에 대한 의심스러운 로그인이 감지되어 차단되었습니다.
초기 액세스: 계정 사용 중지됨 계정 도용 account_disabled_hijacked Google Workspace 로그:
로그인 감사
권한:
DATA_READ
의심스러운 활동으로 인해 사용자의 계정이 정지되었습니다.
방어력 손상: 2단계 인증이 사용 중지됨 2sv_disable Google Workspace 로그:
로그인 감사
권한:
DATA_READ
사용자가 2단계 인증을 사용 중지했습니다.
초기 액세스: 정부 기반 공격 gov_attack_warning Google Workspace 로그:
로그인 감사
권한:
DATA_READ
정부 지원 해킹 공격자가 사용자 계정이나 컴퓨터를 도용하려고 했을 수 있습니다.
지속성: SSO 사용 설정 전환 toggle_sso_enabled Google Workspace:
관리자 감사
관리자 계정의 SSO(싱글 사인온) 사용 설정이 사용 중지되었습니다.
지속성: SSO 설정이 변경됨 change_sso_settings Google Workspace:
관리자 감사
관리자 계정의 SSO 설정이 변경되었습니다.
방어력 손상: 강력한 인증이 사용 중지됨 enforce_strong_authentication Google Workspace:
관리자 감사
조직의 2단계 인증이 사용 중지되었습니다.

커스텀 감지 규칙을 만들려면 로그 데이터를 BigQuery에 내보낸 다음 위협 모델을 캡처하는 고유 또는 반복 SQL 쿼리를 실행합니다.

안전하지 않은 Google 그룹 변경사항

이 섹션에서는 Event Threat Detection에서 Google Workspace 로그, Cloud 감사 로그, IAM 정책을 사용하여 안전하지 않은 Google 그룹스 변경사항을 감지하는 방법을 설명합니다.

Google Cloud 고객은 Google 그룹스를 사용하여 자신의 조직에 있는 구성원에 대해 역할 및 권한을 관리하거나 사용자 컬렉션에 액세스 정책을 적용할 수 있습니다. 구성원에 직접 역할을 부여하는 대신 관리자가 Google 그룹스에 역할 및 권한을 부여하고 구성원을 특정 그룹에 추가할 수 있습니다. 그룹 구성원은 구성원이 특정 리소스 및 서비스에 액세스할 수 있도록 그룹의 모든 역할 및 권한을 상속합니다.

Google 그룹스를 사용하면 액세스 제어를 규모에 맞게 편리하게 관리할 수 있지만, 조직 또는 도메인에 속하지 않은 외부 사용자가 권한이 있는 그룹(즉, 민감한 역할 또는 권한이 부여된 그룹)에 추가될 위험이 있습니다. 민감한 역할은 보안 및 네트워크 설정, 로그, 개인 식별 정보(PII)에 대한 액세스를 제어하며 외부 그룹 구성원에게는 추천되지 않습니다.

대규모 조직에서는 외부 구성원이 권한 있는 그룹에 추가되는 시기를 관리자가 알지 못할 수 있습니다. Cloud 감사 로그는 그룹에 대한 역할 부여를 기록하지만, 이러한 로그 이벤트에는 그룹 구성원에 대한 정보가 포함되어 있지 않으므로 일부 그룹 변경사항의 잠재적 영향을 가릴 수 있습니다.

Google Cloud와 Google Workspace 로그를 공유하는 경우 Event Threat Detection에서 조직의 Google 그룹에 추가된 새 구성원의 로깅 스트림을 모니터링합니다.

Event Threat Detection은 외부 그룹 구성원을 식별하고, Cloud 감사 로그를 사용해서 영향을 받는 각 그룹의 IAM 역할을 검토하여 그룹에 중요한 역할이 부여되었는지 확인합니다. 이 정보는 권한 있는 Google 그룹에서 다음과 같은 안전하지 않은 변경사항을 감지하기 위해 사용됩니다.

  • 외부 그룹 구성원이 권한 있는 그룹에 추가됨
  • 민감한 역할 또는 권한이 외부 그룹 구성원이 있는 그룹에 부여됨
  • 일반 대중 누구나 참여할 수 있도록 변경된, 권한 있는 그룹

Event Threat Detection은 발견 항목을 Security Command Center에 기록합니다. 발견 항목에는 새로 추가된 외부 구성원의 이메일 주소, 이벤트를 시작하는 내부 그룹 구성원, 그룹 이름, 그룹과 연결된 중요한 역할이 포함되어 있습니다. 이 정보를 사용하여 그룹에서 외부 구성원을 삭제하거나 그룹에 부여된 중요한 역할을 취소할 수 있습니다.

Event Threat Detection 발견 항목에 대한 자세한 내용은 Event Threat Detection 규칙을 참조하세요.

중요한 IAM 역할 및 권한

안전하지 않은 Google 그룹 변경사항에서는 높음 또는 중간 민감도의 역할이 변경사항과 관련된 경우에만 발견 항목을 생성합니다. 역할의 민감도가 발견 항목에 할당된 심각도에 영향을 미칩니다.

  • 높음 민감도 역할은 결제, 방화벽 설정, 로깅을 포함한 조직의 중요 서비스를 제어합니다. 이러한 역할과 일치하는 발견 항목은 심각도가 높음으로 분류됩니다.
  • 중간 민감도 역할에는 주 구성원이 Google Cloud 리소스를 변경할 수 있는 수정 권한이 있으며, 흔히 민감한 정보를 보유하고 있는 데이터 저장소 서비스에 대한 보기 및 실행 권한이 있습니다. 발견 항목에 할당되는 심각도는 리소스에 따라 다릅니다.
    • 중간 민감도 역할이 조직 수준에서 부여되면 발견 항목은 높음 심각도로 분류됩니다.
    • 중간 민감도 역할이 리소스 계층 구조(폴더, 프로젝트, 버킷 등)의 낮은 수준에서 부여되면 발견 항목은 중간 심각도로 분류됩니다.

Event Threat Detection은 다음의 높음 및 중간 민감도 역할과 일치하는, 안전하지 않은 Google 그룹 변경사항을 감지합니다.

표 1. 높음 민감도 역할
카테고리 역할 설명
기본 역할: 모든 Google Cloud 서비스에서 수천 개의 권한을 포함합니다. roles/owner 기본 역할
roles/editor
보안 역할: 보안 설정에 대한 액세스 제어 roles/cloudkms.* 모든 Cloud Key Management Service 역할
roles/cloudsecurityscanner.* 모든 Web Security Scanner 역할
roles/dlp.* 모든 Cloud Data Loss Prevention 역할.
roles/iam.* 모든 IAM 역할
roles/secretmanager.* 모든 Secret Manager 역할
roles/securitycenter.* 모든 Security Command Center 역할
Logging 역할: 조직 로그에 대한 액세스 제어 roles/errorreporting.* 모든 Error Reporting 역할
roles/logging.* 모든 Cloud Logging 역할
roles/stackdriver.* 모든 Cloud Monitoring 역할
개인 정보 역할: 은행 및 연락처 정보를 포함하여 개인 식별 정보가 포함된 리소스에 대한 액세스 제어 roles/billing.* 모든 Cloud Billing 역할
roles/healthcare.* 모든 Cloud Healthcare API 역할
roles/essentialcontacts.* 모든 필수 연락처 역할
네트워킹 역할: 조직의 네트워크 설정에 대해 액세스를 제어합니다. roles/dns.* 모든 Cloud DNS 역할
roles/domains.* 모든 Cloud Domains 역할
roles/networkconnectivity.* 모든 Network Connectivity Center 역할
roles/networkmanagement.* 모든 Network Connectivity Center 역할
roles/privateca.* 모든 Certificate Authority Service 역할
서비스 역할: Google Cloud의 서비스 리소스에 대해 액세스를 제어합니다. roles/cloudasset.* 모든 Cloud 애셋 인벤토리 역할
roles/servicedirectory.* 모든 서비스 디렉터리 역할
roles/servicemanagement.* 모든 서비스 관리 역할
roles/servicenetworking.* 모든 서비스 네트워킹 역할
roles/serviceusage.* 모든 서비스 사용량 역할
Compute Engine 역할: 장기 실행 작업을 수행하고 방화벽 규칙과 연결된 Compute Engine 가상 머신에 대한 액세스 제어

roles/compute.admin

roles/compute.instanceAdmin

roles/compute.instanceAdmin.v1

roles/compute.loadBalancerAdmin

roles/compute.networkAdmin

roles/compute.orgFirewallPolicyAdmin

roles/compute.orgFirewallPolicyUser

roles/compute.orgSecurityPolicyAdmin

roles/compute.orgSecurityPolicyUser

roles/compute.orgSecurityResourceAdmin

roles/compute.osAdminLogin

roles/compute.publicIpAdmin

roles/compute.securityAdmin

roles/compute.storageAdmin

roles/compute.xpnAdmin

모든 Compute Engine 관리자편집자 역할
표 2. 중간 민감도 역할
카테고리 역할 설명
수정 역할: Google Cloud 리소스를 변경할 수 있는 권한이 포함된 IAM 역할입니다.

예를 들면 다음과 같습니다.

roles/storage.objectAdmin

roles/file.editor

roles/source.writer

roles/container.developer

역할 이름은 일반적으로 관리자, 소유자, 편집자 또는 작성자와 같은 명칭으로 끝납니다.

테이블의 마지막 행에서 노드를 확장하여 모든 중간 중요도 역할을 확인합니다.

데이터 스토리지 역할: 데이터 스토리지 서비스를 보고 실행할 수 있는 권한이 포함된 IAM 역할입니다.

예를 들면 다음과 같습니다.

roles/cloudsql.viewer

roles/cloudsql.client

roles/bigquery.dataViewer

roles/bigquery.user

roles/spanner.databaseReader

roles/spanner.databaseUser

테이블의 마지막 행에서 노드를 확장하여 모든 중간 중요도 역할을 확인합니다.
모든 중간 중요도 역할

액세스 승인
roles/accessapproval.approver
roles/accessapproval.configEditor

Access Context Manager
roles/accesscontextmanager.gcpAccessAdmin
roles/accesscontextmanager.policyAdmin
roles/accesscontextmanager.policyEditor

작업
roles/actions.Admin

AI Platform
roles/ml.admin
roles/ml.developer
roles/ml.jobOwner
roles/ml.modelOwner
roles/ml.modelUser

API 게이트웨이
roles/apigateway.admin

App Engine
roles/appengine.appAdmin
roles/appengine.appCreator
roles/appengine.serviceAdmin

AutoML
roles/automl.admin
roles/automl.editor

BigQuery
roles/bigquery.admin
roles/bigquery.dataEditor
roles/bigquery.dataOwner
roles/bigquery.dataViewer
roles/bigquery.resourceAdmin
roles/bigquery.resourceEditor
roles/bigquery.resourceViewer
roles/bigquery.user

Binary Authorization
roles/binaryauthorization.attestorsAdmin
roles/binaryauthorization.attestorsEditor
roles/binaryauthorization.policyAdmin
roles/binaryauthorization.policyEditor

Cloud Bigtable
roles/bigtable.admin
roles/bigtable.reader
roles/bigtable.user

Cloud Build
roles/cloudbuild.builds.builder
roles/cloudbuild.builds.editor

Cloud Deployment Manager
roles/deploymentmanager.editor
roles/deploymentmanager.typeEditor

Cloud Endpoints
roles/endpoints.portalAdmin베타

Cloud Functions
roles/cloudfunctions.admin
roles/cloudfunctions.developer
roles/cloudfunctions.invoker

Cloud IoT
roles/cloudiot.admin
roles/cloudiot.deviceController
roles/cloudiot.editor
roles/cloudiot.provisioner

Cloud Life Sciences
roles/genomics.admin
roles/genomics.admin
roles/lifesciences.admin
roles/lifesciences.editor

Cloud Monitoring
roles/monitoring.admin
roles/monitoring.alertPolicyEditor
roles/monitoring.dashboardEditor
roles/monitoring.editor
roles/monitoring.metricWriter
roles/monitoring.notificationChannelEditor
roles/monitoring.servicesEditor
roles/monitoring.uptimeCheckConfigEditor

Cloud Run
roles/run.admin
roles/run.developer

Cloud Scheduler
roles/cloudscheduler.admin

Cloud Source Repositories
roles/source.admin
roles/source.writer

Cloud Spanner
roles/spanner.admin
roles/spanner.backupAdmin
roles/spanner.backupWriter
roles/spanner.databaseAdmin
roles/spanner.restoreAdmin
roles/spanner.databaseReader
roles/spanner.databaseUser

Cloud Storage
roles/storage.admin
roles/storage.hmacKeyAdmin
roles/storage.objectAdmin
roles/storage.objectCreator
roles/storage.objectViewer
roles/storage.legacyBucketOwner
roles/storage.legacyBucketWriter
roles/storage.legacyBucketReader
roles/storage.legacyObjectOwner
roles/storage.legacyObjectReader

Cloud SQL
roles/cloudsql.admin
roles/cloudsql.editor
roles/cloudsql.client
roles/cloudsql.instanceUser
roles/cloudsql.viewer

Cloud Tasks
roles/cloudtasks.admin
roles/cloudtasks.enqueuer
roles/cloudtasks.queueAdmin
roles/cloudtasks.taskDeleter

Cloud TPU
tpu.admin

Cloud Trace
roles/cloudtrace.admin
roles/cloudtrace.agent

Compute Engine
roles/compute.imageUser
roles/compute.osLoginExternalUser
roles/osconfig.guestPolicyAdmin
roles/osconfig.guestPolicyEditor
roles/osconfig.osPolicyAssignmentAdmin
roles/osconfig.osPolicyAssignmentEditor
roles/osconfig.patchDeploymentAdmin

컨테이너 분석
roles/containeranalysis.admin
roles/containeranalysis.notes.attacher
roles/containeranalysis.notes.editor
roles/containeranalysis.occurrences.editor

Data Catalog
roles/datacatalog.admin
roles/datacatalog.categoryAdmin
roles/datacatalog.entryGroupCreator
roles/datacatalog.entryGroupOwner
roles/datacatalog.entryOwner

Dataflow
roles/dataflow.admin
roles/dataflow.developer

Dataproc
roles/dataproc.admin
roles/dataproc.editor

Dataproc Metastore
roles/metastore.admin
roles/metastore.editor

Datastore
roles/datastore.importExportAdmin
roles/datastore.indexAdmin
roles/datastore.owner
roles/datastore.user

Eventarc
roles/eventarc.admin
roles/eventarc.developer
roles/eventarc.eventReceiver

Filestore
roles/file.editor

Firebase
roles/firebase.admin
roles/firebase.analyticsAdmin
roles/firebase.developAdmin
roles/firebase.growthAdmin
roles/firebase.qualityAdmin
roles/firebaseabt.admin
roles/firebaseappcheck.admin
roles/firebaseappdistro.admin
roles/firebaseauth.admin
roles/firebasecrashlytics.admin
roles/firebasedatabase.admin
roles/firebasedynamiclinks.admin
roles/firebasehosting.admin
roles/firebaseinappmessaging.admin
roles/firebaseml.admin
roles/firebasenotifications.admin
roles/firebaseperformance.admin
roles/firebasepredictions.admin
roles/firebaserules.admin
roles/firebasestorage.admin
roles/cloudconfig.admin
roles/cloudtestservice.testAdmin

Game Servers
roles/gameservices.admin

Google Cloud VMware Engine
vmwareengine.vmwareengineAdmin

Google Kubernetes Engine
roles/container.admin
roles/container.clusterAdmin
roles/container.developer

Google Kubernetes Engine Hub
roles/gkehub.admin
roles/gkehub.gatewayAdmin
roles/gkehub.connect

Google Workspace
roles/gsuiteaddons.developer

IAP(Identity-Aware Proxy)
roles/iap.admin
roles/iap.settingsAdmin

Microsoft Active Directory용 관리형 서비스
roles/managedidentities.admin
roles/managedidentities.domainAdmin
roles/managedidentities.viewer

Redis용 Memorystore
roles/redis.admin
roles/redis.editor

Notebooks
roles/notebooks.admin
roles/notebooks.legacyAdmin

On-Demand Scanning API
roles/ondemandscanning.admin

Ops Config Monitoring
roles/opsconfigmonitoring.resourceMetadata.writer

조직 정책 서비스
roles/axt.admin
roles/orgpolicy.policyAdmin

기타 역할
roles/autoscaling.metricsWriter
roles/autoscaling.sitesAdmin
roles/autoscaling.stateWriter
roles/chroniclesm.admin
roles/dataprocessing.admin
roles/earlyaccesscenter.admin
roles/firebasecrash.symbolMappingsAdmin
roles/identityplatform.admin
roles/identitytoolkit.admin
roles/oauthconfig.editor
roles/retail.admin
roles/retail.editor
roles/runtimeconfig.admin

근접도 비콘
roles/proximitybeacon.attachmentEditor
roles/proximitybeacon.beaconEditor

Pub/Sub
roles/pubsub.admin
roles/pubsub.editor

Pub/Sub Lite
roles/pubsublite.admin
roles/pubsublite.editor
roles/pubsublite.publisher

reCAPTCHA Enterprise
roles/recaptchaenterprise.admin
roles/recaptchaenterprise.agent

Recommendations AI
roles/automlrecommendations.admin
roles/automlrecommendations.editor

추천자
roles/recommender.billingAccountCudAdmin
roles/recommender.cloudAssetInsightsAdmin
roles/recommender.cloudsqlAdmin
roles/recommender.computeAdmin
roles/recommender.firewallAdmin
roles/recommender.iamAdmin
roles/recommender.productSuggestionAdmin
roles/recommender.projectCudAdmin

Resource Manager
roles/resourcemanager.folderAdmin
roles/resourcemanager.folderCreator
roles/resourcemanager.folderEditor
roles/resourcemanager.folderIamAdmin
roles/resourcemanager.folderMover
roles/resourcemanager.lienModifier
roles/resourcemanager.organizationAdmin
roles/resourcemanager.projectCreator
roles/resourcemanager.projectDeleter
roles/resourcemanager.projectIamAdmin
roles/resourcemanager.projectMover
roles/resourcemanager.tagAdmin

리소스 설정
roles/resourcesettings.admin

서버리스 VPC 액세스
roles/vpcaccess.admin

서비스 소비자 관리
roles/serviceconsumermanagement.tenancyUnitsAdmin

Storage Transfer Service
roles/storagetransfer.admin
roles/storagetransfer.user

Vertex AI
roles/aiplatform.admin
roles/aiplatform.featurestoreAdmin
roles/aiplatform.migrator
roles/aiplatform.user

Workflows
roles/workflows.admin
roles/workflows.editor

로그 유형

Event Threat Detection은 Google Cloud 및 Google Workspace에서 생성된 로그를 사용합니다. 대부분의 로그는 기본적으로 사용 중지되어 있으며 사용자가 생성해야 할 로그와 액세스할 수 있는 제품을 결정할 수 있습니다. 하지만 Event Threat Detection을 사용하려면 Event Threat Detection에서 완전한 가시성을 확보해야 할 조직, 폴더, 프로젝트의 로그를 사용 설정해야 합니다.

Event Threat Detection은 Cloud 감사 로그의 일부인 관리자 활동 로그를 자동으로 사용합니다. 관리자 활동 로그는 구성할 필요가 없으며, 자동으로 생성됩니다.

또한 Event Threat Detection은 서비스가 특정 위협을 감지하기 위해 사용하는 추가 로그를 설정할 때 가장 효과적으로 작동합니다. 다음 각 소스에 대해 로그를 사용 설정하려면 다음 가이드를 따릅니다.

Google Workspace 감사 로그가 사용 설정되고 Google Workspace 환경에서 유지 관리됩니다. 하지만 Event Threat Detection이 Google Workspace 위협을 액세스하고 감지할 수 있도록 하려면 이를 Google Cloud와 공유해야 합니다. Google Workspace 로그 공유에 대한 자세한 내용은 다음 가이드를 참조하세요.

다음 단계