Security Command Center 개요

이 페이지에서는 엔터프라이즈 등급의 경우 클라우드 보안과 엔터프라이즈 보안 운영을 조합하고 Mandiant 전문성과 Gemini 인공지능의 인사이트를 제공하는 위험 관리 솔루션인 Security Command Center에 대해 개괄적으로 설명합니다.

Security Command Center는 보안 운영 센터(SOC) 분석가, 취약점 및 상황 분석가, 규정 준수 관리자, 기타 보안 전문가가 여러 클라우드 환경에서 보안 문제를 빠르게 평가 및 조사하고 대처할 수 있게 해줍니다.

모든 클라우드 배포에는 고유한 위험이 포함되어 있습니다. Security Command Center는 Google Cloud에서 프로젝트 또는 조직의 공격 표면은 물론 기타 클라우드 환경의 공격 표면을 이해하고 평가할 수 있게 도와줍니다. 리소스 보호를 위해 적절하게 구성된 Security Command Center는 클라우드 환경에서 감지된 취약점 및 위협을 파악하고 중요도에 따라 수정 사항을 선별할 수 있게 도와줍니다.

Security Command Center는 많은 Google Cloud 서비스와 통합되어 여러 클라우드 환경의 보안 문제를 감지합니다. 이러한 서비스는 리소스 메타데이터 스캔, 클라우드 로그 스캔, 컨테이너 스캔, 가상 머신 스캔과 같은 여러 방법으로 문제를 감지합니다.

Chronicle Security Operations 및 Mandiant와 같이 이렇게 통합된 서비스 중 일부는 감지된 문제에 대한 조사 및 대응 방안을 선별 및 관리하는 데 핵심적인 기능과 정보를 제공합니다.

위협 관리

Security Command Center는 기본 제공 및 통합된 Google Cloud 서비스를 모두 사용해서 위협을 감지합니다. 이러한 서비스는 Google Cloud 로그, 컨테이너, 가상 머신을 스캔하여 위협 지표를 찾습니다.

Event Threat Detection 또는 Container Threat Detection과 같은 이러한 서비스 중 일부는 위협 지표를 감지했을 때 발견 항목을 생성합니다. 발견 항목이란 서비스가 클라우드 환경에서 찾은 개별 위협 또는 기타 문제에 대한 보고서 또는 기록을 의미합니다. 발견 항목을 생성하는 서비스를 발견 항목 소스라고도 부릅니다.

발견 항목은 알림을 트리거하며, 이러한 알림은 발견 항목의 심각도에 따라 케이스를 생성할 수 있습니다. 티켓팅 시스템과 함께 케이스를 사용해서 해당 케이스에 포함된 하나 이상의 알림에 대한 조사 및 대응 작업을 위해 작업 소유자를 지정할 수 있습니다. Security Command Center에서 알림 및 케이스 생성은 Chronicle SecOps를 기반으로 합니다.

Security Command Center는 여러 클라우드 환경에서 위협을 감지할 수 있습니다. 다른 클라우드 플랫폼에서 위협을 감지하기 위해 Security Command Center는 사용자가 연결을 설정한 후 다른 제공업체의 로그를 수집합니다. 로그 수집은 Chronicle SecOps에서 처리됩니다.

자세한 내용은 다음 페이지를 참조하세요.

위협 감지 및 대응 기능

SOC 분석가는 Security Command Center를 통해 다음과 같은 보안 목표를 달성할 수 있습니다.

  • 클라우드 환경에서 잠재적 보안을 나타내는 이벤트를 감지하고 관련된 발견 항목 또는 알림을 정리합니다.
  • 소유자를 지정하고 통합된 케이스 워크플로에 따라 조사 및 대응 상태를 추적합니다. 선택적으로 Jira 또는 ServiceNow와 같은 원하는 티켓팅 시스템을 통합할 수 있습니다.
  • 강력한 검색 및 교차 참조 기능으로 위협 알림을 조사합니다.
  • 대응 워크플로를 정의하고 작업을 자동화하여 클라우드 환경에서 잠재적 공격에 대응합니다. Chronicle SecOps를 기반으로 하는 대응 워크플로와 플레이북이 포함된 자동화 조치 정의에 대한 자세한 내용은 플레이북 작업을 참조하세요.
  • 거짓양성으로 확인된 발견 항목 또는 알림을 숨기거나 제외합니다.
  • 손상된 ID 및 액세스 권한과 관련된 위협에 집중합니다.
  • Security Command Center를 사용해서 AWS와 같은 기타 클라우드 환경에서 잠재적 위협을 감지, 조사, 대응합니다.

취약점 관리

Security Command Center는 해당 환경의 리소스를 자동으로 스캔하여 소프트웨어 취약점, 구성 오류, 공격에 대한 노출 가능성이 있는 기타 유형의 보안 문제를 찾기 위해 다양한 Google Cloud 서비스를 활용해서 포괄적인 취약점 감지 기능을 제공합니다. 이러한 유형의 문제들을 총체적으로 취약점이라고 부릅니다.

Security Command Center는 기본 제공 및 통합 Google Cloud 서비스를 모두 사용해서 보안 문제를 감지합니다. 발견 항목을 생성하는 서비스를 발견 항목 소스라고도 부릅니다. 서비스로 문제가 감지되면 해당 문제를 기록하기 위해 발견 항목이 생성됩니다.

높음 심각도와 중요 심각도의 취약점 발견 항목의 경우에는 우선적으로 해결할 수 있도록 케이스가 자동으로 개설됩니다. 케이스가 개설된 경우 소유자를 지정하고 해결 상황을 추적할 수 있습니다.

추가 정보:

소프트웨어 취약점

소프트웨어 취약점을 식별 및 파악하고 우선순위를 선별할 수 있도록 Security Command Center는 클라우드 환경에서 가상 머신(VM)과 컨테이너의 취약점을 평가합니다. 감지된 각 취약점에 대해 Security Command Center는 발견 항목 레코드 또는 발견 항목에 대한 심층 정보를 제공합니다. 발견 항목과 함께 제공된 정보에는 다음 항목이 포함될 수 있습니다.

  • 영향을 받는 리소스에 대한 세부정보
  • CVE 항목의 영향 및 취약성과 관련된 Mandiant의 평가가 포함된 연관된 CVE 레코드에 대한 정보
  • 해결 우선순위를 선별하는 데 도움이 되는 공격 노출 점수
  • 취약점으로 노출된 중요 리소스에 대해 공격자가 선택할 수 있는 경로의 시각적 표현

구성 오류

Security Command Center는 구성 오류를 스캔하는 서비스의 감지기를 업계 규정 준수 표준의 제어 방식에 매핑합니다. 이러한 매핑을 통해 구성 오류로 위반된 규정 준수 표준을 확인하고 여러 표준에 따라 현재의 규정 준수 상태를 파악하고 이를 보고서로 내보낼 수 있습니다.

자세한 내용은 규정 준수 평가 및 보고를 참조하세요.

상황 위반

Security Command Center의 프리미엄 및 엔터프라이즈 등급에는 보안 상황 서비스가 포함되어 있습니다. 이 서비스는 해당 클라우드 리소스에서 사용자가 클라우드 환경에 배포한 보안 상황에 정의된 정책 위반이 발생할 때 발견 항목을 생성합니다.

자세한 내용은 보안 상황 서비스를 참조하세요.

코드형 인프라 검증

코드형 인프라(IaC) 파일이 사용자가 보안 상황에 정의하는 정책을 포함하여 Google Cloud 조직에 정의하는 정책과 일치하는지 확인할 수 있습니다. 이 기능은 조직 표준을 위반하는 리소스를 배포하지 않도록 방지하는데 도움이 됩니다. 조직 정책을 정의하고 필요에 따라 Security Health Analytics 서비스를 사용 설정한 후에는 Google Cloud CLI를 사용해서 Terraform 계획 파일을 검증하거나 검증 프로세스를 Jenkins 또는 GitHub Actions 개발자 워크플로에 통합할 수 있습니다. 자세한 내용은 조직 정책에 따라 IaC 검증을 참조하세요.

다른 클라우드 플랫폼의 취약점 및 구성 오류 감지

Security Command Center 엔터프라이즈는 여러 클라우드 환경의 취약점을 감지할 수 있습니다. 다른 클라우드 서비스 제공업체의 취약점을 감지하기 위해서는 먼저 해당 제공업체에 연결을 설정해서 리소스 메타데이터를 수집해야 합니다.

자세한 내용은 취약점 감지 및 위험 평가를 위해 AWS에 연결을 참조하세요.

취약점 및 상황 관리 기능

취약점 분석가, 상황 관리자, 기타 비슷한 보안 전문가는 Security Command Center를 통해 다음과 같은 보안 목표를 달성할 수 있습니다.

  • 소프트웨어 취약점, 구성 오류, 상황 위반 등 클라우드 환경을 잠재적 공격에 노출할 수 있는 여러 유형의 취약점을 감지합니다.
  • 발견 항목 및 취약점 알림에 대한 공격 노출 점수를 사용해서 위험 수준이 가장 높은 문제에 대응 및 해결 노력을 집중합니다.
  • 케이스를 사용하고 Jira 또는 ServiceNow와 같은 원하는 티켓팅 시스템을 통합하여 소유자를 지정하고 취약점 해결 과정을 추적합니다.
  • 공격 노출 점수를 낮춰서 클라우드 환경에서 중요 가치의 리소스를 선제적으로 보호합니다.
  • Security Command Center가 보안 상황을 평가하고 위반 사항을 알리기 위해 사용하는 클라우드 환경에 대한 커스텀 보안 상황을 정의합니다.
  • 거짓양성으로 확인된 발견 항목 또는 알림을 숨기거나 제외합니다.
  • ID 및 초과 권한과 관련된 취약점에 집중합니다.
  • Security Command Center를 사용해서 AWS를 비롯한 다양한 클라우드 환경 전반의 취약점 및 위험 평가를 감지하고 관리합니다.

공격 노출 점수 및 공격 경로로 위험 평가

조직 수준의 프리미엄 및 엔터프라이즈 등급 활성화를 통해 Security Command Center는 중요 리소스에 대한 공격 노출 점수를 제공하고 이에 영향을 주는 취약점 및 구성 오류를 식별합니다.

이러한 점수를 이용해서 취약점 및 구성 오류의 해결 우선순위를 분류하고, 노출 수준이 가장 높은 중요 리소스 보안을 선별하고, 공격에 대한 클라우드 환경의 노출 정도를 평가할 수 있습니다.

Google Cloud 콘솔에서 위험 개요 페이지활성 취약점 창에 있는 공격 노출 점수별 발견 항목 탭에는 발견 항목 점수 분포와 함께 해당 환경에서 공격 노출 점수가 가장 높은 발견 항목이 표시됩니다.

자세한 내용은 공격 노출 점수 및 공격 경로를 참조하세요.

케이스와 함께 발견 항목 및 알림 관리

Security Command Center 엔터프라이즈는 발견 항목과 알림을 관리하고, 소유자를 지정하고, 감지된 보안 문제에 대한 조사 및 대응을 관리할 수 있도록 케이스를 생성합니다. 케이스는 높음 심각도와 중요 심각도의 문제에 대해 자동으로 개설됩니다.

Jira 또는 ServiceNow와 같은 선호하는 티켓팅 시스템에 케이스를 통합할 수 있습니다. 케이스가 업데이트되면 해당 케이스의 미결 티켓도 자동으로 업데이트될 수 있습니다. 마찬가지로 티켓이 업데이트되면 해당 케이스도 자동으로 업데이트될 수 있습니다.

케이스 기능은 Chronicle SecOps를 기반으로 합니다.

자세한 내용은 Chronicle SecOps 문서의 케이스 개요를 참조하세요.

대응 워크플로 및 자동화된 작업 정의

클라우드 환경에서 감지된 보안 문제를 조사하고 대응하도록 대응 워크플로를 정의하고 작업을 자동화합니다.

Chronicle SecOps를 기반으로 하는 대응 워크플로와 플레이북이 포함된 자동화 조치 정의에 대한 자세한 내용은 플레이북 작업을 참조하세요.

멀티 클라우드 지원: 다른 클라우드 플랫폼의 배포 보안

다른 클라우드 플랫폼의 배포를 포함하도록 Security Command Center 서비스 및 기능을 확장하여, 모든 클라우드 환경에서 감지되는 모든 위협 및 취약점을 단일 위치에서 관리할 수 있습니다.

Security Command Center를 다른 클라우드 서비스 제공업체로 연결하는 방법은 다음 페이지를 참조하세요.

지원되는 클라우드 서비스 제공업체

Security Command Center는 Amazon Web Services(AWS)에 연결할 수 있습니다.

보안 상황 정의 및 관리

조직 수준의 Security Command Center 프리미엄 및 엔터프라이즈 등급 활성화를 통해 클라우드 네트워크 및 클라우드 서비스를 포함하여 클라우드 환경의 최적 보안을 위해 클라우드 애셋에 필요한 상태를 정의하는 보안 상황을 만들고 관리할 수 있습니다. 비즈니스 보안 및 규제 요구사항에 맞게 보안 상황을 맞춤설정할 수 있습니다. 보안 상황을 정의하면 조직에 대한 사이버 보안 위험을 최소화하고 공격이 발생하지 않도록 방지하는 데 도움이 될 수 있습니다.

Security Command Center 보안 상황 서비스를 사용해서 보안 상황을 정의 및 배포하고 정의된 상황을 벗어나거나 무단으로 변경하는 경우 이를 감지합니다.

보안 상황 서비스는 조직 수준에서 Security Command Center를 활성화할 때 자동으로 사용 설정됩니다.

자세한 내용은 보안 상황 개요를 참조하세요.

애셋 식별

Security Command Center에는 클라우드 환경의 애셋을 지속적으로 모니터링하는 Cloud Asset Inventory의 애셋 정보가 포함됩니다. 대부분의 애셋에 대해 IAM 및 조직 정책을 비롯한 구성 변경사항이 거의 실시간으로 감지됩니다.

Google Cloud 콘솔의 애셋 페이지에서 샘플 애셋 쿼리를 빠르게 적용, 수정, 실행하고 미리 설정된 시간 제약조건을 추가하고, 자체 애셋 쿼리를 작성할 수도 있습니다.

Security Command Center 프리미엄 또는 엔터프라이즈 등급이 있으면 공격 경로 시뮬레이션에 따라 위험 평가를 위해 중요 리소스로 지정된 애셋을 확인할 수 있습니다.

조직 또는 프로젝트의 변경사항을 빠르게 파악하고 다음과 같은 질문에 답변할 수 있습니다.

  • 포함된 프로젝트 수가 얼마이고 생성된 시간은 언제인가?
  • Compute Engine 가상 머신(VM), Cloud Storage 버킷, App Engine 인스턴스와 같이 배포 또는 사용 중인 Google Cloud 리소스는 무엇인가?
  • 배포 기록 확인
  • 다음 카테고리에서 구성, 주석 추가, 검색, 선택, 필터링, 정렬 방법을 설명합니다.
    • 애셋 및 애셋 속성
    • Security Command Center에서 애셋 또는 발견 항목에 주석을 추가할 수 있는 보안 표시
    • 기간

Cloud Asset Inventory는 항상 지원되는 애셋의 현재 상태를 파악합니다. Google Cloud 콘솔에서는 과거 검색 스캔을 검토해서 특정 시점 간에 애셋을 비교할 수 있습니다. 가상 머신 또는 유휴 IP 주소와 같이 사용되지 않는 애셋을 찾을 수도 있습니다.

Security Command Center의 Gemini 기능

Security Command Center는 Gemini를 사용해서 발견 항목 및 공격 경로에 대한 요약 정보를 제공하고 감지된 위협 및 취약점을 검색 및 조사할 수 있게 도와줍니다.

Gemini에 대한 자세한 내용은 Gemini 개요를 참조하세요.

발견 항목 및 공격 경로에 대한 Gemini 요약 정보

Security Command Center 엔터프라이즈 또는 프리미엄을 사용하는 경우 Gemini는 각 발견 항목과 Security Command Center가 VulnerabilityMisconfiguration 클래스 발견 항목에 대해 생성하는 각 시뮬레이션된 공격 경로에 대해 동적으로 생성된 설명을 제공합니다.

요약은 자연어로 작성되어 발견 항목과 그에 수반될 수 있는 공격 경로를 빠르게 파악하고 조치를 취할 수 있습니다.

요약은 Google Cloud 콘솔의 다음 위치에 표시됩니다.

  • 개별 발견 항목 이름을 클릭하면 발견 항목의 세부정보 페이지 상단에 요약이 표시됩니다.
  • Security Command Center 프리미엄 및 엔터프라이즈 등급의 경우 발견 항목에 공격 노출 점수가 있으면 해당 공격 노출 점수를 클릭하고 AI 요약을 선택하여 공격 경로 오른쪽에 요약 정보를 표시할 수 있습니다.

AI 생성 요약에 필요한 IAM 권한

AI 요약을 보려면 필수 IAM 권한이 필요합니다.

발견 항목의 경우 securitycenter.findingexplanations.get IAM 권한이 필요합니다. 이 권한이 포함된 최소 권한의 미리 정의된 IAM 역할은 보안 센터 발견 항목 뷰어(roles/securitycenter.findingsViewer) 역할입니다.

공격 경로의 경우 securitycenter.exposurepathexplan.get IAM 권한이 필요합니다. 이 권한이 포함된 가장 낮은 수준의 사전 정의된 IAM 역할은 보안 센터 노출 경로 읽기 권한자(roles/securitycenter.exposurePathsViewer) 역할입니다.

미리보기 중에는 Google Cloud 콘솔에서 이러한 권한을 사용하여 커스텀 IAM 역할에 추가할 수 없습니다.

커스텀 역할에 권한을 추가하려면 Google Cloud CLI를 사용하면 됩니다.

Google Cloud CLI를 사용하여 커스텀 역할에 권한을 추가하는 방법은 커스텀 역할 만들기 및 관리를 참조하세요.

위협 조사를 위한 자연어 검색

자연어 쿼리 및 Gemini를 사용해서 위협 발견 항목, 알림, 기타 정보에 대한 검색을 생성할 수 있습니다. 자연어 검색을 위한 Gemini 통합은 Chronicle SecOps를 기반으로 합니다. 자세한 내용은 Chronicle SecOps 문서에서 자연어를 사용하여 UDM 검색 쿼리 생성을 참조하세요.

케이스에 대한 AI 조사 위젯

발견 항목 및 알림에 대해 케이스를 파악하고 조사하기 위해 Gemini는 각 케이스에 대한 요약 정보를 제공하고 케이스 조사를 위해 선택할 수 있는 다음 단계를 제안합니다. 케이스를 보면 AI 조사 위젯에 요약 및 다음 단계가 표시됩니다.

Gemini와의 통합은 Chronicle SecOps를 기반으로 합니다.

실용적인 보안 통계

Security Command Center의 기본 제공 및 통합 Google Cloud 서비스는 애셋 및 로그를 지속적으로 모니터링하여 알려진 위협, 취약점, 구성 오류와 일치하는 침해 지표 및 구성 변경사항이 있는지 확인합니다. 이슈의 컨텍스트를 제공하기 위해 발견 항목을 다음 소스의 정보로 보강합니다.

  • 엔터프라이즈 및 프리미엄 등급:
    • Security Command Center 발견 항목과 그에 포함된 모든 공격 경로를 파악하고 조치를 취하는 데 도움이 되는 AI 생성 요약. 자세한 내용은 AI 생성 요약을 참조하세요.
    • 취약점 발견 항목에는 CVE 점수를 비롯한 해당 CVE 항목의 정보와 취약점의 잠재적 영향 및 악용 가능성과 관련된 Mandiant 평가가 포함됩니다.
    • Chronicle SecOps를 기반으로 하는 강력한 SIEMSOAR 검색 기능을 활용해서 위협 및 취약점을 조사하고 통합 타임라인에 따라 관련 항목을 쉽게 탐색할 수 있습니다.
  • VirusTotal은 Alphabet 소유 서비스로 잠재적 악성 파일, URL, 도메인 및 IP 주소에 관한 컨텍스트를 제공합니다.
  • MITRE ATT&CK 프레임워크는 클라우드 리소스에 대한 공격 기법을 설명하고 해결책 안내를 제공합니다.
  • Cloud 감사 로그(관리자 활동 로그데이터 액세스 로그)

새로운 발견 항목에 대한 알림을 거의 실시간으로 받을 수 있으므로 보안팀이 데이터를 수집하고, 위협을 식별하고, 비즈니스 피해 또는 손실을 입기 전에 추천에 따라 조치를 취할 수 있습니다.

보안 상태에 대한 중앙 집중식 뷰와 강력한 API를 사용하여 다음을 빠르게 수행할 수 있습니다.

  • 다음과 같은 질문의 답을 구할 수 있습니다.
    • 모든 사용자에게 공개되는 정적 IP 주소가 무엇인가요?
    • VM에서 실행 중인 이미지가 무엇인가요?
    • VM이 암호화폐 채굴 또는 기타 악의적인 작업에 사용되고 있다는 증거가 있나요?
    • 어떤 서비스 계정이 추가되거나 삭제되었나요?
    • 방화벽이 어떻게 구성되어 있나요?
    • 개인 식별 정보(PII) 또는 민감한 정보가 포함된 스토리지 버킷은 무엇인가요? 이 기능을 사용하려면 Sensitive Data Protection과 통합해야 합니다.
    • 어떤 클라우드 애플리케이션이 교차 사이트 스크립팅(XSS) 취약점에 취약한가요?
    • 내 Cloud Storage 버킷이 인터넷에 공개되어 있나요?
  • 애셋을 보호하기 위한 조치를 취합니다.
    • 잘못된 애셋 구성 및 규정 준수 위반에 대한 확인된 해결 단계를 구현합니다.
    • Google Cloud와 Palo Alto Networks와 같은 타사 제공업체의 위협 인텔리전스를 결합하여 많은 비용을 초래하는 컴퓨팅 레이어 위협으로부터 기업을 보호합니다.
    • 적절한 IAM 정책이 실행되도록 하고 정책이 잘못 구성되거나 예기치 않게 변경될 때 알림을 받습니다.
    • 자체적으로 또는 타사 소스에서 생성된 발견 항목을 Google Cloud 리소스 또는 기타 하이브리드 또는 멀티 클라우드 리소스와 통합합니다. 자세한 내용은 타사 보안 서비스 추가를 참조하세요.
    • Google Workspace 환경의 위협과 Google 그룹스의 안전하지 않은 변경사항에 대응합니다.

ID 및 액세스 구성 오류

Security Command Center를 사용하면 Google Cloud에서 ID 및 액세스 구성 오류의 발견 항목을 쉽게 식별하고 해결할 수 있습니다. ID 및 액세스 보안 문제 관리를 클라우드 인프라 사용 권한 관리(CIEM)라고도 합니다.

Security Command Center 구성 오류 발견 항목은 잘못 구성되었거나 Google Cloud 리소스에 대해 과도하거나 민감한 IAM 권한(access)이 부여된 주 구성원 계정(identities)을 식별합니다.

Google Cloud 콘솔의 Security Command Center 개요 페이지 하단에 있는 ID 및 액세스 발견 항목 패널에서 가장 심각한 ID 및 액세스 발견 항목을 확인할 수 있습니다.

Google Cloud 콘솔의 취약점 페이지에서 취약점 감지기 또는 ID 및 액세스 관련 카테고리를 표시하는 쿼리 사전 설정(사전 정의된 쿼리)을 선택하면 됩니다. 카테고리마다 활성 발견 항목 수가 표시됩니다.

쿼리 사전 설정에 대한 자세한 내용은 쿼리 사전 설정 적용을 참조하세요.

업계 표준 준수 관리

Security Command Center는 다양한 보안 표준의 제어에 매핑된 감지기를 통해 사용자의 규정 준수를 모니터링합니다.

Security Command Center는 지원되는 각 보안 표준에 대해 제어 하위 집합을 확인합니다. 선택된 제어의 경우 Security Command Center에 통과하는 제어 수가 표시됩니다. 통과하지 못한 제어의 경우 Security Command Center에 제어 실패를 설명하는 발견 항목 목록이 표시됩니다.

CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.

Security Command Center는 정기적으로 새로운 벤치마크 버전 및 표준에 대한 지원을 추가합니다. 이전 버전이 계속 지원되지만 결국은 지원이 중단됩니다. 사용 가능한 지원되는 최신 벤치마크 또는 표준을 사용하는 것이 좋습니다.

보안 상황 서비스를 사용하면 조직 정책 및 Security Health Analytics 감지기를 비즈니스에 적용되는 표준 및 제어에 매핑할 수 있습니다. 보안 상황을 만든 후 비즈니스 규정 준수에 영향을 미칠 수 있는 환경 변경사항을 모니터링할 수 있습니다.

규정 준수 관리에 대한 자세한 내용은 보안 표준 준수 평가 및 보고를 참조하세요.

Google Cloud에서 지원되는 보안 표준

Security Command Center는 Google Cloud의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

AWS에서 지원되는 보안 표준

Security Command Center는 Amazon Web Services(AWS)의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

보안 요구사항을 충족하는 유연한 플랫폼

Security Command Center에는 변화하는 보안 요구에 맞게 서비스 유틸리티를 개선할 수 있게 해주는 맞춤설정 및 통합 옵션이 포함되어 있습니다.

맞춤설정 옵션

맞춤설정 옵션은 다음과 같습니다.

통합 옵션

통합 옵션은 다음과 같습니다.

Security Command Center를 사용해야 하는 경우

다음 표에는 대략적인 제품 기능, 사용 사례, 필요한 콘텐츠를 빠르게 찾는 데 도움이 되는 관련 문서 링크가 포함되어 있습니다.

특성 사용 사례 관련 문서
애셋 식별 및 검토
  • 조직 또는 프로젝트와 클라우드 플랫폼 전반의 모든 애셋, 서비스, 데이터를 한 곳에서 확인합니다.
  • 지원되는 애셋의 취약점을 평가하고 가장 심각한 문제의 해결 우선순위를 지정합니다.
 Security Command Center 권장사항

액세스 제어

Google Cloud 콘솔에서 Security Command Center 사용
민감한 정보 식별
  • Sensitive Data Protection을 사용하여 민감한 데이터 및 규제 대상 데이터가 저장된 위치를 찾습니다.
  • 의도치 않은 노출을 방지하고 알아야 하는 정보에 따라 액세스 권한을 부여하도록 보장할 수 있습니다.
  • 중간 심각도 데이터 또는 높음 심각도 데이터를 포함하는 리소스를 자동으로 중요 리소스로 지정합니다.
 Sensitive Data Protection 결과를 Security Command Center로 전송
타사 SIEM 및 SOAR 제품 통합
  • Security Command Center 데이터를 외부 SIEM 및 SOAR 시스템으로 쉽게 내보냅니다.
 Security Command Center 데이터 내보내기

지속적 내보내기
구성 오류 감지
  • 클라우드 인프라를 취약한 상태로 둘 수 있는 구성 오류를 감지합니다.
  • 다른 클라우드 서비스 제공업체에서 배포 구성 오류를 감지합니다.
  • 위반한 보안 표준 제어에 따라 구성 오류 발견 항목을 확인하여 보안 표준의 규정 준수 상태를 개선합니다.
  • 공격 노출 점수에 따라 구성 오류 발견 항목의 해결 우선순위를 선별합니다.
 Security Health Analytics 개요

Web Security Scanner 개요

신속한 취약점 감지 개요

취약점 발견 항목

소프트웨어 취약점 감지
  • 취약점 발견 항목과 이러한 발견 항목이 위반하는 보안 표준 제어의 상관관계를 파악합니다.
  • 새로운 취약점과 공격 표면의 변경사항에 대한 알림을 사전에 받습니다.
  • 애플리케이션을 위험에 노출시키는 교차 사이트 스크립팅(XSS) 및 플래시 삽입과 같은 일반적인 취약점을 발견합니다.
  • Security Command Center 프리미엄에서 Mandiant 제공 취약성 및 영향 평가를 포함하여 CVE 정보를 기반으로 취약점 발견항목의 우선순위를 선별합니다.
 Web Security Scanner 개요

신속한 취약점 감지 개요

취약점 발견 항목

ID 및 액세스 제어 모니터링
  • Google Cloud 리소스 전체에 액세스 제어 정책이 올바르게 구성되어 있는지 확인하는 데 도움이 되며 정책에 잘못된 구성 또는 예기치 않은 변경이 발생할 경우 알림을 받을 수 있습니다.
  • 쿼리 사전 설정을 사용해서 ID 및 액세스 구성 오류와 초과 권한이 부여된 역할에 대한 발견 항목을 빠르게 확인합니다.
 IAM 추천자

액세스 제어

ID 및 액세스 구성 오류

위협 감지
  • 인프라에서 악성 활동 및 행위자를 감지하고 활성 위협에 대한 알림을 받습니다.
  • 다른 클라우드 플랫폼의 위협 감지
 위협 관리

Event Threat Detection 개요

Container Threat Detection 개요
오류 감지
  • Security Command Center 및 서비스가 의도한 대로 작동하지 못하게 하는 오류 및 잘못된 구성에 대한 알림을 받습니다.
 Security Command Center 오류 개요
해결 우선순위 지정
  • 공격 노출 점수를 사용해서 취약점 및 구성 오류 발견 항목의 해결 우선순위를 지정합니다.
  • 리소스에 대한 공격 노출 점수를 사용하여 비즈니스에 가장 중요한 리소스를 선제적으로 보호합니다.
 공격 노출 점수 및 공격 경로 개요
위험 해결
  • 확인 및 추천된 해결 안내를 구현하여 애셋을 빠르게 보호합니다.
  • 발견 항목의 가장 중요한 필드에 초점을 맞춰 보안 분석가가 정보에 입각하여 분류를 결정하도록 도와줍니다.
  • 관련 취약점과 위협을 보강하고 연결하여 TTP를 식별하고 캡처합니다.
  • Security Command Center 및 서비스가 제대로 작동하지 못하게 하는 오류 및 잘못된 구성을 해결합니다.
 위협 조사 및 대응

Security Health Analytics 발견 항목 문제 해결

Web Security Scanner 발견 항목 문제 해결

Rapid Vulnerability Detection 발견 항목 및 해결 방법

보안 대응 자동화

Security Command Center 오류 해결
상황 관리
  • 워크로드가 보안 표준, 규정 준수 규정, 조직의 커스텀 보안 요구사항을 준수하는지 확인합니다.
  • 워크로드를 배포하기 전에 Google Cloud 프로젝트, 폴더, 조직에 보안 제어를 적용합니다.
  • 정의된 보안 제어로부터 드리프트를 지속적으로 모니터링하고 해결합니다.
 보안 상황 개요

보안 상황 관리
타사 보안 도구 입력
  • Cloudflare, CrowdStrike, Palo Alto Networks의 Prisma Cloud, Qualys 같은 기존 보안 도구의 출력을 Security Command Center에 통합합니다. 출력을 통합하면 다음을 감지할 수 있습니다.
    • DDoS 공격
    • 손상된 엔드포인트
    • 규정 준수 정책 위반
    • 네트워크 공격
    • 인스턴스 취약점 및 위협
 Security Command Center 구성

보안 소스 생성 및 관리
실시간 알림
  • Pub/Sub 알림을 사용하여 이메일, SMS, Slack, WebEx, 기타 서비스를 통해 Security Command Center 알림을 받습니다.
  • 발견 항목 필터를 조정하여 허용 목록에서 발견 항목을 제외합니다.
 발견 항목 알림 설정

실시간 이메일 및 채팅 알림 사용 설정

보안 표시 사용

Security Command Center 데이터 내보내기

알림 필터링

허용 목록에 애셋 추가
REST API 및 Client SDK
  • 기존 보안 시스템 및 워크플로와 쉽게 통합하려면 Security Command Center REST API 또는 클라이언트 SDK를 사용하세요.
 Security Command Center 구성

프로그래매틱 방식으로 Security Command Center 액세스

Security Command Center API

데이터 상주 제어

데이터 상주 요구사항을 충족시키기 위해서는 Security Command Center 프리미엄을 처음 활성화할 때 데이터 상주 제어를 사용 설정할 수 있습니다.

데이터 상주 제어를 사용 설정하면 Security Command Center 발견 항목, 숨기기 규칙, 지속적 내보내기, BigQuery 내보내기의 저장 및 처리가 Security Command Center가 지원하는 데이터 상주 멀티 리전 중 하나로 제한됩니다.

자세한 내용은 데이터 상주 계획을 참조하세요.

Security Command Center 서비스 등급

Security Command Center는 표준, 프리미엄, 엔터프라이즈의 세 가지 서비스 등급을 제공합니다.

선택한 등급에 따라 Security Command Center에서 사용할 수 있는 기능 및 서비스가 결정됩니다.

Security Command Center 서비스 등급에 대한 질문이 있으면 계정 담당자 또는 Google Cloud 영업팀에 문의하세요.

Security Command Center 등급 사용과 관련된 비용에 대한 자세한 내용은 가격 책정을 참조하세요.

표준 등급

표준 등급에는 다음 서비스와 기능이 포함됩니다.

  • Security Health Analytics: 표준 등급의 Security Health Analytics 기능은 Google Cloud 애셋의 심각도가 높은 취약점과 잘못된 구성을 자동으로 감지할 수 있는 Google Cloud의 관리형 취약점 평가 스캔을 제공합니다. 표준 등급의 Security Health Analytics 기능에는 다음과 같은 발견 항목 유형이 포함됩니다.

    • Dataproc image outdated
    • Legacy authorization enabled
    • MFA not enforced
    • Non org IAM member
    • Open ciscosecure websm port
    • Open directory services port
    • Open firewall
    • Open group IAM member
    • Open RDP port
    • Open SSH port
    • Open Telnet port
    • Public bucket ACL
    • Public Compute image
    • Public dataset
    • Public IP address
    • Public log bucket
    • Public SQL instance
    • SSL not enforced
    • Web UI enabled
  • Web Security Scanner 커스텀 스캔: 표준 등급의 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP 주소로 배포된 애플리케이션의 커스텀 스캔을 지원합니다. 스캔은 모든 프로젝트에서 수동으로 구성, 관리, 실행되며 OWASP 상위 10개에서 카테고리의 하위 집합을 지원합니다.
  • Security Command Center 오류: Security Command Center에서는 Security Command Center 및 관련 서비스가 제대로 작동하지 못하게 막는 구성 오류에 대한 감지 및 해결 안내를 제공합니다.
  • 지속적 내보내기 기능은 Pub/Sub로 새 발견 항목 내보내기를 자동으로 관리합니다.

  • 다음을 포함한 통합 Google Cloud 서비스에 대한 액세스 권한이 있습니다.

    • Sensitive Data Protection은 민감한 정보를 검색, 분류, 보호합니다.
    • Google Cloud Armor는 위협으로부터 Google Cloud 배포를 보호합니다.
    • 이상 감지는 프로젝트 및 가상 머신(VM) 인스턴스에서 보안 이상(예: 유출 가능성이 있는 사용자 인증 정보, 암호화폐 채굴)을 식별합니다.
    • 정책 컨트롤러를 사용 설정하면 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다.
  • GKE 보안 상황 대시보드 발견 항목: Kubernetes 워크로드 보안 구성 오류, 실행 가능한 보안 게시판, 컨테이너 운영체제 또는 언어 패키지의 취약점에 대한 발견 항목을 확인합니다. GKE 보안 상황 대시보드 발견 항목과 Security Command Center의 통합은 미리보기 상태로 제공됩니다.
  • BigQuery와 통합에서 분석할 수 있도록 발견 항목을 BigQuery로 내보냅니다.
  • Google Cloud용 오픈소스 보안 툴킷인 Forseti 보안과 타사 보안 정보 및 이벤트 관리(SIEM) 애플리케이션과 통합됩니다.
  • Security Command Center가 조직 수준에서 활성화된 경우 조직, 폴더, 프로젝트 수준에서 사용자에게 IAM 역할을 부여할 수 있습니다.

프리미엄 등급

프리미엄 등급에는 표준 등급의 모든 서비스와 기능이 포함되며 다음과 같은 추가 서비스 및 기능이 포함됩니다.

  • 공격 경로 시뮬레이션은 잠재적 공격자가 가치가 높은 리소스에 도달하는 데 이용하는 경로를 식별함으로써 취약점 및 구성 오류 발견 항목을 파악하고 우선순위를 지정하는 데 도움이 됩니다. 시뮬레이션은 공격 노출 점수를 계산하여 리소스를 공격에 노출시키는 모든 발견 항목에 할당합니다. 대화형 공격 경로를 통해 가능한 공격 경로를 시각화하고 경로, 관련 발견 항목, 영향을 받는 리소스에 대한 정보를 제공할 수 있습니다.

  • 취약점 발견 항목에는 Mandiant에서 제공하는 CVE 평가가 포함되어 해결 우선순위를 정하는 데 도움이 됩니다.

    콘솔의 개요 페이지에 있는 상위 CVE 발견 항목 섹션에는 Mandiant에서 평가한 대로 악용 가능성 및 잠재적 영향별로 그룹화된 취약점 발견 항목이 표시됩니다. 발견 항목 페이지에서 CVE ID별로 발견 항목을 쿼리할 수 있습니다.

    자세한 내용은 CVE 영향 및 악용 가능성에 따른 우선순위 지정을 참조하세요.

  • Event Threat Detection은 위협 인텔리전스, 머신러닝, 기타 고급 방법을 사용하여 멀웨어, 암호화폐 채굴, 데이터 유출 등의 위협을 감지하도록 Cloud Logging 및 Google Workspace를 모니터링합니다. 기본 제공 Event Threat Detection 감지기의 전체 목록은 Event Threat Detection 규칙을 참조하세요. 커스텀 Event Threat Detection 감지기를 만들 수도 있습니다. 커스텀 감지 규칙을 만드는 데 사용할 수 있는 모듈 템플릿에 대한 자세한 내용은 Event Threat Detection용 커스텀 모듈 개요를 참조하세요.
  • Container Threat Detection 기능은 다음과 같은 컨테이너 런타임 공격을 감지합니다.
    • 추가된 바이너리가 실행됨
    • 추가된 라이브러리가 로드됨
    • 실행: 추가된 악성 바이너리 실행됨
    • 실행: 추가된 악성 라이브러리가 로드됨
    • 실행: 기본 제공되는 악성 바이너리가 실행됨
    • 실행: 수정된 악성 바이너리 실행됨
    • 실행: 수정된 악성 라이브러리가 로드됨
    • 악성 스크립트가 실행됨
    • 역방향 셸
    • 예기치 않은 하위 셸
  • 민감한 작업 서비스는 악성 행위자가 수행할 경우 비즈니스에 해를 끼칠 수 있는 작업이 Google Cloud 조직, 폴더, 프로젝트에서 수행될 때 이를 감지합니다.
  • Virtual Machine Threat Detection은 VM 인스턴스에서 실행되는 잠재적으로 악성 애플리케이션을 감지합니다.

  • 프리미엄 등급의 Security Health Analytics에는 다음 기능이 포함됩니다.

    • 모든 Security Health Analytics 감지기에 대한 관리되는 취약점 스캔
    • 여러 업계 권장사항 모니터링
    • 규정 준수 모니터링. Security Health Analytics 감지기는 일반적인 보안 벤치마크 제어에 매핑됩니다.
    • 커스텀 모듈 지원: 자체 커스텀 Security Health Analytics 감지기를 만들 수 있습니다.

    프리미엄 등급의 Security Health Analytics는 업계 표준 준수 관리에 설명된 표준을 지원합니다.

  • 프리미엄 등급의 Web Security Scanner에는 모든 표준 등급 기능과 OWASP Top Ten의 범주를 지원하는 추가 검사 프로그램이 포함되어 있습니다. Web Security Scanner는 자동으로 구성되는 관리형 스캔도 추가합니다.

  • Google Cloud 애셋 전반에서 규정 준수 모니터링

    일반적인 보안 벤치마크 및 표준으로 규정 준수를 측정하기 위해 Security Command Center 취약점 스캐너의 감지기가 일반적인 보안 표준 제어에 매핑됩니다.

    표준 규정 준수 여부를 확인하고, 규정을 준수하지 않는 제어를 식별하고, 보고서를 내보내는 등의 작업을 할 수 있습니다. 자세한 내용은 보안 표준 규정 준수 평가 및 보고를 참조하세요.

  • 확장된 애셋 모니터링이 필요한 경우 추가 Cloud 애셋 인벤토리 할당량을 요청할 수 있습니다.
  • Rapid Vulnerability Detection은 네트워크 및 웹 애플리케이션을 스캔하여 취약한 사용자 인증 정보, 완전하지 않은 소프트웨어 설치, 악용 가능성이 높은 기타 중요한 취약점을 감지합니다.
  • 보안 상황 서비스를 사용하면 Google Cloud에서 전반적인 보안 상태를 정의, 평가, 모니터링할 수 있습니다. 보안 상황 서비스는 고정 가격 구독을 구매하고 조직 수준에서 Security Command Center 프리미엄 등급을 활성화한 고객의 경우 Security Command Center 프리미엄 등급에서만 제공됩니다. 보안 상황 서비스는 사용량 기반 결제 또는 프로젝트 수준 활동을 지원하지 않습니다.
  • 보안 시작 영역 서비스는 Security Command Center 프리미엄 등급에서만 사용 설정할 수 있습니다. 사용 설정하면 이 서비스는 배포된 청사진의 리소스에 정책 위반 사항이 있으면 발견 항목을 표시하고 해당하는 알림을 생성하며 선택적으로 자동 해결 작업을 수행합니다.
  • VM Manager 취약점 보고서
    • VM Manager를 사용 설정하면 서비스에서 미리보기 상태인 취약점 보고서의 발견 항목을 Security Command Center에 자동으로 작성합니다. 이 보고서는 Compute Engine 가상 머신에 설치된 운영체제의 취약점을 식별합니다. 자세한 내용은 VM Manager를 참조하세요.

엔터프라이즈 등급

엔터프라이즈 등급은 SOC 분석가, 취약점 분석가, 기타 클라우드 보안 전문가가 여러 클라우드 서비스 제공업체 간의 보안을 하나의 중앙화된 장소에서 관리할 수 있게 해주는 완전한 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)입니다.

엔터프라이즈 등급은 커스텀 상황 규칙을 정의 및 배포하고 취약점 및 구성 오류로 인해 클라우드 환경에 발생 가능한 위험을 수량화하고 시각화하는 기능을 포함하여 감지 및 조사 기능, 케이스 관리 지원, 상황 관리 기능을 제공합니다.

엔터프라이즈 등급에는 모든 표준 및 프리미엄 등급 서비스 및 기능과 함께 다음과 같은 추가 서비스 및 기능이 포함됩니다

Chronicle Security Operations 기반의 엔터프라이즈 등급 기능

Security Command Center 엔터프라이즈 등급의 케이스 관리 기능, 플레이북 기능, 기타 SIEM 및 SOAR 기능은 Chronicle Security Operations를 기반으로 합니다. 이러한 특성 및 기능을 사용할 때는 웹 인터페이스에 Chronicle 이름이 표시될 수 있고 안내를 위해 Chronicle SecOps 문서로 연결될 수 있습니다.

특정 Chronicle SecOps 기능은 Security Command Center에서 지원되지 않거나 제한적일 수 있지만 엔터프라이즈 등급의 초기 구독에서는 이러한 사용이 사용 중지되거나 제한되지 않을 수 있습니다. 다음 특성 및 기능은 설명된 제한사항에 따라서만 사용하세요.

  • 클라우드 로그 수집은 다음과 같이 클라우드 위협 감지와 관련된 로그로 제한됩니다.
    • Google Cloud
    • Cloud 감사 로그 관리자 활동 로그
    • Cloud 감사 로그 데이터 액세스 로그
    • Compute Engine syslog
    • GKE 감사 로그
    • Google Workspace
    • Google Workspace 이벤트
    • Google Workspace 알림
    • AWS
    • CloudTrail 감사 로그
    • Syslog
    • 인증 로그
    • GuardDuty 이벤트
  • 선별된 감지는 클라우드 환경의 위협 감지로 제한됩니다.
  • Google Cloud Marketplace 통합은 다음과 같이 제한됩니다.
    • Siemplify
    • Tools
    • VirusTotal V3
    • Google Cloud 애셋 인벤토리
    • Google Security Command Center
    • Jira
    • Functions
    • Google Cloud IAM
    • Email V2
    • Google Cloud Compute
    • Google Chronicle
    • Mitre Att&ck
    • Mandiant Threat Intelligence
    • Google Cloud Policy Intelligence
    • Google Cloud Recommender
    • Siemplify Utilities
    • Service Now
    • CSV
    • SCC 엔터프라이즈
    • AWS IAM
    • AWS EC2
  • 커스텀 단일 이벤트 규칙의 개수는 20개 규칙으로 제한됩니다.
  • UEBA(사용자 및 항목 동작 분석)를 위한 위험 분석은 사용할 수 없습니다.
  • 응용 위협 인텔리전스는 사용할 수 없습니다.
  • Chronicle SecOps에 대한 Gemini 지원은 자연어 검색 및 케이스 조사 요약으로 제한됩니다.
  • 데이터 보관은 3개월로 제한됩니다.

엔터프라이즈 등급 기능 및 서비스 요약

엔터프라이즈 등급에는 데이터 상주를 제외하고 모든 표준 등급 및 프리미엄 등급 서비스와 기능이 포함됩니다.

엔터프라이즈 등급은 다음과 같은 서비스 및 기능을 Security Command Center에 추가합니다.

  • 멀티 클라우드 지원. Security Command Center를 AWS와 같은 다른 클라우드 제공업체에 연결하여 위협, 취약점, 구성 오류를 감지할 수 있습니다. 또한 다른 제공업체에서 중요 리소스를 지정한 후 공격 노출 점수 및 공격 경로를 통해 공격 노출을 평가할 수 있습니다.
  • Chronicle SecOps 기반의 클라우드 환경에 대한 SIEM(보안 정보 및 이벤트 관리) 기능. 로그 및 기타 데이터를 스캔하여 여러 클라우드 환경의 위협 요소를 검색하고, 위협 감지 규칙을 정의하고, 누적 데이터를 검색합니다. 자세한 내용은 Chronicle SecOps SIEM 문서를 참조하세요.
  • Chronicle SecOps 기반의 클라우드 환경에 대한 SOAR(보안 조정, 자동화, 대응) 기능. 케이스를 관리하고, 대응 워크플로를 정의하고, 대응 데이터를 검색합니다. 자세한 내용은 Chronicle SecOps SOAR 문서를 참조하세요.
  • 취약점 평가, VM Manager, Google Kubernetes Engine(GKE) 엔터프라이즈 에디션에서 클라우드 환경 전반의 VM 및 컨테이너에 제공되는 소프트웨어 취약점에 대한 확장 감지

Security Command Center 활성화 수준

프로젝트 수준 활성화라고 하는 개별 프로젝트 또는 조직 수준 활성화라고 하는 전체 조직에서 Security Command Center를 활성화할 수 있습니다.

엔터프라이즈 등급에는 조직 수준의 활성화가 필요합니다.

Security Command Center 활성화에 대한 자세한 내용은 Security Command Center 활성화 개요를 참조하세요.

다음 단계