이 페이지에는 Security Command Center에서 클라우드 환경의 보안 문제를 감지하는 데 사용하는 감지 서비스(보안 소스라고도 함) 목록이 포함되어 있습니다.
이러한 서비스는 문제를 감지하면 보안 문제를 식별하고 우선 순위를 지정하여 문제를 해결하는 데 필요한 정보를 제공하는 기록인 발견 항목을 생성합니다.
Google Cloud 콘솔에서 발견 항목을 보고 발견 항목 유형, 리소스 유형, 특정 애셋 필터링과 같은 다양한 방법으로 필터링할 수 있습니다. 각 보안 소스는 발견 항목을 조직화하는 데 도움이 되는 필터를 더 많이 제공할 수 있습니다.
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
취약점 감지 서비스
취약점 감지 서비스에는 클라우드 환경에서 소프트웨어 취약점, 구성 오류, 상황 위반을 감지하는 기본 제공 및 통합 서비스가 포함됩니다. 이러한 유형의 보안 문제를 총체적으로 취약점이라고 합니다.
GKE 보안 상황 대시보드
GKE 보안 상황 대시보드는 Google Cloud 콘솔에서 GKE 클러스터의 잠재적 보안 문제에 대해 독자적이고 활용 가능한 발견 항목을 제공하는 페이지입니다.
다음 GKE 보안 상황 대시보드 기능을 사용 설정하면 Security Command Center 표준 등급 또는 프리미엄 등급에 발견 항목이 표시됩니다.
GKE 보안 상황 대시보드 기능 | Security Command Center 발견 항목 클래스 |
---|---|
워크로드 구성 감사 | MISCONFIGURATION |
VULNERABILITY |
발견 항목은 보안 문제에 관한 정보를 표시하고 워크로드 또는 클러스터에서 문제 해결을 위한 권장사항을 제공합니다.
콘솔에서 GKE 보안 상황 대시보드 발견 항목 보기
Google Cloud 콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 GKE 보안 상황을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- GKE 보안 상황을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
IAM 추천자
IAM 추천자는 주 구성원에게 필요하지 않은 IAM 권한이 포함된 경우 주 구성원에서 IAM 역할을 삭제하거나 대체하여 보안을 개선하기 위해 수행할 수 있는 권장사항을 제공합니다.
IAM 추천자는 Security Command Center를 활성화할 때 자동으로 사용 설정됩니다.
IAM 추천자 발견 항목 사용 설정 또는 사용 중지
Security Command Center에서 IAM 추천자 발견 항목을 사용 설정 또는 사용 중지하려면 다음 단계를 따르세요.
Google Cloud 콘솔의 Security Command Center 설정 페이지에 있는 통합 서비스 탭으로 이동합니다.
필요한 경우 IAM 추천 도구 항목까지 아래로 스크롤합니다.
항목 오른쪽에서 사용 설정 또는 사용 중지를 선택합니다.
IAM 추천자의 발견사항은 취약점으로 분류됩니다.
IAM 추천자 발견 항목을 해결하려면 다음 섹션을 펼쳐 IAM 추천자 발견 항목 표를 확인하세요. 각 발견 항목의 해결 단계는 표 항목에 포함됩니다.
콘솔에서 IAM 추천자 발견 항목 보기
Google Cloud 콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 IAM 추천자를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- IAM 추천자를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
또한 Google Cloud 콘솔에서 IAM 추천자 쿼리 사전 설정을 선택하여 취약점 페이지에서 IAM 추천자 발견 항목을 볼 수 있습니다.
Mandiant Attack Surface Management
Mandiant는 일선 위협 인텔리전스 부문의 세계적인 선두업체입니다. Mandiant Attack Surface Management는 외부 공격 표면의 취약점과 잘못된 구성을 식별하여 최신 사이버 공격에 대응할 수 있도록 지원합니다.
Security Command Center Enterprise 등급을 활성화하면 Mandiant Attack Surface Management가 자동으로 사용 설정되며 발견 항목이 Google Cloud 콘솔에서 제공됩니다.
독립형 Mandiant Attack Surface Management 제품이 Security Command Center 내의 Mandiant Attack Surface Management 통합과 어떻게 다른지에 대한 자세한 내용은 Mandiant 문서 포털의 ASM 및 Security Command Center를 참조하세요. 이 링크에는 Mandiant 인증이 필요합니다.
콘솔에서 Mandiant Attack Surface Management 발견 항목 검토
Google Cloud 콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Mandiant Attack Surface Management를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- Mandiant Attack Surface Management를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
정책 컨트롤러
정책 컨트롤러를 사용 설정하면 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다. 정책은 가드레일 역할을 하며 클러스터와 Fleet의 권장사항, 보안, 규정 준수 관리에 도움이 됩니다.
정책 컨트롤러를 설치하고 CIS Kubernetes 벤치마크 v1.5.1이나 PCI-DSS v3.2.1 정책 컨트롤러 번들 또는 둘 다를 사용 설정하면 정책 컨트롤러가 Security Command Center에 클러스터 위반을 Misconfiguration
클래스 발견 항목으로 자동으로 작성합니다. Security Command Center 발견 항목의 발견 항목 설명 및 다음 단계는 해당하는 정책 컨트롤러 번들의 제약 조건 설명 및 해결 단계와 동일합니다.
정책 컨트롤러 발견 항목은 다음 정책 컨트롤러 번들에서 가져옵니다.
- CIS Kubernetes 벤치마크 v.1.5.1은 강력한 보안 상황을 지원하도록 Kubernetes를 구성하기 위한 추천 모음입니다.
cis-k8s-v1.5.1
용 GitHub 저장소에서 이 번들에 대한 정보도 확인할 수 있습니다. - PCI-DSS v3.2.1은 결제 카드 산업 데이터 보안 표준(PCI-DSS) v3.2.1의 일부 요소에 대해 클러스터 리소스의 규정 준수를 평가하는 번들입니다.
pci-dss-v3
용 GitHub 저장소에서 이 번들에 대한 정보도 확인할 수 있습니다.
정책 컨트롤러 발견 항목을 찾고 해결하려면 정책 컨트롤러 발견 항목 해결을 참조하세요.
Risk Engine
Security Command Center 위험 엔진은 클라우드 배포의 위험 노출을 평가하고 취약점 발견 항목 및 고가치 리소스에 공격 노출 점수를 할당하며 잠재적 공격자가 고가치 리소스에 도달할 수 있는 경로를 다이어그램으로 보여줍니다.
Security Command Center Enterprise 등급에서 Risk Engine은 특정 패턴에서 함께 발생할 경우 완강한 공격자가 이를 이용해 하나 이상의 고가치 리소스에 도달하여 손상시킬 수 있는 경로를 생성하는 보안 문제 그룹을 감지합니다.
위험 엔진에서 이러한 조합 중 하나를 감지하면 TOXIC_COMBINATION
클래스 발견 항목을 생성합니다.
발견 항목에서 위험 엔진이 발견 항목의 소스로 표시됩니다.
자세한 내용은 유해한 조합 개요를 참조하세요.
Security Health Analytics
Security Health Analytics는 일반적인 구성 오류를 감지하기 위해 클라우드 리소스의 관리형 스캔을 제공하는 Security Command Center의 기본 제공 감지 서비스입니다.
구성 오류가 감지되면 Security Health Analytics에서 발견 항목을 생성합니다. 대부분의 Security Health Analytics 발견 항목은 규정 준수를 평가할 수 있도록 보안 표준 제어에 매핑됩니다.
Security Health Analytics는 Google Cloud에서 리소스를 스캔합니다. Enterprise 등급을 사용하고 다른 클라우드 플랫폼에 연결을 설정하면 Security Health Analytics가 해당 클라우드 플랫폼에서 리소스를 스캔할 수도 있습니다.
사용 중인 Security Command Center 서비스 등급에 따라 사용 가능한 감지기가 다릅니다.
- 표준 등급에서 Security Health Analytics에는 중간 및 높은 심각도의 취약점 감지기 기본 그룹만 포함되어 있습니다.
- 프리미엄 등급에는 Google Cloud의 모든 취약점 감지기가 포함되어 있습니다.
- Enterprise 등급에는 다른 클라우드 플랫폼을 위한 추가 감지기가 포함되어 있습니다.
Security Health Analytics는 Security Command Center를 활성화할 때 자동으로 사용 설정됩니다.
자세한 내용은 다음을 참고하세요.
- Security Health Analytics 개요
- Security Health Analytics 사용 방법
- Security Health Analytics 발견 항목 문제 해결
- Security Health Analytics 발견 항목 참조
보안 상황 서비스
보안 상황 서비스는 Google Cloud에서 전체 보안 상태를 정의, 평가, 모니터링할 수 있게 해주는 Security Command Center 프리미엄 등급의 기본 제공 서비스입니다. 해당 환경이 보안 상황에 정의한 정책과 일치하는 정도에 대한 정보를 제공합니다.
보안 상황 서비스는 GKE 보안 상황 대시보드와 관련되지 않으며, GKE 클러스터의 발견 항목만 표시합니다.
Sensitive Data Protection
Sensitive Data Protection은 완전 관리형 Google Cloud 서비스로서 민감한 정보를 검색, 분류, 보호할 수 있게 해줍니다. Sensitive Data Protection을 사용하여 다음과 같은 민감한 정보 또는 개인 식별 정보(PII)를 저장하는지 확인할 수 있습니다.
- 사람 이름
- 신용카드 번호
- 국가 또는 주 신분증 번호
- 건강 보험 ID 번호
- 보안 비밀
Sensitive Data Protection에서 검색하는 민감한 정보의 유형을 infoType이라고 합니다.
Security Command Center로 결과를 전송하도록 Sensitive Data Protection 작업을 구성하면 Sensitive Data Protection 섹션 외에도 Google Cloud 콘솔의 Security Command Center 섹션에서 직접 발견 항목을 볼 수 있습니다.
Sensitive Data Protection 검색 서비스의 취약점 발견 항목
Sensitive Data Protection 검색 서비스를 사용하면 보호되지 않는 매우 민감한 정보를 저장하고 있는지 확인할 수 있습니다.
카테고리 | 요약 |
---|---|
API의 카테고리 이름:
|
발견 항목 설명: 지정된 리소스에 모든 사용자가 인터넷에서 액세스할 수 있는 매우 민감한 정보가 있습니다. 지원되는 애셋:
해결: Google Cloud 데이터의 경우 데이터 애셋의 IAM 정책에서 Amazon S3 데이터의 경우 공개 액세스 차단 설정을 구성하거나 객체의 ACL을 업데이트하여 공개 읽기 액세스를 거부합니다. 규정 준수 표준: 매핑되지 않음 |
API의 카테고리 이름:
|
발견 항목 설명: 환경 변수에 비밀번호, 인증 토큰, Google Cloud 사용자 인증 정보와 같은 보안 비밀이 있습니다. 이 감지기를 사용 설정하려면 Sensitive Data Protection 문서의 Security Command Center에 환경 변수의 보안 비밀 보고를 참조하세요. 지원되는 애셋: 해결: Cloud Run Functions 환경 변수의 경우 환경 변수에서 보안 비밀을 삭제하고 대신 Secret Manager에 저장합니다. Cloud Run 서비스 버전 환경 변수의 경우 모든 트래픽을 버전 외부로 이동한 후 버전을 삭제합니다. 규정 준수 표준:
|
API의 카테고리 이름:
|
발견 항목 설명: 지정된 리소스에 비밀번호, 인증 토큰, 클라우드 사용자 인증 정보와 같은 보안 비밀이 있습니다. 지원되는 애셋:
해결:
규정 준수 표준: 매핑되지 않음 |
Sensitive Data Protection의 관찰 발견 항목
이 섹션에서는 Sensitive Data Protection이 Security Command Center에서 생성하는 관찰 발견 항목에 대해 설명합니다.
검색 서비스의 관찰 발견 항목
Sensitive Data Protection 검색 서비스는 데이터에 특정 infoType이 포함되어 있는지 여부와 조직, 폴더, 프로젝트에서 상주하는 위치를 확인하는 데 도움이 됩니다. Security Command Center에서 다음과 같은 관찰 발견 항목 카테고리를 생성합니다.
Data sensitivity
- 특정 데이터 애셋의 데이터 민감도 수준을 나타냅니다. PII 또는 추가 제어나 관리가 필요할 수 있는 기타 요소가 포함된 데이터는 민감한 정보입니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection으로 계산한 민감도 수준입니다.
Data risk
- 현재 상태의 데이터와 관련된 위험입니다. 데이터 위험을 계산할 때 Sensitive Data Protection은 데이터 애셋에 있는 데이터의 민감도 수준과 해당 데이터를 보호하기 위한 액세스 제어의 존재 여부를 고려합니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection이 계산한 데이터 위험 수준입니다.
Sensitive Data Protection에서 데이터 프로필을 생성한 시간부터 연결된 관련 발견 항목이 Security Command Center에 표시되는 데 최대 6시간이 걸릴 수 있습니다.
데이터 프로필 결과를 Security Command Center로 전송하는 방법은 다음을 참조하세요.
- Security Command Center Enterprise의 경우: 민감한 정보 검색 사용 설정
- Security Command Center 프리미엄 또는 표준의 경우: Security Command Center에 데이터 프로필 게시
Sensitive Data Protection 검사 서비스의 관찰 발견 항목
Sensitive Data Protection 검사 작업은 Cloud Storage 버킷 또는 BigQuery 테이블과 같은 스토리지 시스템 내에서 특정 infoType에 해당하는 각 데이터 인스턴스를 식별합니다. 예를 들어 Cloud Storage 버킷에서 CREDIT_CARD_NUMBER
infoType 감지기와 일치하는 모든 문자열을 검색하는 검사 작업을 실행할 수 있습니다.
각 infoType 감지기에서 일치하는 항목이 하나 이상 있으면 Sensitive Data Protection은 Security Command Center에 상응하는 발견 항목을 생성합니다. 발견 항목 카테고리는 일치한 infoType 감지기의 이름입니다(예: Credit
card number
). 결과에는 리소스의 텍스트 또는 이미지에서 감지된 일치하는 문자열의 수가 포함됩니다.
보안상의 이유로 감지된 실제 문자열은 발견 항목에 포함되지 않습니다. 예를 들어 Credit card number
발견 항목은 발견된 신용카드 번호의 수를 표시하지만 실제 신용카드 번호는 표시되지 않습니다.
Sensitive Data Protection에는 150개 이상의 infoType 감지기가 기본 제공되므로 가능한 모든 Security Command Center 발견 항목 카테고리가 나열되어 있는 것은 아닙니다. infoType 감지기의 전체 목록은 InfoType 감지기 참조를 참고하세요.
검사 작업 결과를 Security Command Center로 전송하는 방법은 Sensitive Data Protection 검사 작업 결과를 Security Command Center로 보내기를 참조하세요.
콘솔에서 Sensitive Data Protection 발견 항목 검토
Google Cloud 콘솔
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 민감한 정보 보호를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- Sensitive Data Protection을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
VM Manager
VM Manager는 Compute Engine에서 Windows 및 Linux를 실행하는 대규모 가상 머신(VM) 그룹의 운영체제 관리에 사용할 수 있는 도구 모음입니다.
Security Command Center 프리미엄의 프로젝트 수준 활성화에 VM Manager를 사용하려면 상위 조직에서 Security Command Center 표준을 활성화하세요.
Security Command Center 프리미엄 등급으로 VM Manager를 사용 설정한 경우 VM Manager는 미리보기에 있는 취약점 보고서의 high
및 critical
발견 항목을 Security Command Center에 자동으로 작성합니다. 이 보고서는 Common Vulnerabilities and Exposures(CVE) 등 VM에 설치된 운영체제(OS)의 취약점을 식별합니다.
Security Command Center 표준에 대해 사용 가능한 취약점 보고서가 없습니다.
발견 항목은 미리보기 버전인 VM Manager의 패치 규정 준수 기능을 사용하는 프로세스를 간소화해 줍니다. 이 기능을 사용하면 모든 프로젝트에서 조직 수준으로 패치를 관리할 수 있습니다. VM Manager는 단일 프로젝트 수준의 패치 관리를 지원합니다.
VM Manager 발견 항목을 해결하려면 VM Manager 발견 항목 해결을 참조하세요.
취약점 보고서가 Security Command Center에 작성되지 않도록 하려면 VM Manager 발견 항목 숨기기를 참고하세요.
이 유형의 모든 취약점은 지원되는 Compute Engine VM에 설치된 운영체제 패키지와 관련이 있습니다.
감지기 | 요약 | 애셋 검사 설정 |
---|---|---|
API의 카테고리 이름: |
발견 항목 설명: VM Manager가 Compute Engine VM에 설치된 운영체제(OS) 패키지의 취약점을 감지했습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 |
VM Manager의 취약점 보고서는 Common Vulnerabilities and Exposures(CVE) 등 Compute Engine VM용으로 설치된 운영체제 패키지의 취약점을 자세히 설명합니다. 지원되는 운영체제의 전체 목록은 운영체제 세부정보를 참조하세요. 발견 항목은 취약점이 감지된 후 바로 Security Command Center에 표시됩니다. VM Manager의 취약점 보고서는 다음과 같이 생성됩니다.
|
AWS용 취약점 평가
Amazon Web Services(AWS)의 취약점 평가 서비스는 AWS 클라우드 플랫폼의 EC2 가상 머신(VM)에서 실행 중인 워크로드의 소프트웨어 취약점을 감지합니다.
감지된 각 취약점에 대해 AWS용 취약점 평가는 Security Command Center의 Software vulnerability
발견 항목 카테고리에 Vulnerability
클래스 발견 항목을 생성합니다.
AWS용 취약점 평가 서비스는 실행 중인 EC2 머신 인스턴스의 스냅샷을 스캔하므로 프로덕션 워크로드는 영향을 받지 않습니다. 스캔 타겟에 에이전트가 설치되어 있지 않으므로 이 스캔 방법을 에이전트리스 디스크 스캔이라고 합니다.
자세한 내용은 다음을 참조하세요.
Web Security Scanner
Web Security Scanner는 공개 App Engine, GKE, Compute Engine 서비스 웹 애플리케이션을 위한 관리형 커스텀 웹 취약점 스캔을 제공합니다.
관리형 스캔
Web Security Scanner 관리형 스캔은 Security Command Center에서 구성하고 관리합니다. 관리형 스캔은 매주 자동으로 실행되며 공개 웹 엔드포인트를 감지하고 스캔합니다. 이러한 스캔은 인증을 사용하지 않으며 GET 전용 요청을 전송하므로 실시간 웹사이트에서 양식을 제출하지 않습니다.
관리형 스캔은 커스텀 스캔과 별도로 실행됩니다.
Security Command Center가 조직 수준에서 활성화된 경우 관리형 스캔을 사용하면 개별 프로젝트팀을 구성할 필요 없이 조직 내 프로젝트에 대한 기본 웹 애플리케이션 취약점 감지를 중앙에서 관리할 수 있습니다. 발견 항목이 발견되면 해당 팀과 협력하여 더욱 포괄적인 커스텀 스캔을 설정할 수 있습니다.
Web Security Scanner를 서비스로 사용 설정하면 Security Command Center 취약점 페이지 및 관련 보고서에서 관리형 스캔 발견 항목을 자동으로 사용할 수 있습니다. Web Security Scanner 관리형 스캔을 사용 설정하는 방법은 Security Command Center 서비스 구성을 참조하세요.
관리형 스캔은 기본 포트(HTTP 연결의 경우 80, HTTPS 연결의 경우 443)를 사용하는 애플리케이션만 지원합니다. 애플리케이션에서 기본이 아닌 포트를 사용하는 경우 커스텀 스캔을 대신 수행합니다.
커스텀 스캔
Web Security Scanner 커스텀 스캔은 오래된 라이브러리, 교차 사이트 스크립팅 또는 혼합 콘텐츠 사용과 같은 애플리케이션 취약점 발견 항목에 대한 세부적인 정보를 제공합니다.
프로젝트 수준에서 커스텀 스캔을 정의합니다.
Web Security Scanner 커스텀 스캔 설정 가이드를 완료하면 Security Command Center에서 커스텀 스캔 발견 항목을 확인할 수 있습니다.
감지기 및 규정 준수
Web Security Scanner는 OWASP 상위 10개에서 카테고리를 지원합니다. 이 문서는 가장 중요한 웹 애플리케이션 보안 위험 10가지의 순위를 매기고 웹 애플리케이션 보안 프로젝트(OWASP)를 엽니다. OWASP 위험 완화에 대한 자세한 내용은 Google Cloud의 OWASP 상위 10개 완화 옵션을 참조하세요.
규정 준수 매핑은 참조용으로 포함되어 있으며 OWASP 재단에서 제공되거나 검토하지 않습니다.
이 기능은 규정 준수 제어 위반을 모니터링하기 위한 것입니다. 이 매핑은 규제 또는 업계 벤치마크나 표준을 준수하는 제품 또는 서비스의 규정 준수, 인증, 보고를 기반으로 사용하거나 대안으로 제공되지 않습니다.
Web Security Scanner 커스텀 스캔 및 관리형 스캔은 다음 발견 항목 유형을 식별합니다. Standard 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.
카테고리 | 발견 항목 설명 | OWASP 2017 상위 10개 | OWASP 2021 상위 10개 |
---|---|---|---|
API의 카테고리 이름: |
GIT 저장소가 공개됩니다. 이 발견 항목을 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A5 | A01 |
API의 카테고리 이름: |
SVN 저장소가 공개됩니다. 이 발견 항목을 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A5 | A01 |
API의 카테고리 이름: |
웹 애플리케이션에 입력한 비밀번호는 보안 비밀번호 스토리지 대신 일반 브라우저 캐시에 캐시될 수 있습니다. 가격 책정 등급: 프리미엄 |
A3 | A04 |
API의 카테고리 이름: |
비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 발견 항목을 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A3 | A02 |
API의 카테고리 이름: |
교차 사이트 HTTP 또는 HTTPS 엔드포인트는 가격 책정 등급: 프리미엄 |
A5 | A01 |
API의 카테고리 이름: |
교차 사이트 HTTP 또는 HTTPS 엔드포인트는 가격 책정 등급: 프리미엄 |
A5 | A01 |
API의 카테고리 이름: |
리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 발견 항목을 해결하려면 가격 책정 등급: 프리미엄 또는 스탠더드 |
A6 | A05 |
API의 카테고리 이름: |
보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A6 | A05 |
API의 카테고리 이름: |
보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A6 | A05 |
API의 카테고리 이름: |
보안 헤더가 잘못 입력되어 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A6 | A05 |
API의 카테고리 이름: |
리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 발견 항목을 해결하려면 모든 리소스가 HTTPS를 통해 제공되는지 확인합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A6 | A05 |
API의 카테고리 이름: |
알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 발견 항목을 해결하려면 라이브러리를 최신 버전으로 업그레이드합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A9 | A06 |
API의 카테고리 이름: |
서버 측 요청 위조(SSRF) 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 허용 목록을 사용하여 웹 애플리케이션에서 요청할 수 있는 도메인과 IP 주소를 제한합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
해당 사항 없음 | A10 |
API의 카테고리 이름: |
교차 도메인 요청을 수행할 때 웹 애플리케이션은 가격 책정 등급: 프리미엄 |
A2 | A07 |
API의 카테고리 이름: |
잠재적인 SQL 삽입 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 파라미터화된 쿼리를 사용하여 사용자 입력이 SQL 쿼리 구조에 영향을 미치지 않도록 합니다. 가격 책정 등급: 프리미엄 |
A1 | A03 |
API의 카테고리 이름: |
취약한 Apache Struts 버전 사용이 감지되었습니다. 이 발견 항목을 해결하려면 Apache Struts를 최신 버전으로 업그레이드합니다. 가격 책정 등급: 프리미엄 |
A8 | A08 |
API의 카테고리 이름: |
이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A7 | A03 |
API의 카테고리 이름: |
사용자 제공 문자열은 이스케이프 처리되지 않으며 AngularJS가 이를 보간할 수 있습니다. 이 발견 항목을 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A7 | A03 |
API의 카테고리 이름: |
이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다. 가격 책정 등급: 프리미엄 또는 스탠더드 |
A7 | A03 |
API의 카테고리 이름: |
XXE(XML External Entity) 취약점이 감지되었습니다. 이 취약점으로 인해 웹 애플리케이션이 호스트에서 파일을 유출할 수 있습니다. 이 발견 항목을 해결하려면 외부 항목을 허용하지 않도록 XML 파서를 구성하세요. 가격 책정 등급: 프리미엄 |
A4 | A05 |
API의 카테고리 이름: |
애플리케이션이 프로토타입 오염에 취약합니다. 이 취약점은 가격 책정 등급: 프리미엄 또는 스탠더드 |
A1 | A03 |
위협 감지 서비스
위협 감지 서비스에는 손상된 리소스 또는 사이버 공격과 같이 잠재적으로 유해한 이벤트를 나타낼 수 있는 이벤트를 감지하는 기본 제공 및 통합 서비스가 포함됩니다.
이상 감지
이상 감지는 시스템 외부의 동작 신호를 사용하는 기본 제공 서비스입니다. 프로젝트 및 가상 머신(VM) 인스턴스에서 감지된 보안 이상(예: 유출 가능성이 있는 사용자 인증 정보)에 관한 상세 정보를 표시합니다. Security Command Center 스탠더드 또는 프리미엄 등급을 활성화하면 이상 감지가 자동으로 사용 설정되며, Google Cloud 콘솔에서 결과를 확인할 수 있습니다.
이상 감지 발견 항목에는 다음이 포함됩니다.
이상치 이름 | 발견 항목 카테고리 | 설명 |
---|---|---|
Account has leaked credentials |
account_has_leaked_credentials |
Google Cloud 서비스 계정의 사용자 인증 정보가 온라인에서 유출되거나 손상되었습니다. 심각도: 심각 |
계정에서 사용자 인증 정보 유출
GitHub에서 커밋에 사용된 사용자 인증 정보가 Google Cloud Identity and Access Management 서비스 계정의 사용자 인증 정보라는 알림을 Security Command Center에 보냈습니다.
이 알림에는 서비스 계정 이름과 비공개 키 식별자가 포함되어 있습니다. Google Cloud에서는 보안 및 개인 정보 보호 담당자에게 이메일 알림을 보냅니다.
이 문제를 해결하려면 다음 중 하나 이상의 조치를 취하세요.
- 키의 정당한 사용자를 식별합니다.
- 키를 순환합니다.
- 키를 삭제합니다.
- 키가 유출된 후 키에 의해 취해진 모든 작업을 조사하여 악의적인 작업이 없는지 확인합니다.
JSON: 유출된 계정 사용자 인증 정보 발견
{ "findings": { "access": {}, "assetDisplayName": "PROJECT_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "category": "account_has_leaked_credentials", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2022-08-05T20:59:41.022Z", "database": {}, "eventTime": "2022-08-05T20:59:40Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat", "indicator": {}, "kubernetes": {}, "mitreAttack": {}, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID", "parentDisplayName": "Cloud Anomaly Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "severity": "CRITICAL", "sourceDisplayName": "Cloud Anomaly Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "display_name": "PROJECT_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "PROJECT_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID", "parent_display_name": "ORGANIZATION_NAME", "type": "google.cloud.resourcemanager.Project", "folders": [] }, "sourceProperties": { "project_identifier": "PROJECT_ID", "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com", "finding_type": "Potential compromise of a resource in your organization.", "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.", "action_taken": "Notification sent", "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID", "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json" } }
Container Threat Detection
Container Threat Detection은 가장 일반적인 컨테이너 런타임 공격을 감지하고 Security Command Center 및 필요한 경우 Cloud Logging에서 사용자에게 알림을 보낼 수 있습니다. Container Threat Detection에는 여러 감지 기능, 분석 도구, API가 포함되어 있습니다.
Container Threat Detection 감지 도구는 게스트 커널에서 하위 수준의 동작을 수집하고 코드에 자연어 처리를 수행하여 다음 이벤트를 감지합니다.
Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell
Container Threat Detection 자세히 알아보기
Event Threat Detection
Event Threat Detection은 시스템 내의 로그 데이터를 사용합니다. Cloud Logging 스트림을 프로젝트에서 감시하고, 로그를 사용할 수 있게 되면 이를 사용합니다. 위협이 감지되면 Event Threat Detection은 Security Command Center 및 Cloud Logging 프로젝트에 발견 항목을 기록합니다. Event Threat Detection은 Security Command Center 프리미엄 등급을 활성화하면 자동으로 사용 설정되며, 발견 항목은 Google Cloud 콘솔에서 확인할 수 있습니다.
다음 표에는 Event Threat Detection 발견 항목의 예가 나와 있습니다.
데이터 폐기 |
Event Threat Detection은 다음 시나리오에서 백업 및 DR 서비스 관리 서버의 감사 로그를 검사하여 데이터 폐기를 감지합니다.
|
데이터 무단 반출 |
Event Threat Detection은 다음 시나리오의 감사 로그를 검사하여 BigQuery 및 Cloud SQL에서 데이터 무단 반출을 감지합니다.
|
Cloud SQL의 의심스러운 활동 |
Event Threat Detection은 감사 로그를 검사하여 Cloud SQL 인스턴스에서 유효한 사용자 계정이 손상되었음을 나타낼 수 있는 다음과 같은 이벤트를 감지합니다.
|
PostgreSQL용 AlloyDB의 의심스러운 활동 |
Event Threat Detection은 감사 로그를 검사하여 PostgreSQL용 AlloyDB 인스턴스에서 유효한 사용자 계정이 손상되었음을 나타낼 수 있는 다음과 같은 이벤트를 감지합니다.
|
무작위 공격 SSH | Event Threat Detection은 성공 이후의 반복적인 실패에 대해 syslog 로그를 검사하여 비밀번호 인증 SSH 무차별 사용을 감지합니다. |
암호화폐 채굴 | Event Threat Detection은 채굴 풀의 알려진 불량 도메인 또는 IP 주소에 대한 VPC 흐름 로그 및 Cloud DNS 로그를 검사하여 코인 채굴 멀웨어를 감지합니다. |
IAM 악용 |
이상 IAM 권한 부여: Event Threat Detection은 다음과 같이 이상으로 간주될 수 있는 IAM 권한의 추가를 감지합니다.
|
시스템 복구 차단 |
Event Threat Detection은 중요한 정책 변경사항 및 중요한 백업 및 DR 구성요소 삭제 등 백업 상태에 영향을 미칠 수 있는 백업 및 DR에 대한 이상한 변경사항을 감지합니다. |
Log4j | Event Threat Detection은 Log4j 악용 시도 및 활성 Log4j 취약점에 대한 시도를 감지합니다. |
멀웨어 | Event Threat Detection은 알려진 명령어와 제어 도메인 연결 및 IP에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 멀웨어를 감지합니다. |
발신 DoS | Event Threat Detection은 VPC 흐름 로그를 검사하여 발신 서비스 거부 트래픽을 감지합니다. |
비정상 액세스 | Event Threat Detection은 Tor IP 주소와 같은 익명 프록시 IP 주소에서 발생한 Google Cloud 서비스 수정에 대한 Cloud 감사 로그를 검사하여 비정상적인 액세스를 감지합니다. |
비정상 IAM 동작 |
Event Threat Detection은 다음 시나리오의 Cloud 감사 로그를 검사하여 비정상적인 IAM 동작을 감지합니다.
|
서비스 계정 자체 조사 | Event Threat Detection은 서비스 계정 사용자 인증 정보가 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되면 이를 감지합니다. |
Compute Engine 관리자가 SSH 키를 추가함 | Event Threat Detection은 설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 ssh 키 값에 대한 수정 사항을 감지합니다. |
Compute Engine 관리자가 시작 스크립트를 추가함 | Event Threat Detection은 설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값의 수정 사항을 감지합니다. |
의심스러운 계정 활동 | Event Threat Detection은 비밀번호 유출 및 의심스러운 로그인 시도 등 비정상적인 계정 활동에 대한 감사 로그를 검사하여 Google Workspace 계정에 대한 잠재적인 보안 침해를 감지합니다. |
정부 지원 해킹 공격 | Event Threat Detection은 Google Workspace 감사 로그를 검사하여 정부 지원 해킹 공격자가 사용자의 계정이나 컴퓨터를 도용하려고 한 가능성이 있는 경우를 감지합니다. |
싱글 사인온(SSO) 변경 | Event Threat Detection은 Google Workspace 감사 로그를 검사하여 SSO가 사용 중지되거나 Google Workspace 관리자 계정의 설정이 변경된 경우를 감지합니다. |
2단계 인증 | Event Threat Detection은 Google Workspace 감사 로그를 검사하여 사용자 및 관리자 계정에 대해 2단계 인증이 사용 중지되는 경우를 감지합니다. |
비정상적인 API 동작 | Event Threat Detection은 주 구성원이 이전에 본 적이 없는 Google Cloud 서비스 요청에 대한 Cloud 감사 로그를 검사하여 비정상적인 API 동작을 감지합니다. |
방어 회피 |
Event Threat Detection은 다음 시나리오의 Cloud 감사 로그를 검사하여 방어 회피를 감지합니다.
|
탐색 |
Event Threat Detection은 다음 시나리오의 감사 로그를 검사하여 검색 작업을 감지합니다.
|
초기 액세스 | Event Threat Detection은 다음 시나리오의 감사 로그를 검사하여 초기 액세스 작업을 감지합니다.
|
권한 에스컬레이션 |
Event Threat Detection은 다음 시나리오에서 감사 로그를 검사하여 GKE의 권한 에스컬레이션을 감지합니다.
|
Cloud IDS 감지 | Cloud IDS는 미러링된 패킷을 분석하여 레이어 7 공격을 감지하고 의심스러운 이벤트가 감지되면 Event Threat Detection 발견 항목을 트리거합니다. Cloud IDS 감지에 대한 자세한 내용은 Cloud IDS Logging 정보를 참조하세요. 미리보기 |
측면 이동 | Event Threat Detection은 Compute Engine 인스턴스 간의 빈번한 부팅 디스크 분리 및 재연결에 대한 Cloud 감사 로그를 검사하여 잠재적인 수정된 부팅 디스크 공격을 감지합니다. |
Event Threat Detection 자세히 알아보기
Google Cloud Armor
Google Cloud Armor는 레이어 7 필터링을 제공하여 애플리케이션을 보호합니다. Google Cloud Armor는 일반적인 웹 공격 또는 기타 레이어 7 속성에 대한 수신 요청을 스크러빙하여 부하 분산 백엔드 서비스 또는 백엔드 버킷에 도달하기 전에 트래픽을 차단합니다.
Google Cloud Armor는 두 가지 발견 항목을 Security Command Center로 내보냅니다.
Virtual Machine Threat Detection
Virtual Machine Threat Detection은 Enterprise 및 Premium 등급에서 사용할 수 있는 Security Command Center의 기본 제공 서비스입니다. 이 서비스는 Compute Engine 인스턴스를 스캔하여 보안 침해된 클라우드 환경에서 실행되는 암호화폐 채굴 소프트웨어, 커널 모드 루트킷, 멀웨어와 같은 잠재적 악성 애플리케이션을 감지합니다.
VM Threat Detection은 Security Command Center 위협 감지 제품군의 일부이며 Event Threat Detection 및 Container Threat Detection의 기존 기능을 보완하도록 설계되었습니다.
VM Threat Detection에 대한 자세한 내용은 VM Threat Detection 개요를 참조하세요.
VM Threat Detection 위협 발견 항목
VM Threat Detection은 다음과 같은 위협 발견 항목을 생성할 수 있습니다.
암호화폐 채굴 위협 발견 항목
VM Threat Detection은 해시 일치 또는 YARA 규칙을 통해 다음 발견 항목 카테고리를 감지합니다.
카테고리 | 모듈 | 설명 |
---|---|---|
Execution: Cryptocurrency Mining Hash Match
|
CRYPTOMINING_HASH
|
실행 중인 프로그램의 메모리 해시를 암호화폐 채굴 소프트웨어의 알려진 메모리 해시와 일치합니다. |
Execution: Cryptocurrency Mining YARA Rule
|
CRYPTOMINING_YARA
|
암호화폐 채굴 소프트웨어에서 사용하는 것으로 알려진 개념 증명 상수와 같은 메모리 패턴과 일치합니다. |
Execution: Cryptocurrency Mining Combined Detection
|
|
CRYPTOMINING_HASH 및 CRYPTOMINING_YARA 모듈 모두에서 감지된 위협을 식별합니다.
자세한 내용은 결합 감지를 참조하세요.
|
커널 모드 루트킷 위협 발견 항목
VM Threat Detection은 런타임 시 커널 무결성을 분석하여 멀웨어에 사용되는 일반적인 회피 기법을 감지합니다.
KERNEL_MEMORY_TAMPERING
모듈은 가상 머신의 커널 코드와 커널 읽기 전용 데이터 메모리에 대한 해시 비교를 수행하여 위협을 감지합니다.
KERNEL_INTEGRITY_TAMPERING
모듈은 중요한 커널 데이터 구조의 무결성을 확인하여 위협을 감지합니다.
카테고리 | 모듈 | 설명 |
---|---|---|
루트킷 | ||
Defense Evasion: Rootkit
|
|
알려진 커널 모드 루트킷과 일치하는 신호의 조합이 존재합니다. 이 카테고리의 발견 항목을 수신하려면 두 모듈 모두 사용 설정되어 있는지 확인하세요. |
커널 메모리 조작 | ||
Defense Evasion: Unexpected kernel code modification 미리보기
|
KERNEL_MEMORY_TAMPERING
|
커널 코드 메모리가 예기치 않게 수정되었습니다. |
Defense Evasion: Unexpected kernel read-only data modification 미리보기
|
KERNEL_MEMORY_TAMPERING
|
커널 읽기 전용 데이터 메모리가 예기치 않게 수정되었습니다. |
커널 무결성 조작 | ||
Defense Evasion: Unexpected ftrace handler 미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace 포인트가 예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 있습니다.
|
Defense Evasion: Unexpected interrupt handler 미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
예상 커널 또는 모듈 코드 리전에 없는 중단 핸들러가 있습니다. |
Defense Evasion: Unexpected kernel modules 미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
예상 커널 또는 모듈 코드 리전에 없는 커널 코드 페이지가 있습니다. |
Defense Evasion: Unexpected kprobe handler 미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe 포인트가 예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 있습니다.
|
Defense Evasion: Unexpected processes in runqueue 미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
스케줄러 실행 큐에 예기치 않은 프로세스가 있습니다. 이러한 프로세스는 실행 큐에 있지만 프로세스 태스크 목록에는 없습니다. |
Defense Evasion: Unexpected system call handler 미리보기
|
KERNEL_INTEGRITY_TAMPERING
|
예상 커널 또는 모듈 코드 리전에 없는 시스템 호출 핸들러가 있습니다. |
오류
오류 감지기는 보안 소스에서 발견 항목을 생성하지 못하게 하는 구성의 오류를 감지하는 데 도움이 됩니다. 오류 발견 항목은 Security Command Center
보안 소스에서 생성되고 발견 항목 클래스 SCC errors
를 갖습니다.
부적절한 작업
다음 발견 항목 카테고리는 의도하지 않은 작업으로 인해 발생할 수 있는 오류를 나타냅니다.
카테고리 이름 | API 이름 | 요약 | 심각도 |
---|---|---|---|
API disabled |
API_DISABLED |
발견 항목 설명: 프로젝트에 필요한 API가 사용 중지되었습니다. 사용 중지된 서비스는 Security Command Center로 발견 항목을 보낼 수 없습니다. 가격 책정 등급: 프리미엄 또는 스탠더드 지원되는 애셋 일괄 검사: 60시간 간격 |
심각 |
Attack path simulation: no resource value configs match any resources |
APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES |
발견 항목 설명: 리소스 가치 구성이 공격 경로 시뮬레이션에 대해 정의되어 있지만 환경의 리소스 인스턴스와 일치하지 않습니다. 시뮬레이션은 대신 가치가 높은 기본 리소스 세트를 사용합니다. 이 오류의 원인은 다음과 같습니다.
가격 책정 등급: 프리미엄
지원되는 애셋 일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에 |
심각 |
Attack path simulation: resource value assignment limit exceeded |
APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED |
발견 항목 설명: 마지막 공격 경로 시뮬레이션에서 리소스 가치 구성에 의해 식별된 고가치 리소스 인스턴스의 수는 고가치 리소스 세트의 리소스 인스턴스 한도인 1,000개를 초과했습니다. 그 결과 Security Command Center에서 가치가 높은 리소스 세트에서 초과된 인스턴스 수가 제외되었습니다. 일치하는 인스턴스 총 수와 세트에서 제외된 인스턴스 총 수는 Google Cloud 콘솔의 제외된 리소스 인스턴스에 영향을 미치는 발견 항목에 대한 공격 노출 점수에는 리소스 인스턴스의 고가치 지정이 반영되지 않습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에 |
높음 |
Container Threat Detection
Image Pull Failure |
KTD_IMAGE_PULL_FAILURE |
발견 항목 설명: Container Registry 이미지 호스트인 Container Threat Detection DaemonSet를 배포하려고 하면 다음 오류가 발생합니다.
가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 30분마다 |
심각 |
Container Threat Detection
Blocked By Admission Controller |
KTD_BLOCKED_BY_ADMISSION_CONTROLLER |
발견 항목 설명: Kubernetes 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 서드 파티 허용 컨트롤러는 Container Threat Detection에 필요한 Kubernetes DaemonSet 객체의 배포를 방지합니다. Google Cloud 콘솔에서 볼 때 발견 항목 세부정보에는 Container Threat Detection에서 Container Threat Detection DaemonSet 객체를 배포하려고 할 때 Google Kubernetes Engine에서 반환된 오류 메시지가 포함됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 30분마다 |
높음 |
Container Threat
Detection service account missing permissions |
KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
발견 항목 설명: Container Threat Detection에 필요한 권한이 서비스 계정에 없습니다. Container Threat Detection은 감지 계측을 사용 설정, 업그레이드 또는 사용 중지할 수 없으므로 제대로 작동하지 않을 수 있습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 일괄 스캔: 30분마다 |
심각 |
GKE service account missing
permissions |
GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
발견 항목 설명: 클러스터의 GKE 기본 서비스 계정에 권한이 누락되어 Container Threat Detection에서 Google Kubernetes Engine 클러스터의 발견 항목을 생성할 수 없습니다. 그로 인해 클러스터에서 Container Threat Detection이 성공적으로 사용 설정되지 않습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 매주 |
높음 |
Misconfigured Cloud Logging Export |
MISCONFIGURED_CLOUD_LOGGING_EXPORT |
발견 항목 설명: Cloud Logging으로 지속적 내보내기에 구성된 프로젝트를 사용할 수 없습니다. Security Command Center는 Logging에 발견 항목을 전송할 수 없습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 일괄 스캔: 30분마다 |
높음 |
VPC Service Controls Restriction |
VPC_SC_RESTRICTION |
발견 항목 설명: Security Health Analytics는 프로젝트의 특정 발견 항목을 생성할 수 없습니다. 프로젝트가 서비스 경계로 보호되며 Security Command Center 서비스 계정에 경계에 대한 액세스 권한이 없습니다. 가격 책정 등급: 프리미엄 또는 스탠더드 지원되는 애셋 일괄 검사: 6시간 간격 |
높음 |
Security Command
Center service account missing permissions |
SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS |
발견 항목 설명: Security Command Center 서비스 계정에 제대로 작동하는 데 필요한 권한이 없습니다. 발견 항목이 생성되지 않습니다. 가격 책정 등급: 프리미엄 또는 스탠더드 지원되는 애셋 일괄 스캔: 30분마다 |
심각 |
자세한 내용은 Security Command Center 오류를 참조하세요.
다음 단계
- Security Command Center 개요에서 Security Command Center 및 사용 사례 예시 알아보기
- Security Command Center 서비스를 구성하여 새로운 보안 소스를 추가하는 방법 알아보기