이 페이지에서는 Event Threat Detection의 커스텀 모듈에 대해 간략하게 설명합니다.
감지기라고도 하는 모듈을 구성하여 Cloud Logging 스트림을 구성하고 지정한 매개변수를 기반으로 위협을 감지할 수 있습니다. 이 기능은 Event Threat Detection의 모니터링 기능을 확장하여, 기본 제공되는 감지기로 지원되지 않는 구성을 위해 자체 감지 매개변수, 해결 가이드, 심각도 지정이 포함된 모듈을 추가할 수 있게 해줍니다.
커스텀 모듈은 조직의 고유한 요구를 충족시키는 감지 규칙이 포함된 모듈이 필요한 경우에 유용합니다. 예를 들어 로그 항목에 리소스가 특정 IP 주소에 연결되어 있거나 제한된 리전에 생성된 것으로 표시되면 발견 항목을 만드는 커스텀 모듈을 추가할 수 있습니다.
Event Threat Detection용 커스텀 모듈의 작동 방식
커스텀 모듈은 자체 감지 매개변수로 구성할 수 있는 일부 Event Threat Detection 감지기 그룹입니다. Google Cloud 콘솔을 통해 Event Threat Detection 커스텀 모듈을 만들 수 있습니다. 또는 커스텀 모듈 템플릿을 업데이트하고 Google Cloud CLI를 통해 커스텀 모듈을 Security Command Center로 전송하여 만들 수 있습니다. 사용 가능한 템플릿에 대한 자세한 내용은 커스텀 모듈 및 템플릿을 참조하세요.
커스텀 모듈 템플릿은 JSON으로 작성되며 이를 통해 발견 항목을 트리거할 수 있는 로그 항목의 이벤트를 제어하는 감지 매개변수를 정의할 수 있습니다. 예를 들어 기본 제공되는 Malware: Bad IP 감지기는 가상 프라이빗 클라우드 흐름 로그에서 의심스러운 것으로 알려진 IP 주소와 연관된 증거를 찾습니다. 하지만 유지보수하는 의심스러운 IP 주소 목록을 사용해서 Configurable Bad IP 커스텀 모듈을 사용 설정 및 수정할 수 있습니다. 로그에 제공된 IP 주소와의 연결이 표시되면 Security Command Center에 발견 항목이 생성되고 기록됩니다.
모듈 템플릿을 사용하면 위협의 심각도를 정의하고 보안팀의 문제 해결을 돕기 위한 커스텀 해결 단계를 제공할 수도 있습니다.
커스텀 모듈을 사용하면 Event Threat Detection에서 위협을 감지하고 발견 항목을 보고하는 방법을 더 세밀하게 제어할 수 있습니다. 커스텀 모듈에는 제공된 매개변수가 포함되지만 아직 Triwire 표시기 매칭을 포함한 Event Threat Detection의 독점적인 감지 로직 및 위협 인텔리전스를 활용합니다. 조직의 고유 요구사항에 맞게 조정된 광범위한 위협 모델 집합을 구현할 수 있습니다.
Event Threat Detection 커스텀 모듈은 기본 제공되는 감지기와 함께 실행됩니다. 사용 설정된 모듈은 실시간 모드로 실행되며, 새 로그가 생성될 때마다 스캔을 트리거합니다.
커스텀 모듈 및 템플릿
다음 표에서는 지원되는 커스텀 모듈 유형, 설명, 필요한 로그, JSON 모듈 템플릿 목록을 보여줍니다.
gcloud CLI를 사용해서 커스텀 모듈을 만들고 업데이트하려면 이러한 JSON 모듈 템플릿이 필요합니다. 템플릿을 보려면 이름 옆에 있는 확장 아이콘 을 클릭하세요. 커스텀 모듈 사용에 대한 자세한 내용은 커스텀 모듈 구성 및 관리를 참조하세요.
| 발견 항목 카테고리 | 모듈 유형 | 로그 소스 유형 | 설명 |
|---|---|---|---|
| 구성 가능한 잘못된 IP | CONFIGURABLE_BAD_IP |
VPC 흐름 로그 방화벽 규칙 로그 |
지정된 IP 주소에 대한 연결을 감지합니다. |
|
템플릿: 잘못된 IP 구성
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"ips": [
"IP_ADDRESS_1",
"IP_ADDRESS_2"
]
}
다음을 바꿉니다.
|
|||
| 구성 가능한 잘못된 도메인 | CONFIGURABLE_BAD_DOMAIN
|
Cloud DNS 로그 | 지정된 도메인 이름에 대한 연결을 감지합니다. |
|
템플릿: 잘못된 도메인 구성 가능
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"domains": [
"DOMAIN_1","DOMAIN_2"
]
}
다음을 바꿉니다.
|
|||
| 예상치 못한 Compute Engine 인스턴스 유형 | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_INSTANCE_TYPE
|
Cloud 감사 로그: 관리자 활동 로그 (필수) 데이터 액세스 로그 (선택사항) |
지정된 인스턴스 유형 또는 구성과 일치하지 않는 Compute Engine 인스턴스 생성을 감지합니다. |
|
템플릿: 예상치 못한 Compute Engine 인스턴스 유형
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"instances": [
{
"series": "SERIES",
"cpus": {
"minimum": MINIMUM_NUMBER_OF_CPUS,
"maximum": MAXIMUM_NUMBER_OF_CPUS
},
"ram_mb": {
"minimum": MINIMUM_RAM_SIZE,
"maximum": MAXIMUM_RAM_SIZE
},
"gpus": {
"minimum": MINIMUM_NUMBER_OF_GPUS,
"maximum": MAXIMUM_NUMBER_OF_GPUS
},
"projects": [
"PROJECT_ID_1",
"PROJECT_ID_2"
],
"regions": [
"REGION_1",
"REGION_2"
]
},
{
"series": " ... ",
...
"regions": [ ... ]
}
]
}
다음을 바꿉니다.
|
|||
| 예상치 못한 Compute Engine 소스 이미지 | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_SOURCE_IMAGE |
Cloud 감사 로그: 관리자 활동 로그 (필수) 데이터 액세스 로그 (선택사항) |
지정된 목록과 일치하지 않는 이미지 또는 이미지 계열로 Compute Engine 인스턴스 생성을 감지합니다. |
|
템플릿: 예상치 못한 Compute Engine 소스 이미지
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"patterns": [
{
"pattern": "PATTERN_1",
"name": "NAME_1"
},
{
"pattern": "PATTERN_2",
"name": "NAME_2"
}
]
}
다음을 바꿉니다.
|
|||
| 예상치 못한 Compute Engine 리전 | CONFIGURABLE_ALLOWED_COMPUTE_ENGINE_REGION |
Cloud 감사 로그: 관리자 활동 로그 (필수) 데이터 액세스 로그 (선택사항) |
지정된 목록에 없는 리전에서 Compute Engine 인스턴스 생성을 감지합니다. |
|
템플릿: 예상치 못한 Compute Engine 리전
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"regions": [
{
"region": "REGION_1"
},
{
"region": "REGION_2"
}
]
}
다음을 바꿉니다.
|
|||
| breakglass 계정 사용 | CONFIGURABLE_BREAKGLASS_ACCOUNT_USED |
Cloud 감사 로그: 관리자 활동 로그 (필수) 데이터 액세스 로그 (선택사항) |
긴급 액세스 (breakglass) 계정 사용 감지 |
|
템플릿: breakglass 계정 사용됨
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"accounts": [
"BREAKGLASS_ACCOUNT_1", "BREAKGLASS_ACCOUNT_2"
]
}
다음을 바꿉니다.
|
|||
| 예상치 못한 역할 부여 | CONFIGURABLE_UNEXPECTED_ROLE_GRANT |
Cloud 감사 로그: 관리자 활동 로그 (필수) 데이터 액세스 로그 (선택사항) |
지정된 역할이 사용자에게 부여될 때 감지 |
|
템플릿: 예기치 않은 역할 부여
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"roles": ["ROLE_1", "ROLE_2"]
}
다음을 바꿉니다.
|
|||
| 금지된 권한이 있는 커스텀 역할 | CONFIGURABLE_CUSTOM_ROLE_WITH_PROHIBITED_PERMISSION |
Cloud 감사 로그: 관리자 활동 로그 (필수) 데이터 액세스 로그 (선택사항) |
지정된 IAM 권한이 있는 커스텀 역할이 주 구성원에게 부여되는 경우를 감지합니다. |
|
템플릿: 금지된 권한이 있는 커스텀 역할
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"permissions": [
"PERMISSION_1",
"PERMISSION_2"
]
}
다음을 바꿉니다.
|
|||
| 예상치 못한 Cloud API 호출 | CONFIGURABLE_UNEXPECTED_CLOUD_API_CALL
|
Cloud 감사 로그: 관리자 활동 로그(필수) 데이터 액세스 로그(선택사항) |
지정된 주 구성원이 지정된 리소스에 대해 지정된 메서드를 호출할 때 이를 감지합니다. 발견 항목은 단일 로그 항목에서 모든 정규 표현식이 일치할 때만 생성됩니다. |
|
템플릿: 예상치 못한 Cloud API 호출
{
"metadata": {
"severity": "SEVERITY",
"description": "DESCRIPTION",
"recommendation": "RECOMMENDATION"
},
"caller_pattern": "CALLER_PATTERN",
"method_pattern": "METHOD_PATTERN",
"resource_pattern": "RESOURCE_PATTERN"
}
다음을 바꿉니다.
|
|||
가격 책정 및 할당량
이 기능은 Security Command Center 프리미엄 고객에게 무료로 제공됩니다.
Event Threat Detection 커스텀 모듈에는 할당량 한도가 적용됩니다.
커스텀 모듈 만들기의 기본 할당량 한도는 200입니다.
커스텀 모듈 메서드에 대한 API 호출에도 할당량 한도가 적용됩니다. 다음 표에서는 커스텀 모듈 API 호출의 기본 할당량 한도를 보여줍니다.
| API 호출 유형 | 한도 |
|---|---|
| Get, List | 조직별로 분당 API 호출 1,000개 |
| Create, Update, Delete | 조직별로 분당 API 호출 60개 |
모듈 크기 한도
각 Event Threat Detection 커스텀 모듈의 크기 한도는 6MB입니다.
비율 한도
다음 비율 한도가 적용됩니다.
- 시간당 커스텀 모듈당 발견 항목 30개
- 시간당 상위 리소스(조직 또는 프로젝트)당 커스텀 모듈 발견 항목 200개. 각 발견 항목은 소스 커스텀 모듈이 생성된 수준에 따라 조직 또는 프로젝트로 계산됩니다.
이러한 한도는 늘릴 수 없습니다.
다음 단계
- 커스텀 모듈을 만들고 관리하는 방법을 알아보기