Enterprise 사용 사례 업데이트

이제 SCC Enterprise – Cloud 조정 및 해결 사용 사례의 2024년 10월 9일 업데이트를 사용할 수 있습니다. 되도록 빠른 시일 내에 사용 사례를 업데이트하세요.

이 사용 사례는 Security Command Center 엔터프라이즈 등급의 보안 운영 기능에 대한 업데이트를 제공합니다. 업데이트를 적용하려면 이 페이지의 절차를 따르세요.

업데이트 절차에는 다음과 같은 대략적인 단계가 포함됩니다.

커넥터를 중지하고 특정 기존 플레이북을 삭제하여 시스템 업데이트를 준비합니다.
최신 버전의 SCC Enterprise – Cloud 조정 및 해결 사용 사례를 설치합니다.
설치를 검증하고 업데이트된 플레이북을 실행합니다.

필수 역할이 있는지 확인

이 절차를 완료하려면 보안 운영 콘솔에서 다음 SOC 역할을 부여받아야 합니다.

관리자
취약점 관리자
위협 관리자

보안 운영 콘솔의 SOC 역할과 사용자에게 필요한 권한에 대한 자세한 내용은 보안 운영 콘솔의 기능에 대한 액세스 제어를 참조하세요.

업데이트를 할 수 있도록 시스템 준비

사용 사례를 업데이트하기 전에 SCC Enterprise – 긴급 상황 발견 항목 커넥터를 중지하고 현재 사용 사례 버전에서 제공한 플레이북을 삭제해야 합니다.

커넥터 중지

플레이북이 연결되지 않은 알림 발생을 방지하려면 플레이북을 삭제하기 전에 SCC Enterprise – 긴급 상황 발견 항목 커넥터를 중지합니다. Security Command Center는 개발자가 커넥터를 업데이트하고 사용 설정할 때 커넥터가 중지된 동안 수집된 발견 항목을 수집합니다.

커넥터를 중지하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCC Enterprise - 긴급 상황 발견 항목 커넥터를 선택합니다.
전환 버튼을 전환하여 커넥터를 중지합니다.
저장을 클릭합니다.

플레이북 삭제

플레이북 중복을 방지하려면 현재 버전의 사용 사례에서 사용하는 기본 플레이북을 삭제합니다. 사용 사례를 업그레이드하기 전에 플레이북을 삭제해도 케이스 관리는 영향을 받지 않습니다.

기본 플레이북을 삭제하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다. 드롭다운 필터가 기본적으로 모두 표시로 설정됩니다.
Siemplify 사용 사례 폴더를 선택합니다. 이 폴더에는 다음 기본 플레이북이 포함됩니다.
- AWS 위협 대응 플레이북
- GCP 위협 대응 플레이북
- IAM 추천자 응답
- 상황 발견 항목 - 일반
- 상황 발견 항목 - 일반 - VM Manager
- Jira를 통한 상황 발견 항목
- ServiceNow를 통한 상황 발견 항목
- Google Cloud – 실행 – 암호화폐 채굴
- Google Cloud – 실행 – 바이너리 또는 라이브러리 로드/실행
- Google Cloud – 실행 – 악성 URL 스크립트 또는 셸 프로세스
- Google Cloud – 지속성 – 의심스러운 동작
- Google Cloud – 지속성 – IAM 비정상 권한 부여
- 상황 – 유해한 조합 플레이북
- 미리보기 – Azure 위협 대응 플레이북
플레이북 페이지 탐색에서 수정을 클릭하여 항목을 여러 개 선택합니다.
Siemplify 사용 사례 옆에 있는 done_all 모두 선택을 클릭하여 폴더의 모든 플레이북 및 블록을 선택합니다.
플레이북 페이지 탐색에서 나열 메뉴 > 삭제를 클릭합니다. 선택한 플레이북을 확인하거나 취소해야 하는 창이 표시됩니다.
확인을 클릭합니다.

이제 사용 사례 버전을 업데이트할 수 있습니다.

Security Command Center Enterprise 사용 사례 설치

최신 버전 SCC Enterprise 사용 사례를 최신 버전으로 설치하고 사용 사례에서 제공되는 모든 통합이 최신 상태인지 확인합니다.

새로운 사용 사례 구성 적용 및 검증

최신 사용 사례에 포함된 다양한 기능이 올바르게 업데이트되었는지 검증해야 합니다. 특정 기능의 경우 새 사용 사례의 업데이트를 수동으로 적용해야 합니다.

사용 사례에서 통합 버전 검증

사용 사례에 포함된 통합의 새 버전이 매주 제공됩니다. 되도록 빠른 시일 내에 통합을 최신 버전으로 업데이트합니다.

새로운 버전의 통합에는 문제 수정사항, 새 위젯 및 작업, 기존 위젯 및 작업 변경사항, 알림 처리 개선사항, 감지 처리 로직 및 워크플로 매핑 개선사항을 포함하되 이에 국한되지 않는 업데이트가 도입됩니다.

통합 업데이트를 적용하려면 다음 단계를 완료하세요.

보안 운영 콘솔에서 Marketplace > 통합으로 이동합니다.
유형 필드에서 모든 통합을 선택합니다.
상태 필드에서 사용 가능한 업그레이드를 선택합니다. 업그레이드가 필요한 모든 통합이 표시됩니다.
통합을 업그레이드하려면 통합 카드에서 VERSION 버전으로 업그레이드를 클릭합니다.
INTEGRATION 업데이트 중 대화상자가 표시되면 확인을 클릭합니다.
확인 대화상자가 나타나면 승인을 클릭합니다.
매핑 덮어쓰기 확인 대화상자에서 새 온톨로지 구성 설치 및 기존 구성 재정의 옵션을 선택한 다음 확인을 클릭합니다.

SCC Enterprise 통합을 업그레이드하고 업그레이드된 모든 통합에 새 온톨로지 구성을 설치해야 합니다.

Cloud Storage 통합 구성

공개 버킷 ACL 발견 항목을 해결하기 위해 SCC Enterprise – Cloud 조정 및 해결 사용 사례의 2024년 10월 9일 업데이트에서 Cloud Storage 통합이라는 추가 통합을 도입합니다.

플레이북이 PUBLIC BUCKET ACL 발견 유형을 보강하고 해결할 수 있도록 다음 단계를 완료하여 Cloud Storage 통합을 구성하세요.

통합 파라미터를 구성합니다.
플레이북에 공개 버킷 해결을 사용 설정합니다.

통합 파라미터 구성

Cloud Storage 통합 파라미터를 구성하려면 다음 단계를 완료하세요.

보안 운영 콘솔에서 Marketplace > 통합으로 이동합니다.
검색 필드에 Storage를 입력합니다. Cloud Storage 통합 카드가 나타납니다.
통합 카드에서 구성을 클릭합니다. 구성 대화상자가 열립니다.
워크로드 아이덴티티 이메일, 프로젝트 ID, 할당량 프로젝트 ID 파라미터를 구성합니다. Cloud 애셋 인벤토리 통합 등 다른 Google Cloud 통합에서 파라미터 값을 복사할 수 있습니다.
저장을 클릭합니다.
테스트를 클릭하여 구성을 테스트합니다.

플레이북에 공개 버킷 해결 사용 설정

상황 발견 항목 플레이북에 대해 공개 버킷 해결을 사용 설정하려면 공개 버킷 해결 사용 설정을 참조하세요.

케이스 뷰 위젯 업데이트

보안 운영 콘솔에서 설정 > SOAR 설정 > 케이스 데이터 > 뷰로 이동합니다.
기본 케이스 뷰를 선택합니다.
사전 정의됨 탭을 선택합니다.
다음 권장 순서에 따라 위젯을 사전 정의됨 탭에서 기본 케이스 뷰로 드래그합니다.
1. 케이스 요약
2. 유해한 조합 공격 경로
3. 발견 항목
4. AI 조사/Gemini 요약
5. 발견 항목 요약
6. SCC – 발견 항목 상태
7. 영향을 받는 애셋
8. 티켓 정보
9. 대기 중인 작업
10. 항목 그래프
11. 항목 하이라이트
뷰 저장을 클릭합니다.

위젯 유효성 검사

올바른 정보를 가져왔는지 확인하려면 다음 위젯에 올바른 조건이 포함되어 있는지 검증합니다.

유해한 조합 공격 경로
발견 항목
항목 그래프
AI 조사/Gemini 요약
발견 항목 요약
영향을 받는 리소스
SCC – 발견 항목 상태
영향을 받는 애셋
영향을 받는 AWS 애셋

위젯 유효성을 검사하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 설정 > SOAR 설정 > 케이스 데이터 > 뷰로 이동합니다.
기본 케이스 뷰를 선택합니다.
유해한 조합 공격 경로 및 발견 항목 위젯 모두의 경우 설정 구성을 클릭합니다.

조건 섹션의 고급 설정에서 조건이 [Case.Tags] () Toxic Combination과 같이 표시되어야 합니다. 그렇지 않으면 조건을 업데이트하고 저장을 클릭합니다.
항목 그래프 및 AI 조사/Gemini 요약 위젯 모두의 경우 설정 구성을 클릭합니다.

조건 섹션의 고급 설정에서 조건이 [Case.Tags] !() Toxic Combination과 같이 표시되어야 합니다. 그렇지 않으면 조건을 업데이트하고 저장을 클릭합니다.
발견 항목 요약 위젯에서 설정구성을 클릭합니다.

조건 섹션의 고급 설정에서 조건이 다음과 같이 표시됩니다.
- [Case.Tags] () SCC-TICKET-INFO
- [Case.Tags] !() Toxic Combination
- [Case.Tags] !() CIEM
- [Event.parentDisplayName] !() VM Manager
그렇지 않으면 조건을 업데이트하고 저장을 클릭합니다.
영향을 받은 리소스 위젯의 경우 설정 구성을 클릭합니다.

조건 섹션의 고급 설정에서 조건이 [Case.Tags] () Toxic Combination과 같이 표시되어야 합니다. 그렇지 않으면 조건을 업데이트하고 저장을 클릭합니다.
SCC - 발견 항목 상태 위젯에서 삭제를 클릭합니다. 확인 대화상자가 열리면 예를 클릭합니다.

최신 사용 사례 버전에 맞게 구성된 SCC - 발견 항목 상태 위젯을 설치하려면 사전 정의됨 탭에서 SCC - 발견 항목 상태 위젯을 기본 케이스 뷰로 드래그합니다.
영향을 받은 애셋 위젯에서 삭제를 클릭합니다. 확인 대화상자가 열리면 예를 클릭합니다.

최신 사용 사례 버전에 맞게 구성된 영향을 받은 애셋 위젯을 설치하려면 사전 정의됨 탭에서 영향을 받은 애셋 위젯을 기본 케이스 뷰로 드래그합니다.
영향을 받는 AWS 애셋 위젯에서 삭제를 클릭합니다. 확인 대화상자가 열리면 예를 클릭합니다.
뷰 저장을 클릭합니다.

플레이북 사용 설정

취약점과 잘못된 구성을 처리할 수 있는 플레이북을 사용 설정하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
Siemplify 사용 사례 폴더를 선택합니다.

티켓팅 시스템과 통합하지 않은 경우 상황 발견 항목 - 일반이 사용 설정되었는지 확인합니다. 상황 발견 항목 - 일반 – VM Manager 플레이북 사용 설정은 선택사항입니다.

티켓팅 시스템과 통합한 경우 다음 단계를 완료합니다.
1. 상황 발견 항목 - 일반 플레이북을 선택합니다.
2. 전환 버튼을 전환하여 중지합니다.
3. 저장을 클릭합니다.
4. 상황 발견 항목 – 일반 – VM Manager 플레이북을 선택합니다.
5. 전환 버튼을 전환하여 중지합니다.
6. 저장을 클릭합니다.
7. Jira와 통합한 경우 Jira를 통한 상황 발견 항목 플레이북을 선택합니다.
  1. 전환 버튼을 전환하여 플레이북을 사용 설정합니다.
  2. 저장을 클릭합니다.
8. ServiceNow와 통합한 경우 ServiceNow를 통한 상황 발견 항목 플레이북을 선택합니다.
  1. 전환 버튼을 전환하여 플레이북을 사용 설정합니다.
  2. 저장을 클릭합니다.

커넥터 업데이트

사용 사례를 업데이트해도 기존 커넥터는 자동으로 업데이트되지 않습니다. 사용 사례 업데이트 후 데이터 수집이 예상대로 작동하도록 SCC Enterprise – Urgent Posture Findings Connector 및 Google Chronicle – Chronicle Alerts Connector 커넥터를 업데이트합니다.

SCC Enterprise – Urgent Posture Findings Connector 커넥터를 업데이트하려면 다음 단계를 완료하세요.

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCC Enterprise – Urgent Posture Findings Connector를 선택합니다. 커넥터 파라미터 구성 페이지가 열립니다.
캐시된 업데이트를 클릭합니다.
실행 빈도 파라미터를 1분으로 설정합니다.
전환 버튼을 전환하여 커넥터를 사용 설정합니다.
저장을 클릭합니다.

Google Chronicle – Chronicle Alerts Connector 커넥터를 업데이트하려면 다음 단계를 완료하세요.

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
GoogleChronicle에서 Google Chronicle – Chronicle Alerts Connector를 선택합니다. 커넥터 파라미터 구성 페이지가 열립니다.
캐시된 업데이트를 클릭합니다.
실행 빈도 파라미터를 1분으로 설정합니다.
제품 필드 이름 파라미터 필드에 SCCE를 입력합니다.
전환 버튼을 전환하여 커넥터를 사용 설정합니다.
저장을 클릭합니다.

업데이트 구성 확인

모든 사용 사례 구성요소가 성공적으로 업데이트되었는지 확인하려면 커넥터와 작업을 테스트합니다.

커넥터 테스트

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCC Enterprise - 긴급 상황 발견 항목 커넥터를 선택합니다.
테스트 탭으로 이동합니다.
커넥터 한 번 실행을 클릭합니다. 커넥터 구성이 올바르면 체크표시가 나타납니다.

작업 테스트

보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
GoogleSecurityCommandCenter에서 SCC 데이터 동기화를 선택합니다.
지금 실행을 클릭합니다. 작업이 예상대로 작동하면 작업 상태는 Success입니다.

문제 해결

SCC 데이터 동기화 작업에 다음 오류가 표시됩니다.
```
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
```
10분 정도 기다린 후 지금 실행을 클릭합니다. 오류가 계속되면 다음 단계를 완료합니다.
1. 작업 매개변수 섹션에서 조직 ID 매개변수 값을 삭제합니다.
2. 조직 ID 매개변수 값을 입력합니다.
3. 저장을 클릭합니다.
4. 지금 실행을 클릭합니다.
사용 사례 업데이트 중에 자동으로 업데이트되지 않으면 SCC 데이터 동기화 작업에 인증 오류가 표시됩니다. 동기화 작업 문제를 해결하려면 프로젝트 ID 및 할당량 프로젝트 ID 파라미터의 값을 수동으로 입력합니다.

올바른 매개변수 값을 지정하려면 다음 단계를 완료합니다.
1. 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
2. SCCEnterprise에서 SCC Enterprise - 상황 발견 항목 커넥터를 선택합니다.
3. 매개변수 섹션에서 할당량 프로젝트 ID 매개변수 값을 복사합니다.
4. 응답 > 작업 스케줄러로 이동합니다.
5. SCCEnterprise에서 SCC 데이터 동기화를 선택합니다.
6. SCC 데이터 동기화 작업의 매개변수 섹션에 있는 프로젝트 ID 및 할당량 프로젝트 ID 필드에 복사된 값을 입력합니다.
7. 저장을 클릭합니다.
사용 사례가 업데이트된 후에는 새 플레이북이 기존 알림에 적용되지 않습니다.

기존 알림에 새 플레이북을 적용하고 알림 위젯을 다시 렌더링하려면 케이스를 닫고 커넥터가 새 플레이북이 연결된 알림을 다시 수집할 때까지 기다립니다.