Security Command Center에서 취약점 발견 항목 보기

이 페이지에서는 필터를 사용하여 특정 취약점 발견 항목을 표시하는 방법을 설명합니다.

Security Command Center의 취약점발견 항목 페이지에서 Google Cloud 콘솔의 취약점 발견 항목을 보고 필터링할 수 있습니다.

중요한 취약점 발견 항목을 표시한 후 Security Command Center에서 취약점을 선택하면 특정 발견 항목에 대해 자세한 정보를 살펴볼 수 있습니다. 여기에는 취약점 및 위험에 대한 설명과 해결을 위한 권장사항이 포함됩니다.

이 페이지에서 취약점VulnerabilityMisconfiguration 클래스 발견 항목을 모두 의미합니다.

취약점 페이지와 발견 항목 페이지 비교

취약점 페이지와 발견 항목 페이지 모두에서 Google Cloud 콘솔의 취약점 발견 항목을 보고 필터링할 수 있습니다.

취약점 페이지의 필터 옵션은 발견 항목 페이지에서 사용할 수 있는 필터 및 쿼리 옵션에 비해 제한적입니다.

취약점 페이지에는 VulnerabilityMisconfiguration 클래스의 모든 발견 항목 카테고리와 각 카테고리의 현재 활성 발견 항목 수, 각 발견 항목 카테고리가 매핑된 규정 준수 표준이 표시됩니다. 카테고리에 활성 취약점이 없으면 활성 발견 항목 열에 0이 표시됩니다.

이와 달리 발견 항목 페이지에서는 모든 발견 항목 클래스의 발견 항목 카테고리를 표시할 수 있지만, 사용자 환경에서 지정된 시간 범위 내에 해당 카테고리에 보안 문제가 감지된 경우에만 발견 항목 카테고리를 표시합니다.

자세한 내용은 다음 페이지를 참조하세요.

쿼리 사전 설정 적용

취약점 페이지에서는 특정 보안 목표와 관련된 발견 항목을 반환하는 사전 정의된 쿼리인 쿼리 사전 설정을 선택할 수 있습니다.

예를 들어 클라우드 인프라 사용 권한 관리(CIEM) 책임이 있는 경우 ID 및 액세스 구성 오류 쿼리 사전 설정을 선택하여 잘못 구성된 또는 과도하거나 민감한 권한이 부여된 주 구성원 계정과 관련된 모든 발견 항목을 확인할 수 있습니다.

또는 실제로 필요한 권한으로 주 구성원을 제한하는 것이 목표인 경우 IAM 추천자 쿼리 사전 설정을 선택하여 필요 이상으로 많은 권한을 가진 주 구성원에 대한 IAM 추천자의 발견 항목을 표시할 수 있습니다.

쿼리 사전 설정을 선택하려면 다음 단계를 따르세요.

  1. 취약점 페이지로 이동합니다.

    취약점으로 이동

  2. 쿼리 사전 설정 섹션에서 쿼리 선택기 중 하나를 클릭합니다.

    화면이 업데이트되어 쿼리에 지정된 취약점 카테고리만 표시됩니다.

프로젝트별로 취약점 발견 항목 보기

Google Cloud 콘솔의 취약점 페이지에서 취약점 발견 항목을 프로젝트별로 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 취약점 페이지로 이동합니다.

    취약점으로 이동

  2. 페이지 상단의 프로젝트 선택기에서 취약점 발견 항목을 확인해야 하는 프로젝트를 선택합니다.

취약점 페이지에 선택한 프로젝트의 발견 항목만 표시됩니다.

또는 콘솔 뷰가 조직으로 설정된 경우 발견 항목 페이지빠른 필터를 사용하면 한 개 이상의 프로젝트 ID로 취약점 발견 항목을 필터링할 수 있습니다.

발견 항목 카테고리별로 취약점 발견 항목 보기

취약점 발견 항목을 카테고리별로 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 취약점 페이지로 이동합니다.

    취약점으로 이동

  2. 프로젝트 선택기에서 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 카테고리 열에서 발견 항목을 표시할 발견 항목 유형을 선택합니다.

발견 항목 페이지가 로드되고 선택한 유형과 일치하는 발견 항목 목록이 표시됩니다.

발견 항목 카테고리에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

애셋 유형별로 발견 항목 보기

특정 애셋 유형에 대한 취약점 발견 항목을 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 프로젝트 선택기에서 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 빠른 필터 패널에서 다음을 선택합니다.

    • 발견 항목 클래스 섹션에서 취약점구성 오류를 모두 선택합니다.
    • 선택사항: 프로젝트 ID 섹션에서 애셋을 보려는 프로젝트의 ID를 선택합니다.
    • 리소스 유형 섹션에서 보려는 리소스 유형을 선택합니다.

발견 항목 쿼리 결과 패널의 발견 항목 목록이 선택 항목과 일치하는 발견 항목만 표시하도록 업데이트됩니다.

공격 노출 점수별로 취약점 발견 항목 보기

중요 가치 항목으로 지정되었고 공격 경로 시뮬레이션에서 지원되는 취약점 발견 항목에는 공격 노출 점수가 할당됩니다. 이 점수별로 발견 항목을 필터링할 수 있습니다.

취약점 발견 항목을 공격 노출 점수별로 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 프로젝트 선택기에서 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 쿼리 미리보기 패널 오른쪽에서 쿼리 수정을 클릭합니다.

  4. 쿼리 편집기 패널 상단에서 필터 추가를 클릭합니다.

  5. 필터 선택 대화상자에서 공격 노출을 선택합니다.

  6. 다음 점수보다 심각한 공격 노출 필드에 점수 값을 입력합니다.

  7. 적용을 클릭합니다.

    필터 문이 쿼리에 추가되고, 발견 항목 쿼리 결과 패널의 발견 항목이 새 필터 문에서 지정된 값보다 큰 공격 노출 점수가 있는 발견 항목만 표시하도록 업데이트됩니다.

CVE ID별 취약점 발견 항목 보기

개요 페이지 또는 발견 항목 페이지에서 해당 CVE ID에 따라 발견 항목을 찾을 수 있습니다.

개요 페이지의 최상위 CVE 발견 항목 섹션에서 취약점 발견 항목은 대화형 차트에서 Mandiant에서 평가된 대로 해당 CVE의 악용 가능성 및 영향에 따라 그룹화됩니다. 차트에서 블록을 클릭하여 환경에서 감지된 CVE ID별 취약점 목록을 확인합니다.

발견 항목 페이지에서 CVE ID별로 발견 항목을 쿼리할 수 있습니다.

CVE ID별로 취약점 발견 항목을 쿼리하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 프로젝트 선택기에서 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 쿼리 미리보기 필드 오른쪽에서 쿼리 수정을 클릭합니다.

  4. 쿼리 편집기에서 찾으려는 CVE ID를 포함하도록 쿼리를 수정합니다. 예를 들면 다음과 같습니다.

    state="ACTIVE"
     AND NOT mute="MUTED"
     AND vulnerability.cve.id="CVE-2016-5195"
    

    숨겨지지 않고 CVE ID를 포함하는 모든 활성 발견 항목을 표시하도록 발견 항목 쿼리 결과가 업데이트됩니다.

심각도별로 취약점 발견 항목 보기

취약점 발견 항목을 심각도별로 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 프로젝트 선택기에서 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 빠른 필터 패널에서 발견 항목 클래스 섹션으로 이동하여 취약점구성 오류를 모두 선택합니다.

    표시된 발견 항목이 업데이트되어 VulnerabilityMisconfiguration 클래스 발견 항목만 표시됩니다.

  4. 또한 빠른 필터 패널에서 심각도 섹션으로 이동하여 확인해야 할 발견 항목의 심각도를 선택합니다.

    표시된 발견 항목이 업데이트되어 선택한 심각도의 취약점 발견 항목만 표시됩니다.

활성 발견 항목 수별로 발견 항목 카테고리 보기

발견 항목 카테고리를 카테고리에 포함된 활성 발견 항목 수별로 보려면 Google Cloud 콘솔 또는 Google Cloud CLI 명령어를 사용해야 합니다.

콘솔

취약점 페이지에서 발견 항목 카테고리를 카테고리에 포함된 활성 발견 항목 수별로 보려면 활성 발견 항목 열별로 카테고리를 정렬하거나 각 카테고리에 포함된 활성 발견 항목 수로 카테고리를 필터링하면 됩니다.

포함된 활성 발견 항목 수를 기준으로 취약점 발견 항목 카테고리를 필터링하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 취약점 페이지를 엽니다.

    취약점으로 이동

  2. 프로젝트 선택기에서 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 필터 필드에 커서를 놓으면 필터 목록이 표시됩니다.

  4. 필터 목록에서 활성 발견 항목을 선택합니다. 논리 연산자 목록이 표시됩니다.

  5. 필터에서 사용할 논리 연산자(예: >=)를 선택합니다.

  6. 숫자를 입력하고 Enter 키를 누릅니다.

화면이 업데이트되어 필터에 부합하는 활성 발견 항목이 다수 포함된 취약점 카테고리만 표시됩니다.

gcloud

gcloud CLI를 사용하여 모든 활성 발견 항목 수를 가져오려면 먼저 Security Command Center를 쿼리하여 취약점 서비스의 소스 ID를 가져온 다음 소스 ID를 사용하여 활성 발견 항목 수를 쿼리합니다.

1단계: 소스 ID 가져오기

이 단계를 완료하려면 조직 ID를 가져온 후 취약점 감지 서비스 중 하나의 소스 ID(발견 항목 소스라고도 함)를 가져옵니다. Security Command Center API를 아직 사용 설정하지 않은 경우 사용 설정하라는 메시지가 표시됩니다.

  1. gcloud organizations list를 실행하여 조직 ID를 가져온 후 조직 이름 옆에 있는 번호를 기록합니다.
  2. 다음을 실행하여 Security Health Analytics 소스 ID를 가져옵니다.

    gcloud scc sources describe organizations/ORGANIZATION_ID \
      --source-display-name='SOURCE_DISPLAY_NAME'

    다음을 바꿉니다.

    • ORGANIZATION_ID: 조직의 ID입니다. Security Command Center의 활성화 수준과 관계없이 조직 ID가 필요합니다.
    • SOURCE_DISPLAY_NAME: 발견 항목을 표시해야 하는 취약점 감지 서비스의 표시 이름입니다. 예를 들면 Security Health Analytics입니다.
  3. 메시지가 나타나면 Security Command Center API를 사용 설정한 다음 이전 명령어를 실행하여 소스 ID를 다시 가져옵니다.

소스 ID를 가져오기 위한 명령어는 다음과 같은 출력을 표시해야 합니다.

description: Scans for deviations from a Google Cloud
security baseline.
displayName: Security Health Analytics
name: organizations/ORGANIZATION_ID/sources/SOURCE_ID

다음 단계에서 사용할 SOURCE_ID를 확인합니다.

2단계: 활성 발견 항목 수 가져오기

이전 단계에서 기록해 둔 SOURCE_ID를 사용하여 발견 항목을 필터링합니다. 다음 gcloud CLI 명령어는 카테고리별로 발견 항목 수를 반환합니다.

gcloud scc findings group organizations/ORGANIZATION_ID/sources/SOURCE_ID \
  --group-by=category --page-size=PAGE_SIZE

페이지 크기를 최대 1,000까지 설정할 수 있습니다. 이 명령어를 실행하면 특정 조직 또는 프로젝트의 결과와 함께 다음과 같은 출력이 표시됩니다.

  groupByResults:
  - count: '1'
    properties:
      category: MFA_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50