Event Threat Detection 로깅 구성

>

이 페이지에서는 Security Command Center 기존 UI에서 Event Threat Detection을 구성하고 Event Threat Detection 로그를 관리하는 방법을 설명합니다. 기존 UI는 새로운 구독자가 사용할 수 없는 Security Command Center의 GA 이전 버전입니다. 기존 UI는 Security Command Center 프리미엄 또는 표준 등급을 구독하지 않은 사용자에게만 표시됩니다.

Event Threat Detection은 조직의 Cloud Logging 스트림을 모니터링하고 거의 실시간으로 위협을 감지합니다. 자세한 내용은 Event Threat Detection 개요를 참조하세요.

기존 UI에서 Event Threat Detection 스캔을 설정하고 로그를 작성할 위치를 선택하려면 다음 안내를 따르세요.

다음 초기 설정을 사용하는 것이 좋습니다.

  • 모든 프로젝트 스캔
  • 모든 규칙 사용 설정
  • 프로젝트에서 Cloud Logging 사용 설정

Cloud Console

프로젝트 스캔

Event Threat Detection 소스 탭에서 모니터링할 프로젝트를 선택할 수 있습니다.

모든 프로젝트를 모니터링하려면 다음 안내를 따르세요.

  1. Cloud Console의 Event Threat Detection 소스 페이지로 이동합니다.
    소스 페이지로 이동
  2. 현재 및 이후 추가될 모든 프로젝트 포함을 선택합니다.
  3. 저장을 클릭합니다.

대부분의 프로젝트를 모니터링하려면 모니터링하지 않을 프로젝트를 제외합니다.

  1. Cloud Console의 Event Threat Detection 소스 페이지로 이동합니다.
    소스 페이지로 이동
  2. 프로젝트의 하위 집합 제외를 선택합니다.
  3. 모니터링하지 않을 프로젝트를 선택합니다.
  4. 저장을 클릭합니다.

몇 개의 프로젝트를 모니터링하려면 포함할 특정 프로젝트를 선택합니다.

  1. Cloud Console의 Event Threat Detection 소스 페이지로 이동합니다.
    소스 페이지로 이동
  2. 프로젝트의 하위 집합 포함을 선택합니다.
  3. 모니터링할 프로젝트를 선택합니다. 1개 이상 선택해야 합니다.
  4. 저장을 클릭합니다.

사용 설정 규칙

Event Threat Detection 규칙 탭에서 사용 설정할 규칙을 선택할 수 있습니다.

  1. Cloud Console의 Event Threat Detection 규칙 페이지로 이동합니다.
    규칙 페이지로 이동
  2. 사용 설정에서 규칙 이름 옆을 클릭하여 해당 규칙을 사용 설정하거나 사용 중지합니다.

출력 구성

Event Threat Detection 출력 탭에서 발견 항목을 로깅할 위치를 선택할 수 있습니다.

Event Threat Detection 발견 항목이 Security Command Center에 자동으로 기록됩니다. 또한 발견 항목을 Google Cloud의 작업 제품군에 로깅하려면 다음 안내를 따르세요.

  1. Cloud Console의 Event Threat Detection 출력 페이지로 이동합니다.
    출력 페이지로 이동
  2. Google Cloud의 작업 제품군에 발견 항목 로깅을 사용 설정합니다.
  3. 로그를 저장할 프로젝트를 선택합니다. 프로젝트에 해당 이름을 입력하거나 둘러보기를 클릭한 다음 프로젝트를 선택합니다.
  4. 저장을 클릭합니다.

API

API를 사용하여 권장 Event Threat Detection 설정을 사용하려면 사용자 인증 정보 Bearer 토큰을 가져온 후 다음 curl 명령어를 사용합니다.

사용자 인증 정보 Bearer 토큰 가져오기

서비스 계정의 사용자 인증 정보 Bearer 토큰을 가져오려면 다음 gcloud 도구 명령어를 사용합니다.

$ export GOOGLE_APPLICATION_CREDENTIALS=path-to-your-service-account.json
$ TOKEN=`gcloud auth application-default print-access-token`

프로젝트 스캔

sourceSettings를 사용하여 모니터링할 프로젝트를 선택합니다. 조직의 모든 프로젝트에 Event Threat Detection를 사용 설정하려면 다음 명령어를 사용하세요.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": { "log_sources": { "inclusion_mode": "ALL" } } }'

사용 설정 규칙

detectorSettings를 사용하여 사용 설정할 감지기를 선택합니다. 모든 Event Threat Detection을 사용 설정하려면 다음 명령어를 사용하여 모든 규칙을 true로 설정합니다.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/detectorSettings" \
    --data '{ "settings": \
        { "outgoing_dos": { "enable_event_threat_detection": true }, \
        "malware_bad_ip": { "enable_event_threat_detection": true }, \
        "malware_bad_domain": { "enable_event_threat_detection": true }, \
        "ssh_brute_force": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_domain": { "enable_event_threat_detection": true }, \
        "cryptomining_pool_ip": { "enable_event_threat_detection": true }, \
        "iam_anomalous_grant": { "enable_event_threat_detection": true } } }'

출력 구성

sinkSettings를 사용하여 출력을 구성합니다. 발견 항목이 로깅되는 프로젝트를 설정하려면 다음 명령어를 사용합니다.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": \
        { "logging_sink_project": "projects/your-ETD-logging-destination-project-ID" } }'

Event Threat Detection 사용 중지

Event Threat Detection를 사용 중지하려면 sourceSettings, detectorSettings, sinkSettings를 빈 객체로 설정합니다.

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sourceSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

$ curl -s --request PATCH \
    -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" \
    "https://threatdetection.googleapis.com/v1/organizations/your-organization-ID/sinkSettings" \
    --data '{ "settings": {} }'

다음 단계