Cortex XSOAR에 Security Command Center 데이터 전송

이 페이지에서는 Security Command Center 발견 항목, 애셋, 보안 소스를 Cortex XSOAR에 자동 전송하는 방법을 설명합니다. 또한 내보낸 데이터를 관리하는 방법도 설명합니다. Cortex XSOAR은 하나 이상의 소스에서 보안 데이터를 수집하고 보안 팀의 이슈 대응 관리를 도와주는 보안 조정, 자동화, 응답(SOAR) 플랫폼입니다. Cortex XSOAR을 사용해서 Security Command Center 발견 항목 및 애셋을 확인하고 문제가 해결되었을 때 발견 항목을 업데이트할 수 있습니다.

이 가이드에서는 필요한 Security Command Center 및 Google Cloud 서비스가 올바르게 구성되었는지 확인하고 Security Command Center 환경의 발견 항목 및 애셋에 액세스하도록 Cortex XSOAR을 사용 설정해야 합니다. 이 페이지의 일부 내용은 GitHub의 Cortex XSOAR 통합 가이드로부터 작성되었습니다.

시작하기 전에

이 가이드에서는 Cortex XSOAR이 작동한다고 가정합니다. Cortex XSOAR을 사용하려면 등록을 수행합니다.

인증 및 승인 구성

Security Command Center에 Cortex XSOAR을 연결하기 전에 각 Google Cloud 조직에 Identity and Access Management(IAM) 서비스 계정을 만들고 해당 계정에 Cortex XSOAR에 필요한 조직 수준 및 프로젝트 수준 IAM 역할을 모두 부여해야 합니다.

서비스 계정 만들기 및 IAM 역할 부여

다음 단계에서는 Google Cloud 콘솔을 사용합니다. 다른 방법은 이 섹션의 끝에 있는 링크를 참조하세요.

Security Command Center 데이터를 가져오려는 각 Google Cloud 조직에 대해 다음 단계를 완료합니다.

  1. Pub/Sub 주제를 만드는 동일한 프로젝트에서 Google Cloud 콘솔의 서비스 계정 페이지를 사용하여 서비스 계정을 만듭니다. 자세한 내용은 서비스 계정 만들기 및 관리를 참조하세요.
  2. 서비스 계정에 다음 역할을 부여합니다.

    • Pub/Sub 편집자(roles/pubsub.editor)
  3. 방금 만든 서비스 계정의 이름을 복사합니다.

  4. Google Cloud 콘솔에서 프로젝트 선택기를 사용하여 조직 수준으로 전환합니다.

  5. 조직의 IAM 페이지를 엽니다.

    IAM으로 이동

  6. IAM 페이지에서 액세스 권한 부여를 클릭합니다. 액세스 권한 부여 패널이 열립니다.

  7. 액세스 권한 부여 패널에서 다음 단계를 완료합니다.

    1. 새 주 구성원 필드의 주 구성원 추가 섹션에서 서비스 계정의 이름을 붙여넣습니다.
    2. 역할 할당 섹션에서 역할 필드를 사용하여 다음 IAM 역할을 서비스 계정에 부여합니다.

    3. 보안 센터 관리자 편집자(roles/securitycenter.adminEditor)
    4. 보안 센터 알림 구성 편집자(roles/securitycenter.notificationConfigEditor)
    5. 조직 뷰어(roles/resourcemanager.organizationViewer)
    6. Cloud 애셋 뷰어(roles/cloudasset.viewer)
    7. 저장을 클릭합니다. 보안 계정이 주 구성원별 보기 아래 IAM 페이지의 권한 탭에 표시됩니다.

      또한 상속을 통해 서비스 계정이 조직의 모든 하위 프로젝트에서 주 구성원이 되고, 프로젝트 수준에서 적용 가능한 역할이 상속된 역할로 나열됩니다.

서비스 계정 만들기 및 역할 부여에 대한 자세한 내용은 다음 주제를 참조하세요.

Cortex XSOAR에 사용자 인증 정보 제공

Cortex XSOAR 호스팅 위치에 따라 Cortex XSOAR에 IAM 사용자 인증 정보를 제공하는 방법이 달라집니다.

알림 구성

Security Command Center 데이터를 가져오려는 각 Google Cloud 조직에 대해 다음 단계를 완료합니다.

  1. 다음과 같이 발견 항목 알림을 설정합니다.

    1. Security Command Center API를 사용 설정합니다.
    2. 발견 항목을 내보내도록 필터를 만듭니다.
    3. 발견 항목에 대해 Pub/Sub 주제를 만듭니다. NotificationConfig에는 개발자가 발견 항목에 대해 만든 Pub/Sub 주제가 사용되어야 합니다.
  2. 프로젝트에서 Cloud Asset API를 사용 설정합니다.

Cortex XSOAR을 구성하려면 이 태스크에서 만든 조직 ID, 프로젝트 ID, Pub/Sub 구독 ID가 필요합니다. 조직 ID와 프로젝트 ID를 검색하려면 각각 조직 ID 검색프로젝트 식별을 참조하세요.

Cortex XSOAR 구성

액세스 권한이 부여되면 Cortex XSOAR에 발견 항목 및 애셋 업데이트가 실시간으로 수신됩니다.

Cortex XSOAR과 함께 Security Command Center를 사용하려면 다음 단계를 수행합니다.

  1. Cortex XSOAR Marketplace에서 Google Cloud SCC 콘텐츠 팩을 설치합니다.

    콘텐츠 팩은 Security Command Center에서 유지보수되는 모듈이며, Security Command Center API 호출 예약 프로세스를 자동화하고 Cortext XSOAR에서 Security Command Center 데이터를 정기적으로 검색합니다.

  2. Cortex XSOAR 애플리케이션 메뉴에서 설정으로 이동한 후 통합을 클릭합니다.

  3. 통합에서 서버 및 서비스를 선택합니다.

  4. GoogleCloudSCC를 검색하고 선택합니다.

  5. 새 통합 인스턴스를 만들고 구성하려면 인스턴스 추가를 클릭합니다.

  6. 필요에 따라 다음 필드에 정보를 입력합니다.

    매개변수 설명 필수
    서비스 계정 구성 시작하기 전에에 설명된 대로 다음 중 하나를 선택합니다.
    • 서비스 계정 JSON 파일 콘텐츠(서비스 계정 키를 만든 경우)
    • 사용자 인증 정보 구성 파일의 콘텐츠(워크로드 아이덴티티 제휴를 사용하는 경우)
    True
    조직 ID 조직의 ID입니다. True
    이슈 가져오기 이슈 가져오기를 사용 설정합니다. 거짓
    프로젝트 ID 이슈 가져오기에 사용할 프로젝트 ID입니다. 비어 있으면 제공된 JSON 파일에 포함된 프로젝트 ID가 사용됩니다. 거짓
    구독 ID Pub/Sub 구독의 ID입니다. True
    최대 이슈 각 검색 중에 가져올 최대 이슈 수입니다. 거짓
    이슈 유형 이슈 유형입니다. 거짓
    모든 인증서 신뢰(비보안) 모든 인증서를 신뢰하도록 설정합니다. 거짓
    시스템 프록시 설정 사용 시스템 프록시 설정을 사용 설정합니다. 거짓
    이슈 가져오기 간격 업데이트된 이슈 정보에 대한 검색 시간 간격 거짓
    로그 수준 콘텐츠 팩의 로그 수준 거짓

  7. 테스트를 클릭합니다.

    구성이 유효하면 '성공' 메시지가 표시됩니다. 유효하지 않으면 오류 메시지가 표시됩니다.

  8. 저장 후 종료를 클릭합니다.

  9. 각 조직에 대해 5~8단계를 반복합니다.

Cortex XSOAR은 Security Command Center 발견 항목의 필드를 적절한 Cortex XSOAR 필드에 자동으로 매핑합니다. 선택 항목을 재정의하거나 Cortex XSOAR에 대해 자세히 알아보려면 제품 문서를 읽어보세요.

Cortex XSOAR 구성이 완료되었습니다. 발견 항목 및 애셋 관리 섹션에서는 서비스에서 Security Command Center 데이터를 보고 관리하는 방법을 설명합니다.

Google Cloud SCC 콘텐츠 팩 업그레이드

이 섹션에서는 이전 버전에서 업그레이드하는 방법을 설명합니다.

  1. Cortex XSOAR Marketplace에서 최신버전의 Google Cloud SCC 콘텐츠 팩에 액세스합니다.

  2. 종속 항목이 있는 다운로드를 클릭합니다.

  3. 설치를 클릭합니다.

  4. 콘텐츠 새로고침을 클릭합니다.

업그레이드할 때 이전 구성 정보는 유지됩니다. 워크로드 아이덴티티 제휴를 사용하려면 Cortex XSOAR 구성에 설명된 대로 구성 파일을 추가합니다.

발견 항목 및 애셋 관리

You can view and update assets and findings using Cortex XSOAR 명령줄 인터페이스(CLI)를 사용해서 애셋 및 발견 항목을 보고 업데이트할 수 있습니다. 자동화된 분류 및 조치를 수행하는 동안 또는 플레이북에 따라 명령어를 실행할 수 있습니다.

Cortex XSOAR CLI에 지원되는 모든 메서드 및 인수에 대한 이름 및 설명은 명령어를 참조하세요.

발견 항목은 Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection과 같은 Security Command Center의 기본 제공 서비스와 사용자가 사용 설정하는 모든 통합 서비스로부터 컴파일됩니다.

애셋 나열

조직 애셋을 나열하려면 Cortex XSOAR google-cloud-scc-asset-list 메서드를 사용합니다. 예를 들어 다음 명령어는 lifecycleStateActive인 애셋을 나열하고 응답을 3개 애셋으로 제한합니다.

!google-cloud-scc-asset-list pageSize="3" activeAssetsOnly=TRUE

코드 샘플에서 느낌표 기호(!)는 Cortex XSOARㅇ에서 명령어를 시작하기 위한 필수 기호입니다. 부정 또는 NOT을 나타내지 않습니다.

애셋 리소스 보기

프로젝트와 같이 상위 리소스에 포함된 애셋을 나열하려면 Cortex XSOAR google-cloud-scc-asset-resource-list 명령어를 사용합니다. 예를 들어 다음 명령어는 assetTypecompute.googleapis.com/Disk인 애셋을 나열하고 응답을 2개 애셋으로 제한합니다.

!google-cloud-scc-asset-resource-list assetType="compute.googleapis.com/Disk" pageSize=2

와일드 카드 및 정규 표현식은 지원됩니다. 예를 들어 assetType=".*Instance"는 애셋 유형이 'instance'로 끝나는 애셋을 나열합니다.

발견 항목 보기

조직 또는 보안 소스의 발견 항목을 나열하려면 Cortex XSOAR google-cloud-scc-finding-list 명령어를 사용합니다. 예를 들어 다음 명령어는 모든 소스에 대해 중요 심각도를 갖는 활성 발견 항목을 나열하고 3개 발견 항목으로 응답을 제한합니다.

!google-cloud-scc-finding-list severity="CRITICAL" sourceTypeId="-" pageSize="3" state="ACTIVE"

발견 항목도 필터링할 수 있습니다. 다음 명령어는 위협으로 분류된 발견 항목을 나열합니다.

!google-cloud-scc-finding-list filter="findingClass=\"THREAT\""

발견 항목 업데이트

Cortex XSOAR google-cloud-scc-finding-update 명령어를 사용해서 발견 항목을 업데이트할 수 있습니다. name을 제공하거나 organizations/ORGANIZATION_ID/sources/SOURCE_ID</var>/finding/FINDING_ID 형식을 사용해서 발견 항목에 대해 상대적인 리소스 이름을 제공해야 합니다.

예를 들어 다음 명령어는 발견 항목의 심각도를 업데이트합니다.

!google-cloud-scc-finding-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" severity="CRITICAL"

다음을 바꿉니다.

  • <var>ORGANIZATION_ID</var>는 조직 ID입니다. 조직 ID와 프로젝트 ID를 검색하려면 조직 ID 검색을 참조하세요.
  • <var>SOURCE_ID</var>를 보안 소스 ID로 바꿉니다. 소스 ID를 찾으려면 소스 ID 가져오기를 참조하세요.
  • <var>FINDING_ID</var>를 발견 항목 세부정보에 포함된 발견 항목 ID로 바꿉니다.

발견 항목 상태 업데이트

Cortex XSOAR의 google-cloud-scc-finding-status-update 명령어를 사용하여 발견 항목의 상태를 업데이트할 수 있습니다. name을 제공하거나 organizations/ORGANIZATION_ID/sources/SOURCE_ID/finding/FINDING_ID 형식을 사용해서 발견 항목에 대해 상대적인 리소스 이름을 제공해야 합니다.

예를 들어 다음 명령어는 발견 항목 상태를 활성으로 설정합니다.

!google-cloud-scc-finding-status-update name="organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID" state="ACTIVE"

다음을 바꿉니다.

  • <var>ORGANIZATION_ID</var>는 조직 ID입니다. 조직 ID와 프로젝트 ID를 검색하려면 조직 ID 검색을 참조하세요.
  • <var>SOURCE_ID</var>를 보안 소스 ID로 바꿉니다. 소스 ID를 찾으려면 소스 ID 가져오기를 참조하세요.
  • <var>FINDING_ID</var>를 발견 항목 세부정보에 포함된 발견 항목 ID로 바꿉니다.

애셋 소유자 가져오기

애셋의 소유자를 나열하려면 Cortex XSOAR google-cloud-scc-asset-owner-get 명령어를 사용합니다. 프로젝트 이름을 projects/PROJECT_NUMBER 형식으로 제공해야 합니다. 예를 들어 다음 명령어는 제공된 프로젝트의 소유자를 나열합니다.

!google-cloud-scc-asset-owner-get projectName="projects/PROJECT_NUMBER"

명령어에 여러 프로젝트를 추가하려면 쉼표 구분 기호를 사용합니다(예: projectName="projects/123456789, projects/987654321").

다음 단계