Elastic Stack에 Security Command Center 데이터 전송

이 페이지에서는 Docker 컨테이너를 사용하지 않고 자동으로 Security Command Center 발견 항목, 애셋, 보안 소스를 Elastic Stack으로 전송하는 방법을 설명합니다. 또한 내보낸 데이터를 관리하는 방법도 설명합니다. Elastic Stack은 하나 이상의 소스로부터 데이터를 수집하고 보안 팀의 이슈 대응 관리 및 실시간 분석 수행을 도와주는 보안 정보 및 이벤트 관리(SIEM) 플랫폼입니다. 이 가이드에서 설명하는 Elastic Stack 구성에는 4가지 구성요소가 포함됩니다.

  • Filebeat: 가상 머신(VM)과 같이 데이터 수집 및 전달을 위해 구성할 수 있고 에지 호스트에 설치되는 경량형 에이전트입니다.
  • Logstash: 데이터를 수집하고 이를 필요한 필드에 매핑하고 결과를 Elasticsearch로 전달하는 변환 서비스입니다.
  • Elasticsearch: 데이터를 저장하는 검색 데이터베이스 엔진입니다.
  • Kibana: 데이터를 시각화하고 분석할 수 있게 해주는 대시보드를 지원합니다.

최신 버전으로 업그레이드

최신 출시 버전으로 업그레이드하려면 GoApp 모듈이 포함된 Docker 컨테이너 이미지를 배포해야 합니다. 자세한 내용은 Docker 및 Elastic Stack을 사용하여 애셋 및 발견 항목 내보내기를 참조하세요.

최신 출시 버전으로 업그레이드하려면 다음을 완료합니다.

  1. //etc/systemd/system/에서 go_script.service를 삭제합니다.
  2. GoApp 폴더를 삭제합니다.
  3. Logstash 구성을 삭제합니다.
  4. logstash2.service를 삭제합니다.
  5. filebeat.service를 삭제합니다.
  6. 필요한 경우 새 대시보드를 가져올 때 문제를 방지하기 위해 Kibana에서 기존 대시보드를 삭제합니다.
    1. Kibana 애플리케이션을 엽니다.
    2. 탐색 메뉴에서 스택 관리로 이동한 후 저장된 객체를 클릭합니다.
    3. Google SCC를 검색합니다.
    4. 삭제할 대시보드를 모두 선택합니다.
    5. 삭제를 클릭합니다.
  7. 서비스 계정에 로그 구성 작성자(roles/logging.configWriter) 역할을 추가합니다.
  8. 감사 로그의 Pub/Sub 주제를 만듭니다.
  9. 선택적으로 다른 클라우드에 Docker 컨테이너를 설치하는 경우 서비스 계정 키를 사용하는 대신 워크로드 아이덴티티 제휴를 구성합니다. 단기 서비스 계정 사용자 인증 정보를 만들고 사용자 인증 정보 구성 파일을 다운로드해야 합니다.
  10. GoApp 모듈 다운로드 단계를 완료합니다.
  11. Docker 컨테이너 설치 단계를 완료합니다.
  12. 감사 로그 권한 업데이트 단계를 완료합니다.
  13. Kibana 대시보드 가져오기의 설명대로 모든 대시보드를 가져옵니다.

Docker 및 Elastic Stack을 사용하여 애셋 및 발견 항목 내보내기의 안내에 따라 SIEM 통합을 관리합니다.

서비스 및 로그 관리

이 섹션에서는 GoApp 모듈 로그를 보고 모듈 구성을 변경하는 방법을 설명합니다.

이 섹션은 2022년 2월에 제공된 GoogleSCCElasticIntegration 설치 패키지에서 설치한 GoApp 모듈에만 적용됩니다. 최신 정보는 최신 출시 버전으로 업그레이드를 참조하세요.

  1. 서비스 상태를 확인합니다.

      systemctl | grep go_script

  2. 실행 오류 정보 및 기타 서비스 정보가 포함된 현재 작업 로그를 확인합니다.

      sudo journalctl -f -u go_script.service

  3. 이전 및 현재 작업 로그를 확인합니다.

      sudo journalctl -u go_script.service

  4. 문제 해결 또는 go_script.service 로그 확인을 수행하려면 다음 안내를 따르세요.

      cat go.log

GoApp 모듈 제거

Elastic Stack용 Security Command Center 데이터를 더 이상 검색하지 않으려면 GoApp 모듈을 제거합니다.

이 섹션은 2022년 2월에 제공된 GoogleSCCElasticIntegration 설치 패키지에서 설치한 GoApp 모듈에만 적용됩니다. 최신 정보는 최신 출시 버전으로 업그레이드를 참조하세요.

  1. //etc/systemd/system/에서 go_script.service를 삭제합니다.
  2. 자산 및 IAM 정책에 대해 피드를 삭제합니다.
  3. 애셋, IAM 정책 및 발견 항목에 대해 Pub/Sub를 삭제합니다.
  4. 작업 디렉터리를 삭제합니다.

Elastic Stack 애플리케이션 구성

이 섹션에서는 Security Command Center 데이터를 수집하도록 Elastic Stack 애플리케이션을 구성하는 방법을 설명합니다. 이 안내에서는 Elastic Stack이 올바르게 설치 및 사용 설정되었고 사용자에게 애플리케이션 환경의 루트 권한이 있다고 가정합니다.

이 섹션은 2022년 2월에 제공된 GoogleSCCElasticIntegration 설치 패키지에서 설치한 GoApp 모듈에만 적용됩니다. 최신 정보는 최신 출시 버전으로 업그레이드를 참조하세요.

Logstash 서비스 로그 보기

현재 로그를 보려면 다음 명령어를 실행합니다.

    sudo journalctl -f -u logstash2.service

이전 로그를 보려면 다음 명령어를 실행합니다.

    sudo journalctl -u logstash2.service

서비스 제거

  1. Logstash 구성을 삭제합니다.
  2. logstash2.service를 삭제합니다.

Filebeat 설정

이 섹션은 2022년 2월에 제공된 GoogleSCCElasticIntegration 설치 패키지에서 설치한 GoApp 모듈에만 적용됩니다. 최신 정보는 최신 출시 버전으로 업그레이드를 참조하세요.

Filebeat 서비스 로그 보기

현재 로그를 보려면 다음 명령어를 실행합니다.

    sudo journalctl -f -u filebeat.service

이전 로그를 보려면 다음 명령어를 실행합니다.

    sudo journalctl -u filebeat.service

서비스 제거

  1. logstash 구성을 삭제합니다.
  2. filebeat.service를 삭제합니다.

Kibana 대시보드 보기

Elastic Stack에서 커스텀 대시보드를 사용해서 발견 항목, 애셋, 보안 소스를 시각화하고 분석할 수 있습니다. 대시보드에 중요한 발견 항목이 표시되어 보안팀에서 수정 우선순위를 지정하는 데 도움이 됩니다.

이 섹션은 2022년 2월에 제공된 GoogleSCCElasticIntegration 설치 패키지에서 설치한 GoApp 모듈에만 적용됩니다. 최신 정보는 최신 출시 버전으로 업그레이드를 참조하세요.

개요

개요 대시보드에는 심각도 수준, 카테고리, 상태에 따라 조직에서 총 발견 항목 수를 표시하는 일련의 차트가 포함되어 있습니다. 발견 항목은 Security Health Analytics, Web Security Scanner, Event Threat Detection, Container Threat Detection과 같은 Security Command Center의 기본 제공 서비스와 사용자가 사용 설정하는 모든 통합 서비스로부터 컴파일됩니다.

추가 차트에는 발견 항목을 가장 많이 생성하는 카테고리, 프로젝트, 애셋이 표시됩니다.

애셋

애셋 대시보드에는 Google Cloud 애셋을 보여주는 테이블이 표시됩니다. 이 테이블에는 리소스 유형 및 프로젝트에 따라 애셋 소유자 및 애셋 수와 최근에 추가된 애셋 및 업데이트된 애셋이 표시됩니다.

기간, 리소스 이름, 리소스 유형, 소유자, 프로젝트별로 애셋 데이터를 필터링하고 특정 애셋에 대한 발견 항목을 빠르게 상세히 살펴볼 수 있습니다. 애셋 이름을 클릭하면 Google Cloud Console에서 Security Command Center의 애셋 페이지로 리디렉션되고 선택한 애셋에 대한 세부정보가 표시됩니다.

발견 항목

발견 항목 대시보드에는 최근 발견 항목을 보여주는 표가 포함되어 있습니다. 리소스 이름, 카테고리, 심각도에 따라 데이터를 필터링할 수 있습니다.

테이블 열에는 organizations/<var>ORGANIZATION_ID</var>/sources/<var>SOURCE_ID</var>/findings/<var>FINDING_ID</var> 형식의 발견 항목 이름, 카테고리, 리소스 이름, 이벤트 시간, 생성 시간, 상위 요소 이름, 상위 요소 URI, 보안 표시가 포함됩니다. 상위 요소 URI의 형식은 발견 항목 이름과 일치합니다. 발견 항목 이름을 클릭하면 Google Cloud Console에서 Security Command Center의 발견 항목 페이지로 리디렉션되고 선택한 발견 항목에 대한 세부정보가 표시됩니다.

소스

소스 대시보드에는 총 발견 항목 수 및 보안 소스, 소스 이름별 발견 항목 수, 모든 보안 소스에 대한 테이블이 표시됩니다. 테이블 열에는 이름, 표시 이름, 설명이 포함됩니다.

대시보드 수정

열 추가

  1. 대시보드로 이동합니다.
  2. 수정을 클릭한 후 시각화 수정을 클릭합니다.
  3. 하위 버킷 추가에서 행 분할을 선택합니다.
  4. 목록에서 집계를 선택합니다.
  5. 내림차순 드롭다운 메뉴에서 오름차순 또는 내림차순을 선택합니다. 크기 필드에 테이블의 최대 행 수를 입력합니다.
  6. 추가할 열을 선택합니다.
  7. 변경사항을 저장합니다.

열 삭제

  1. 대시보드로 이동합니다.
  2. 수정을 클릭합니다.
  3. 열을 숨기려면 열 이름 옆에서 표시 여부를 나타내는 눈 모양 아이콘을 클릭합니다. 열을 삭제하려면 열 이름 옆에 있는 X로 표시된 삭제 아이콘을 클릭합니다.

다음 단계