이 페이지에서는 Security Command Center 발견 항목, 애셋, 감사 로그, 보안 소스를 Google Security Operations SOAR로 자동 전송하는 방법에 대해 설명합니다. 또한 내보낸 데이터를 관리하는 방법도 설명합니다.
시작하기 전에 필요한 Security Command Center 및 Google Cloud 서비스가 올바르게 구성되었는지 확인하고 Google SecOps SOAR가 Security Command Center 환경의 발견 항목, 감사 로그, 애셋에 액세스할 수 있도록 해야 합니다. Google SecOps SOAR의 Security Command Center 통합에 관한 자세한 내용은 Google Security Operations 문서의 Security Command Center를 참고하세요.
인증 및 승인 구성
Google SecOps SOAR에 연결하려면 먼저 Identity and Access Management 서비스 계정을 만들고 조직 및 프로젝트 수준에서 IAM 역할을 부여해야 합니다.
서비스 계정 만들기 및 IAM 역할 부여
이 문서에서는 이 서비스 계정을 사용자 서비스 계정이라고도 합니다. 다음 단계에서는 Google Cloud 콘솔을 사용합니다. 다른 방법은 이 섹션의 끝에 있는 링크를 참조하세요.
Security Command Center 데이터를 가져오려는 각 Google Cloud 조직에 대해 다음 단계를 완료합니다.
- Pub/Sub 주제를 만드는 동일한 프로젝트에서 Google Cloud 콘솔의 서비스 계정 페이지를 사용하여 서비스 계정을 만듭니다. 자세한 내용은 서비스 계정 만들기 및 관리를 참조하세요.
서비스 계정에 다음 역할을 부여합니다.
- Pub/Sub 편집자(
roles/pubsub.editor)
- Pub/Sub 편집자(
방금 만든 서비스 계정의 이름을 복사합니다.
Google Cloud 콘솔에서 프로젝트 선택기를 사용하여 조직 수준으로 전환합니다.
조직의 IAM 페이지를 엽니다.
IAM 페이지에서 액세스 권한 부여를 클릭합니다. 액세스 권한 부여 패널이 열립니다.
액세스 권한 부여 패널에서 다음 단계를 완료합니다.
- 새 주 구성원 필드의 주 구성원 추가 섹션에서 서비스 계정의 이름을 붙여넣습니다.
역할 할당 섹션에서 역할 필드를 사용하여 다음 IAM 역할을 서비스 계정에 부여합니다.
- 보안 센터 관리자 뷰어(
roles/securitycenter.adminViewer) - 보안 센터 알림 구성 편집자(
roles/securitycenter.notificationConfigEditor) - 조직 뷰어(
roles/resourcemanager.organizationViewer) - Cloud 애셋 뷰어(
roles/cloudasset.viewer)
- 보안 센터 관리자 뷰어(
저장을 클릭합니다. 보안 계정이 주 구성원별 보기 아래 IAM 페이지의 권한 탭에 표시됩니다.
또한 상속을 통해 서비스 계정이 조직의 모든 하위 프로젝트에서 주 구성원이 되고, 프로젝트 수준에서 적용 가능한 역할이 상속된 역할로 나열됩니다.
서비스 계정 만들기 및 역할 부여에 대한 자세한 내용은 다음 주제를 참조하세요.
명의 도용에 사용할 서비스 계정 만들기
이 문서에서는 이 서비스 계정을 SOAR 서비스 계정이라고도 합니다. 사용자 서비스 계정 및 권한을 가장할 서비스 계정을 만듭니다.
Google SecOps SOAR 콘솔에서 응답으로 이동한 후 통합 설정을 클릭합니다.
통합 설정 페이지에서 새 인스턴스 만들기를 클릭합니다. 인스턴스 추가 대화상자가 열립니다.
통합 목록에서 Google Security Command Center를 선택하고 저장을 클릭합니다. Google Security Command Center - Configure Instance 대화상자가 열립니다.
워크로드 아이덴티티 이메일 필드에서 서비스 계정 이메일 ID를 지정합니다.
저장을 클릭합니다.
Google SecOps SOAR에 사용자 인증 정보 제공
Google SecOps SOAR 호스팅 위치에 따라 Google SecOps SOAR에 IAM 사용자 인증 정보를 제공하는 방법이 달라집니다.
- Google Cloud에서 Google SecOps SOAR를 호스팅하는 경우 사용자가 만든 사용자 서비스 계정 및 여기에 부여한 조직 수준 역할은 상위 조직에서 상속되어 자동으로 제공됩니다.
- 온프레미스 환경에서 Google SecOps SOAR를 호스팅하는 경우, 생성한 사용자 서비스 계정에 대한 키를 만듭니다. 이 태스크를 완료하려면 서비스 계정 키 JSON 파일이 필요합니다. 서비스 계정 키를 안전하게 저장하기 위한 권장사항을 알아보려면 서비스 계정 키 관리 권장사항을 참조하세요.
알림 구성
Security Command Center 데이터를 가져오려는 각 Google Cloud 조직에 대해 다음 단계를 완료합니다.
다음과 같이 발견 항목 알림을 설정합니다.
- Security Command Center API를 사용 설정합니다.
- 발견 항목에 대해 Pub/Sub 주제를 만듭니다.
- 내보내려는 발견 항목에 대한 필터가 포함된
NotificationConfig객체를 만듭니다.NotificationConfig에는 사용자가 발견 항목에 대해 만든 Pub/Sub 주제가 사용되어야 합니다.
프로젝트에서 Cloud Asset API를 사용 설정합니다.
Google SecOps SOAR를 구성하려면 이 태스크에서 만든 조직 ID, 프로젝트 ID, Pub/Sub 구독 ID가 필요합니다. 조직 ID와 프로젝트 ID를 검색하려면 각각 조직 ID 검색 및 프로젝트 식별을 참조하세요.
Google SecOps SOAR 구성
Google SecOps SOAR를 사용하면 기업과 관리형 보안 서비스 제공업체 (MSSP)는 조정 및 자동화, 위협 인텔리전스, 이슈 대응을 결합하여 다양한 소스에서 데이터와 보안 알림을 수집할 수 있습니다.
Google SecOps SOAR와 함께 Security Command Center를 사용하려면 다음 단계를 완료하세요.
Google SecOps SOAR 콘솔에서 Marketplace로 이동한 후 통합을 클릭합니다.
Google Security Command Center를 검색하고 검색 결과에 표시되는 Security Command Center 통합을 설치합니다.Google Security Command Center 통합에서 구성을 클릭합니다. Google Security Command Center - 인스턴스 구성 대화상자가 열립니다.
선택사항: 새 환경을 만들거나 환경 구성을 수정하려면 설정 화면을 클릭합니다. 새 탭에서 환경 페이지가 열립니다.
환경 페이지에서 통합 인스턴스를 구성할 환경을 선택합니다.
선택한 환경에서 새 인스턴스 만들기를 클릭합니다. 인스턴스 추가 대화상자가 열립니다.
통합 목록에서 Google Security Command Center를 선택하고 저장을 클릭합니다. Google Security Command Center - Configure Instance 대화상자가 열립니다.
구성 매개변수를 지정하고 저장을 클릭합니다.
매개변수 설명 필수 API 루트 Security Command Center 인스턴스의 API 루트입니다. 예를 들면 securitycenter.googleapis.com입니다.예 조직 ID 발견 항목을 내보낼 조직의 ID입니다. 아니요 프로젝트 ID Security Command Center 통합에 사용할 프로젝트의 ID입니다. 아니요 할당량 프로젝트 ID Google Cloud API 사용 및 결제에 대한 Google Cloud 프로젝트의 ID입니다. 아니요 위치 ID Security Command Center 통합에 사용할 위치의 ID입니다. 기본 위치 ID는 전역입니다. 아니요 사용자의 서비스 계정 서비스 계정 만들기 및 IAM 역할 부여에서 만든 서비스 계정 온프레미스 환경에서 Google SecOps SOAR를 호스팅하는 경우 서비스 계정 키 ID와 서비스 계정 JSON 파일의 모든 콘텐츠를 제공합니다. 예 워크로드 아이덴티티 이메일 명의 도용 서비스 계정 만들기에서 만든 이메일입니다. 명의 도용에 사용할 수 있는 사용자 서비스 계정의 사용을 대체하기 위한 서비스 계정 클라이언트 이메일입니다. SOAR 서비스 계정에 사용자 서비스 계정의 Service Account Token CreatorIAM 역할이 부여되어야 합니다.예 SSL 확인 Security Command Center 서버 연결에 사용된 SSL 인증서가 유효한지 확인하려면 사용 설정하세요. 예 통합이 올바르게 구성되었는지 확인하려면 테스트를 클릭합니다.
인증이 완료되면 저장을 클릭합니다.
Google Security Command Center 통합 업그레이드
Google Security Command Center 통합을 업그레이드하려면 다음 단계를 완료하세요.
Google SecOps SOAR 콘솔에서 Marketplace로 이동한 후 통합을 클릭합니다.
Google Security Command Center 통합을 검색하고 VERSION_NUMBER로 업그레이드를 클릭합니다.
발견 항목 및 애셋 작업
Google SecOps SOAR는 커넥터를 사용하여 다양한 데이터 소스의 알림을 플랫폼에 수집합니다.
Google SecOps SOAR에서 분석을 위해 Security Command Center 알림 가져오기
Security Command Center에서 발견 항목에 관한 정보를 가져오도록 커넥터를 구성해야 합니다. 커넥터를 구성하려면 데이터 수집(커넥터)을 참고하세요.
Google SecOps SOAR에서 다음 매개변수를 설정하여 Google Security Command Center - 발견 항목 커넥터를 구성합니다.
| 매개변수 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오는 소스 필드 이름입니다. |
| 이벤트 필드 이름 | 문자열 | 유형 | 예 | 이벤트 필드 이름을 가져오는 소스 필드 이름입니다. |
| 환경 필드 이름 | 문자열 | 비어 있음 | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드 이름을 지정하지 않으면 기본 환경이 선택됩니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | 환경 필드 이름 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 이 매개변수는 사용자가 정규 표현식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 기본 환경이 선택됩니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | 예 | Security Command Center 인스턴스의 API 루트입니다. 예를 들면 다음과 같습니다. securitycenter.googleapis.com |
|
| 조직 ID | 문자열 | 아니요 | Google Security Command Center 통합에 사용해야 하는 조직의 ID입니다. | |
| 사용자의 서비스 계정 | 비밀번호 | 예 | 서비스 계정 만들기 및 IAM 역할 부여에서 만든 서비스 계정입니다. 온프레미스 환경에서 Google SecOps SOAR를 호스팅하는 경우 서비스 계정 키 ID와 서비스 계정 JSON 파일의 모든 콘텐츠를 제공합니다. | |
| 발견 항목 클래스 필터 | CSV | 위협, 취약점, 구성 오류, SCC_Error, 관찰 | 아니요 | 처리해야 하는 클래스를 찾습니다. 가능한 값은 다음과 같습니다.
|
| 가져올 가장 낮은 심각도 | 문자열 | 높음 | 아니요 | 발견 항목을 가져오는 데 사용되는 가장 낮은 심각도입니다. 가능한 값은 다음과 같습니다.
|
| 최대 이전 시간 | 정수 | 1 | 아니요 | 발견 항목을 가져올 위치로부터의 시간입니다. 최대 한도는 24입니다. |
| 가져올 최대 발견 항목 수 | 정수 | 100 | 아니요 | 커넥터 반복당 처리할 발견 항목 수입니다. 최대 한도는 1,000입니다. |
| 동적 목록을 제외 목록으로 사용 | 체크박스 | 사용 중지됨 | 예 | 동적 목록을 제외 목록으로 사용 설정합니다. |
| SSL 확인 | 체크박스 | 사용 중지됨 | 예 | Security Command Center 서버에 연결하는 데 SSL 인증서가 유효한지 확인하려면 사용 설정하세요. |
| 프록시 서버 주소 | 문자열 | 아니요 | 사용할 프록시 서버의 주소입니다. | |
| 프록시 사용자 이름 | 문자열 | 아니요 | 인증할 프록시 사용자 이름입니다. | |
| 프록시 비밀번호 | 비밀번호 | 아니요 | 인증할 프록시 비밀번호입니다. |
애셋 보강
보안 조사를 위해 Google Security Operations는 다양한 소스의 문맥 데이터를 수집하고 데이터에 대한 분석을 수행하며 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공합니다.
Security Command Center의 정보를 사용하여 애셋을 보강하려면 Google SecOps SOAR의 플레이북에 애셋 보강 작업을 추가하고 플레이북을 실행합니다. 자세한 내용은 작업 추가를 참고하세요.
이 작업을 구성하려면 다음 매개변수를 설정하세요.
| 매개변수 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
취약점 알림 목록
Security Command Center에서 항목과 관련된 취약점을 나열하려면 Google Security Operations SOAR의 플레이북에 애셋 취약점 목록 작업을 추가하고 플레이북을 실행합니다. 자세한 내용은 작업 추가를 참고하세요.
이 작업을 구성하려면 다음 매개변수를 설정하세요.
| 매개변수 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 애셋 리소스 이름 | CSV | 예 | 데이터를 반환할 애셋의 리소스 이름을 쉼표로 구분한 목록을 지정합니다. | |
| 기간 | DDL | 전체 기간 | 아니요 | 취약점 또는 구성 오류 검색 기간을 지정합니다. 가능한 값은 다음과 같습니다.
|
| 레코드 유형 | DDL | 취약점 + 구성 오류 | 아니요 | 반환해야 하는 레코드 유형을 지정합니다. 가능한 값은 다음과 같습니다.
|
| 출력 유형 | DDL | 통계 | 아니요 | 애셋의 JSON 결과에 반환되어야 하는 출력 유형을 지정합니다. 가능한 값은 다음과 같습니다.
|
| 반환할 최대 레코드 수 | 문자열 | 100 | 아니요 | 애셋당 레코드 유형별로 반환할 레코드 수를 지정합니다. |
발견 항목 업데이트
Security Command Center에서 발견 항목을 업데이트하려면 Google SecOps SOAR의 플레이북에 발견 항목 업데이트 작업을 추가하고 플레이북을 실행합니다. 자세한 내용은 작업 추가를 참고하세요.
이 작업을 구성하려면 다음 매개변수를 설정하세요.
| 매개변수 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 발견 항목 이름 | CSV | organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID |
예 | 업데이트하려는 발견 항목 이름을 쉼표로 구분하여 지정합니다. |
| 음소거 설정 | DDL | 아니요 | 발견 항목의 숨기기 상태를 지정합니다. 가능한 값은 다음과 같습니다.
|
|
| 상태 | DDL | 아니요 | 발견 항목의 상태를 지정합니다. 가능한 값은 다음과 같습니다.
|