Security Command Center 데이터 내보내기

>

이 페이지에서는 애셋, 발견 항목, 보안 표시 등 Security Command Center 데이터를 내보내는 두 가지 방법을 설명합니다.

  • 현재의 발견 항목, 애셋, 보안 표시의 일회성 내보내기
  • 새로운 발견 항목을 Pub/Sub로 자동으로 내보내는 지속적 내보내기(Security Command Center 프리미엄 고객에게 제공되는 기능)

Security Command Center를 사용하면 Security Command Center API 또는 Google Cloud Console을 이용해서 데이터를 내보낼 수 있습니다.

일회성 내보내기

일회성 내보내기를 사용하면 현재 및 이전 발견 항목 및 애셋을 수동으로 전송하고 다운로드할 수 있습니다. 사용자는 Cloud Storage 버킷으로 데이터를 전송하고 로컬 워크스테이션에 다운로드할 수 있습니다.

권한

일회성 내보내기를 수행하려면 다음이 필요합니다.

Cloud Console을 사용하여 데이터 내보내기

이 섹션에서는 Cloud Console을 사용하여 Security Command Center 데이터를 내보내는 방법을 설명합니다. Security Command Center 대시보드에서 내보내기를 클릭하면 Cloud Storage 버킷에 쓸 수 있는 사용자 인증 정보 또는 권한이 Security Command Center에서 자동으로 제공됩니다.

데이터 내보내기

발견 항목 및 애셋은 별도의 작업으로 내보내집니다. 사용자는 JSON 또는 JSONL 파일을 기존 Cloud Storage 버킷에 내보내거나 내보내기 프로세스 중에 새로 만들 수도 있습니다.

현재의 애셋 또는 발견 항목을 모두 내보낼 수도 있고, 내보내기 전에 원하는 필터를 선택할 수도 있습니다.

  1. Cloud Console의 Security Command Center로 이동합니다.

    Security Command Center로 이동

  2. 애셋을 내보내려면 애셋 탭을 클릭하고, 발견 항목을 내보내려면 발견 항목 탭을 클릭합니다.

  3. 필터 필드에서 데이터를 필터링하는 데 사용할 속성, 특성, 보안 표시를 선택합니다. 빈 필터는 와일드 카드로 평가되어 모든 애셋 또는 발견 항목을 내보냅니다. 필터 만들기에 대한 상세 설명은 Security Command Center 대시보드 사용을 참조하세요.

  4. 필터 만들기가 완료되면 내보내기를 클릭한 다음 일회성 아래에서 Cloud Storage를 클릭합니다.

  5. 내보내기 페이지에서 내보내기를 구성합니다.

    1. 항목 유형이 사용자가 선택한 발견 항목 또는 애셋과 일치하는지 확인합니다. 그렇지 않은 경우 올바른 유형을 선택하세요.
    2. 결과 그룹화 기준 드롭다운 목록에서 내보내기 데이터를 그룹화할 방법을 선택합니다.
    3. 형식 드롭다운 목록에서 JSON 또는 JSONL을 선택합니다.
      • 필터 필드에는 항목 유형에 대해 선택한 필터가 있으면 해당 필터가 표시됩니다.
    4. 결과 표시에서 내보낼 데이터의 타임스탬프를 선택합니다.
    5. 내보내기 대상에서 데이터를 내보낼 프로젝트를 선택합니다.
    6. 경로 내보내기 상자에서 둘러보기를 클릭합니다.
    7. 객체 선택 패널에서 기존 Cloud Storage 버킷을 선택하거나 스토리지 버킷 만들기를 선택합니다.
    8. 버킷을 선택하거나 새로 만든 후 파일 이름에 내보내기 파일의 이름을 입력한 후 선택을 클릭합니다.
  6. 내보내기 구성이 완료되면 내보내기를 클릭합니다. 버킷의 기존 파일을 선택한 경우 덮어쓰기 확인 대화상자가 표시됩니다.

    • 기존 파일을 덮어쓰려면 확인을 클릭합니다.
    • 작성하고 있는 파일을 변경하려면 취소를 클릭한 후 경로 내보내기 상자에서 찾아보기를 클릭하고 다른 파일을 선택하거나 만듭니다.

구성된 데이터는 지정된 Cloud Storage 버킷에 저장됩니다.

내보낸 데이터 다운로드

내보낸 JSON 또는 JSONL 데이터를 다운로드하려면 다음 단계별 안내를 따르세요.

  1. Cloud Console에서 스토리지 브라우저 페이지로 이동합니다.

    스토리지 브라우저로 이동

  2. 프로젝트를 선택한 다음 데이터를 내보낸 버킷을 클릭합니다.

  3. 내보낸 파일 옆에 있는 체크박스를 선택한 다음 다운로드를 클릭합니다.

  4. 파일 저장 대화상자에서 파일을 저장할 위치를 선택한 후 저장을 클릭합니다.

JSON 또는 JSONL 파일이 지정된 위치에 다운로드됩니다.

Security Command Center API를 사용하여 데이터 내보내기

Security Command Center API를 사용하여 애셋, 발견 항목, 보안 표시를 Cloud Storage 버킷 또는 로컬 워크스테이션으로 내보낼 수 있습니다. 보안 발견 항목 나열 또는 애셋 나열 가이드를 따르세요. 나열되면 발견 항목 또는 애셋에 대한 API 응답을 다운로드하거나 내보낼 수 있습니다.

발견 항목 또는 애셋을 나열하려면 연결된 보안 표시와 함께 ListFindings 또는 ListAssets API 메서드를 사용합니다. 이러한 API는 JSON 형식의 전체 속성, 연결된 마크의 집합과 함께 애셋 또는 발견 항목을 반환합니다. 애플리케이션에서 데이터를 다른 형식으로 지정해야 할 경우 커스텀 코드를 작성하여 JSON 출력을 변환해야 합니다.

groupBy 필드에 값을 지정하면 GroupAssets 또는 GroupFindings 메서드가 사용됩니다. groupBy 값을 지정하지 않으면 ListAssets 또는 ListFindings 메서드가 사용됩니다. GroupAssetsGroupFindings 메서드는 지정된 속성별로 그룹화된 조직의 애셋 또는 결과 목록을 반환합니다.

API 출력을 Cloud Storage 버킷으로 내보내려면 Cloud Shell을 사용하여 애셋 또는 발견 항목을 나열하고 파일에 옵션을 작성한 후 선택한 스토리지 버킷에 복사하세요.

  1. Cloud Shell을 엽니다.

    Cloud Shell로 이동

  2. 발견 항목 또는 애셋을 파일에 쓰려면 결과 나열 또는 애셋 나열을 위한 gcloud 도구 명령어에 출력 문자열을 추가하세요.

    예를 들어 다음 명령어는 나열된 결과를 MY_FINDINGS.txt라는 텍스트 파일에 저장합니다.

      ORGANIZATION_ID=ORGANIZATION_ID
      SOURCE_ID="SOURCE_ID"
      FILTER="category=\"MEDIUM_RISK_ONE\""
    
      gcloud scc findings list $ORGANIZATION_ID --source=$SOURCE_ID \
        --filter="$FILTER" > MY_FINDINGS.txt
    

    다음을 바꿉니다.

  3. Cloud Storage 버킷에 MY_FINDINGS.txt를 복사합니다.

    gsutil cp MY_FINDINGS.txt gs://MY_BUCKET

    MY_BUCKET을 버킷 이름으로 바꿉니다.

  4. Cloud Storage 버킷 대신 MY_FINDINGS.txt를 로컬 워크스테이션에 저장하려면 다음 코드를 실행하세요.

    cloudshell download MY_FINDINGS.txt

지속적 내보내기

Security Command Center 프리미엄 고객에게 제공되는 지속적 내보내기 기능은 Security Command Center 발견 항목을 Pub/Sub로 자동으로 내보내는 프로세스를 간소화합니다. 새 발견 항목이 생성되면 거의 실시간으로 지정된 Pub/Sub 주제로 자동 내보내기하여 기존 워크플로에 통합할 수 있습니다.

Pub/Sub에 대한 자세한 내용은 Pub/Sub란 무엇인가요?를 참조하세요.

지속적 내보내기와 발견 항목 알림 비교

Security Command Center를 사용하면 Security Command Center API를 사용하여 Pub/Sub에 대한 발견 항목 알림을 설정할 수 있습니다. API를 사용하려면 Cloud SDK를 사용하여 Pub/Sub 주제를 설정하고, 발견 항목 필터를 만들고, 알림을 보낼 구성 설정이 포함된 NotificationConfigs 파일을 만들어야 합니다. 지속적 내보내기는 동일한 기능을 제공하지만 Security Command Center 대시보드를 사용하므로 내보내기 생성이 간소화됩니다.

권한

지속적 내보내기를 만들고 관리하려면 다음 역할 중 하나가 필요합니다.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

또한 다음 권한이 있는 역할을 이용할 수 있습니다.

  • Pub/Sub 주제를 열람하거나 게시:

    • pubsub.topics.publish
    • pubsub.topics.list
  • 지속적 내보내기 페이지 열람:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • 지속적 내보내기 관리:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

Pub/Sub 내보내기 구성

지속적 내보내기를 사용하면 모든 향후 결과를 Pub/Sub로 자동으로 내보내거나 필터를 만들어 특정 기준을 충족하는 향후 결과를 내보낼 수 있습니다. 사용자는 카테고리, 소스, 애셋 유형, 보안 표시, 심각도, 상태, 기타 변수를 기준으로 결과를 필터링할 수 있습니다.

지속적 내보내기 만들기

조직에서 최대 500개의 지속적 내보내기를 만들 수 있습니다. Pub/Sub에 대한 내보내기를 만들려면 다음을 수행하세요.

  1. Cloud Console의 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 필터 필드에서 발견 항목을 필터링하고 원하는 변수를 입력하는 데 사용할 속성, 특성, 또는 보안 표시를 선택합니다. 빈 필터는 와일드 카드로 평가되어 모든 발견 항목을 내보냅니다. 속성을 찾는 방법에 대한 상세 설명은 Security Command Center 대시보드 사용을 참조하세요.

  3. 내보내기를 클릭한 다음 지속적에서 Pub/Sub를 클릭합니다.

  4. 필터가 올바른지 검토하고, 필요하면 발견 항목 페이지로 돌아가서 수정합니다.

  5. 지속적 내보내기 이름 아래에 내보내기 이름을 입력합니다.

  6. 지속적 내보내기 설명 아래에 내보내기에 대한 설명을 입력합니다.

  7. 내보내기 대상 아래에서 내보낼 프로젝트를 선택합니다. 이 페이지에서는 프로젝트를 만들 수 없습니다. 새 프로젝트를 만들려면 프로젝트 만들기를 참조하세요.

  8. Pub/Sub 주제에서 발견 항목을 내보내고 싶은 주제를 선택합니다. 주제를 만들려면 다음 안내를 따르세요.

    1. 주제 만들기를 선택합니다.
    2. 주제 ID를 입력한 다음 필요에 따라 기타 옵션을 선택합니다.
      1. 스키마 만들기 및 관리에 대해 알아봅니다.
      2. Pub/Sub의 고객 관리 암호화 키(CMEK) 사용에 대해 알아봅니다.
    3. 주제 만들기를 클릭합니다.
  9. 저장을 클릭합니다. 확인 메시지가 표시되고 발견 항목 페이지로 돌아갑니다.

  10. 가이드에 따라 Pub/Sub 주제의 구독을 만듭니다.

Pub/Sub 내보내기 구성이 완료되었습니다. 알림을 게시하려면 service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다. 이 서비스 계정에는 조직 수준에서 securitycenter.notificationServiceAgent 역할이 자동으로 부여됩니다. 알림이 작동하려면 서비스 계정 역할이 필요합니다.

지속적 내보내기 테스트

내보내기가 작동하는지 확인하려면 다음 단계별 안내를 수행하여 활성 및 비활성 상태 발견 항목 사이를 전환합니다.

  1. Cloud Console의 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 필요한 경우 테스트 중인 내보내기 필터와 일치하는 필터 변수를 다시 입력하세요.

  3. 결과 이름 옆의 체크박스를 클릭합니다.

  4. 활성 상태 변경을 선택한 다음 비활성을 선택합니다.

  5. 비활성으로 표시된 발견 항목을 다시 선택합니다.

  6. 활성 상태 변경을 선택한 다음 활성을 선택합니다. 새로 활성화된 발견 항목에 대한 알림이 전송됩니다.

  7. Cloud Console의 Pub/Sub 페이지로 이동합니다.

    Pub/Sub로 이동

  8. 주제 목록에서 주제 이름을 클릭하세요.

  9. 메시지 보기를 선택합니다.

  10. 메시지 패널의 드롭다운 목록에서 구독을 선택하여 발견 항목 알림을 확인합니다. 필요한 경우 가져오기를 클릭하여 메시지를 새로고침합니다.

지속적 내보내기 관리

내보내기를 보거나 열람, 수정, 삭제하려면 다음 단계를 따르세요.

  1. Security Command Center에서 설정 페이지로 이동합니다.

    설정으로 이동

  2. 필요한 경우 조직을 선택합니다.

  3. 지속적 내보내기를 선택합니다. 조직의 지속적인 내보내기 목록이 표시됩니다.

이 페이지에서 다음 작업을 수행할 수 있습니다.

내보내기 필터와 일치하는 결과를 열람하려면 다음을 수행합니다.

  1. 지속적 내보내기 페이지에서 내보내기 이름 옆에 있는 더보기 를 클릭한 다음 관련 필터 보기를 클릭합니다.
  2. 발견 항목 페이지에 내보내기 필터와 일치하는 발견 항목이 로드됩니다.

지속적 내보내기 수정

  1. 지속적 내보내기 페이지에서 열람 또는 수정할 내보내기의 이름을 클릭하거나 더보기 를 클릭합니다.
  2. 수정을 선택합니다.
  3. 새 설명을 입력하고, 내보내기를 저장할 프로젝트를 변경하거나, 새 Pub/Sub 주제를 입력합니다.
  4. 완료되면 저장을 클릭합니다.

지속적 내보내기 삭제

  1. 지속적 내보내기 페이지에서 삭제하려는 내보내기의 이름을 클릭합니다.
  2. 삭제를 클릭합니다.
  3. 대화상자에서 삭제를 클릭합니다. 내보내기가 삭제됩니다.

다음 단계

발견 항목 알림에 대해 자세히 알아보세요.