Security Command Center 구성

보안 서비스 추가, 어떤 리소스에 어떤 서비스를 적용할지 여부 관리, Event Threat Detection 및 Container Threat Detection에 대한 로깅 설정을 비롯한 Security Command Center를 구성합니다.

Security Command Center를 구성하려면 Google Cloud 콘솔의 Security Command Center 설정 페이지로 이동한 후 변경하려는 설정의 탭을 클릭합니다.

활성화 수준

Security Command Center는 조직의 조직 수준 또는 개별 프로젝트의 프로젝트 수준에서 두 가지 수준 중 하나로 활성화할 수 있습니다.

활성화 수준은 구성 가능한 서비스 유형에 영향을 줍니다. Security Command Center가 프로젝트 수준에서 활성화되면 통합 서비스가 지원되지 않습니다. 기본 제공되는 Security Command Center 서비스만 구성할 수 있습니다.

기본 제공 및 통합 서비스는 다음 섹션에서 설명합니다.

활성화 수준에 대한 자세한 내용은 Security Command Center 활성화 개요를 참조하세요.

서비스

Security Command Center에서 실행되는 두 가지 서비스 유형은 기본 제공 서비스통합 서비스입니다. 기본 제공 서비스는 Security Command Center의 일부입니다. 통합 서비스는 Security Command Center에 발견 항목을 제공하는 Google Cloud 또는 타사 서비스입니다.

Security Command Center의 조직 수준 활성화에 새 통합 서비스를 추가하려면 통합 가이드를 완료한 후 Security Command Center 대시보드에서 보안 서비스로 사용 설정합니다. 이 기능을 사용하면 프로젝트 또는 조직의 보안 위험, 취약점, 위협을 완전하게 확인할 수 있습니다.

통합 서비스를 사용 설정한 후 각 보안 서비스에서 모니터링하는 리소스를 구성할 수 있습니다.

기본 제공 서비스

다음의 기본 제공 서비스는 Security Command Center의 일부입니다.

  • Container Threat Detection
  • Event Threat Detection
  • Rapid Vulnerability Detection미리보기
  • 보안 시작 영역 서비스미리보기

  • Security Health Analytics

  • 보안 상황

  • 가상 머신 위협 감지

  • Web Security Scanner

일부 기본 제공 서비스는 Security Command Center 프리미엄 등급에서만 사용할 수 있습니다. Security Command Center 등급에 대해 자세히 알아보세요.

기본 제공 서비스 사용 설정 또는 중지

다음 리소스에 대해 기본 제공 서비스를 사용 설정할 수 있습니다.

  • 조직
  • 폴더
  • 프로젝트
  • 클러스터(Container Threat Detection만 있는 경우)

기본적으로 리소스는 상위 리소스의 서비스 설정을 상속합니다.

리소스에 대해 Security Command Center 서비스를 사용 설정 또는 사용 중지하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 서비스를 관리해야 하는 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 수정하려는 서비스에서 설정 관리를 클릭합니다.

  5. 서비스 사용 설정 탭에서 서비스를 사용 설정하는 데 필요한 리소스를 찾습니다. 조직, 폴더, 프로젝트 또는 클러스터(Container Threat Detection만 해당)에 기본 제공 서비스를 사용 설정할 수 있습니다.

  6. 해당 리소스에서 서비스를 사용 설정, 중지 또는 상속으로 설정합니다.

서비스 모듈 보기

일부 서비스의 경우 모듈이라고도 하는 특정 감지기를 사용 설정하거나 중지할 수 있습니다. 서비스의 모듈 및 현재 상태를 보려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 서비스를 관리해야 하는 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 열람하려는 서비스에서 설정 관리를 클릭합니다.

  5. 모듈 탭을 클릭합니다.

    서비스 모듈이 해당하는 상태와 함께 표시됩니다.

모듈 사용 설정 또는 중지

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 서비스를 관리해야 하는 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 열람하려는 서비스에서 설정 관리를 클릭합니다.

  5. 모듈 탭을 클릭합니다.

    서비스 모듈이 해당하는 상태와 함께 표시됩니다.

  6. 수정하려는 감지기를 찾아 상태를 사용 설정 또는 중지로 설정합니다.

Security Command Center에 서비스 추가

Security Command Center가 조직 수준에서 활성화되면 통합 Google Cloud 서비스 또는 타사 보안 서비스를 Security Command Center에 추가할 수 있습니다.

Google Cloud 통합 서비스 추가

Security Command Center에 특정 통합 Google Cloud 서비스를 추가할 수 있습니다.

프로젝트 수준 활성화는 통합 Google Cloud 서비스를 지원하지 않습니다.

설정 페이지에서 통합 서비스 탭을 클릭하여 사용 가능한 소스를 확인합니다. 다음은 Security Command Center의 조직 수준 활성화와 통합되는 Google Cloud 보안 서비스입니다.

  • 이상 감지
  • Google Cloud Armor
  • Sensitive Data Protection
  • Forseti 보안

이러한 서비스에 대한 자세한 내용은 취약점 및 위협에 대한 보안 소스를 참조하세요.

Google Cloud 보안 소스의 발견 항목은 통합 가이드를 완료한 후에 이용할 수 있습니다.

  • 새 소스를 추가하려면 서비스 추가를 클릭합니다. Google Cloud Marketplace의 Security Command Center 서비스 페이지가 표시됩니다. 관심 있는 서비스를 클릭하고 제공업체의 안내에 따라 통합 서비스로 추가합니다.
  • 보안 서비스의 발견 항목을 보려면 서비스 이름 옆의 전환 버튼을 클릭하여 서비스를 사용 설정합니다. 서비스를 조직의 특정 폴더, 프로젝트 또는 클러스터로 제한하려면 이 페이지의 뒷부분에 설명된 고급 설정 메뉴를 사용하세요.

통합 소스는 조직 외부의 서비스 계정을 사용합니다. 예를 들어 Google Cloud 보안 소스는 security-center-fpr.iam.gserviceaccount.com에서 서비스 계정을 사용합니다.

조직 정책이 도메인별로 ID 제한으로 설정된 경우 허용된 도메인 내의 그룹의 ID에 Security Command Center 서비스 계정을 추가해야 합니다. 조직 수준 Security Command Center 서비스 계정 이름의 형식은 다음과 같습니다.

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER는 조직의 숫자 ID입니다.

통합 서비스 탭에서 새 소스를 추가하거나 기존 소스를 사용 설정 또는 사용 중지합니다.

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 조직 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 통합 서비스 탭을 클릭합니다.

  5. 사용 설정할 통합 소스 옆의 상태 목록을 클릭하고 사용 설정을 선택합니다.

선택한 통합 소스의 발견 항목은 Security Command Center 대시보드의 발견 항목 페이지에 표시됩니다.

통합 서비스를 사용 중지하려면 서비스 이름 옆의 드롭다운 목록을 클릭하고 기본적으로 사용 중지를 선택합니다.

VM Manager 취약점 보고서

VM Manager는 Compute Engine에서 Windows 및 Linux를 실행하는 대규모 가상 머신(VM) 그룹의 운영체제 관리에 사용할 수 있는 도구 모음입니다.

프로젝트 수준 활성화는 VM Manager를 지원하지 않습니다.

Security Command Center 프리미엄 등급으로 VM Manager를 사용 설정한 경우 기본적으로 VM Manager가 해당 취약점 보고서highcritical 발견 항목을 Security Command Center에 작성합니다. 이 보고서는 Compute Engine VM에 설치된 운영체제의 취약점을 식별합니다.

자세한 내용은 VM Manager를 참조하세요.

타사 보안 서비스 추가

Security Command Center의 조직 수준 활성화에는 Cloud Marketplace 파트너로 등록된 타사 보안 서비스의 발견 항목이 표시될 수 있습니다.

Security Command Center의 프로젝트 수준 활성화는 타사 서비스를 지원하지 않습니다.

Cloud Marketplace 파트너로 등록된 타사 보안 서비스는 다음과 같습니다.

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Palo Alto Networks의 Prisma Cloud
  • StackRox
  • Tenable.io

Cloud Marketplace 파트너로 등록되지 않은 보안 서비스를 통합하려면 제공업체에 Security Command Center 파트너로 온보딩 가이드를 완료하도록 요청하세요.

Security Command Center에 새로운 타사 보안 서비스를 추가하려면 보안 서비스를 설정한 다음 Security Command Center 대시보드에서 사용 설정하세요.

시작하기 전에

등록된 Cloud Marketplace 파트너의 보안 서비스를 추가하려면 다음이 필요합니다.

  • 다음의 Identity and Access Management(IAM) 역할:
    • 보안 센터 관리자 - roles/securitycenter.admin
    • 서비스 계정 관리자 - roles/iam.serviceAccountAdmin
  • 보안 서비스에 사용할 Google Cloud 프로젝트

1단계: 보안 서비스 설정

타사 보안 서비스를 설정하려면 해당 서비스에 대한 서비스 계정이 필요합니다. 새 보안 서비스를 추가할 때 다음 서비스 계정 옵션 중에서 선택할 수 있습니다.

  • 서비스 계정 만들기.
  • 자체 서비스 계정을 사용합니다.
  • 소스 제공업체의 서비스 계정을 사용합니다.

이미 Cloud Marketplace 파트너로 등록된 새 보안 서비스를 설정하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 서비스 Marketplace 페이지로 이동합니다.

    Marketplace로 이동

  2. Marketplace 페이지에 Security Command Center와 직접 연결된 보안 서비스가 표시됩니다.

    • 추가하려는 보안 서비스가 표시되지 않으면 보안을 검색한 다음 보안 서비스 제공업체를 선택합니다.
    • 보안 서비스 제공업체가 Cloud Marketplace에 등록되어 있지 않다면 제공업체에 Security Command Center 파트너로 온보딩 가이드를 완료하도록 요청하세요.
  3. Cloud Marketplace의 보안 서비스 제공업체 페이지에서 개요의 모든 제공업체 설정 안내를 따릅니다.

  4. 제공업체의 설정 프로세스를 완료한 후 제공업체의 Marketplace 페이지에서 [provider name] 사이트 방문하여 로그인을 클릭합니다.

  5. Google Cloud 콘솔 Security Command Center 페이지가 표시되면 보안 서비스를 사용할 조직을 선택합니다.

  6. 서비스 계정 만들기 및 [provider name] 보안 관련 활동 사용 설정 페이지가 나타나면 가능한 경우 제공업체의 서비스 계정을 수락하거나 사용하려는 자체 서비스 계정을 만들거나 선택합니다.

    • 서비스 계정을 만들려면 다음 안내를 따르세요.
      1. 새 서비스 계정 만들기를 선택합니다.
      2. 프로젝트 옆에 있는 변경을 클릭하여 이 보안 서비스에 사용할 프로젝트를 선택합니다.
      3. 서비스 계정 이름서비스 계정 ID를 추가합니다.
    • 기존 서비스 계정을 사용하려면 다음 안내를 따르세요.
      1. 기존 서비스 계정 사용을 선택한 다음 서비스 계정 이름 드롭다운 목록에서 사용할 서비스 계정을 선택합니다.
    • 보안 서비스 제공업체가 서비스 계정을 관리하는 경우 제공된 서비스 계정 ID를 입력합니다.
  7. 서비스 계정 정보 추가를 마치면 제출 또는 수락을 클릭합니다.

  8. 표시되는 소스 연결 페이지에서 설치 단계 아래의 링크를 클릭하여 설치를 완료하는 방법에 대한 정보를 확인합니다.

  9. 완료하면 완료를 클릭합니다.

올바르게 구성된 경우 추가한 보안 서비스를 Security Command Center에서 사용할 수 있습니다.

2단계: 보안 서비스 사용 설정

새 보안 서비스를 설정한 후에는 Security Command Center 대시보드에서 사용 설정해야 합니다.

통합 소스는 조직 외부의 서비스 계정을 사용합니다. 예를 들어 Google Cloud 보안 소스는 security-center-fpr.iam.gserviceaccount.com에서 서비스 계정을 사용합니다.

조직 정책이 도메인별로 ID 제한으로 설정된 경우 허용된 도메인 내의 그룹의 ID에 Security Command Center 서비스 계정을 추가해야 합니다. 조직 수준 Security Command Center 서비스 계정 이름의 형식은 다음과 같습니다.

service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com

ORGANIZATION_NUMBER는 조직의 숫자 ID입니다.

통합 서비스 탭에서 새 소스를 추가하거나 기존 소스를 사용 설정 또는 사용 중지합니다.

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 조직 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 통합 서비스 탭을 클릭합니다.

  5. 사용 설정할 통합 소스 옆의 상태 목록을 클릭하고 사용 설정을 선택합니다.

선택한 통합 소스의 발견 항목은 Security Command Center 대시보드의 발견 항목 페이지에 표시됩니다.

제공업체 서비스 계정 변경

타사 보안 서비스에 사용되는 서비스 계정을 변경하여 서비스 계정 유출 또는 순환을 해결할 수 있습니다. 보안 서비스의 서비스 계정을 변경하려면 Security Command Center 대시보드에서 서비스 계정을 업데이트해야 합니다. 그런 다음 서비스 제공업체의 안내에 따라 서비스의 서비스 계정을 업데이트합니다.

다음 절차는 통합된 타사 서비스를 지원하지 않는 Security Command Center의 프로젝트 수준 활성화에는 적용되지 않습니다.

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 조직 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 통합 서비스 탭을 클릭합니다.

  5. 통합 서비스 옆에 있는 드롭다운 목록에서 다음을 수행합니다.

    1. 통합 소스를 일시적으로 사용 중지하려면 사용 중지를 선택합니다.
    2. 그런 다음 서비스 계정 관리를 선택합니다.
  6. [provider name] 수정 패널이 표시되면 새 서비스 계정을 입력 한 다음 제출을 클릭합니다.

  7. 통합 서비스 옆의 드롭다운 목록에서 사용 설정을 선택하여 보안 서비스를 사용 설정합니다.

올바르게 구성되면 통합 서비스의 서비스 계정이 Security Command Center에서 업데이트됩니다. 서비스 제공업체의 안내에 따라 서비스의 서비스 계정 정보를 업데이트합니다.

Cloud Logging 내보내기

지속적 내보내기 탭에서 Event Threat Detection 및 Container Threat Detection 발견 항목의 로깅을 설정합니다. 발견 항목은 선택한 Cloud Logging 프로젝트로 내보내집니다.

정보의 양에 따라 Cloud Logging 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud Observability 비용 최적화를 참조하세요.

발견 항목을 로깅하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

    Security Command Center로 이동

  2. 조직 또는 프로젝트를 선택합니다.

  3. 설정을 클릭합니다.

  4. 지속적 내보내기 탭을 클릭합니다.

  5. 내보내기 이름에서 Logging 내보내기를 클릭합니다.

  6. 싱크에서 발견 항목을 Logging에 로깅을 활성화합니다.

  7. Logging 프로젝트에서 발견 항목을 로깅하려는 프로젝트를 입력하거나 검색합니다.

  8. 저장을 클릭합니다.

Event Threat Detection 및 Container Threat Detection에서 로그를 기록하면 각 로그 항목에는 threat_detector 리소스 유형 및 발견 항목과 동일한 정보가 포함됩니다. 로그 검토는 Event Threat Detection 사용Container Threat Detection 사용을 참조하세요.

가치가 높은 리소스 지정

Security Command Center는 공격 노출 점수를 계산하고 가치가 높다고 정의하는 리소스를 공격에 노출시키는 취약점 및 구성 오류 발견 항목에 대한 잠재적인 공격 경로를 시각적으로 보여줍니다.

공격 노출 점수와 공격 경로가 어떤 리소스가 실제로 가치가 높은지 정확히 반영하게 하려면 리소스 가치 구성을 만들어야 합니다.

생성한 리소스 가치 구성 컬렉션을 이용하여 가치가 높은 리소스 세트를 정의합니다.

직접 가치가 높은 리소스 세트를 만들 때까지 Security Command Center에서 공격 노출 점수가 지원하는 모든 리소스 유형에 일반적으로 적용되는 가치가 높은 기본 리소스 세트를 사용합니다.

자세한 내용은 다음을 참조하세요.

숨기기 규칙

규칙 숨기기 탭에는 조직, 폴더, 프로젝트에 설정된 모든 숨기기 규칙이 나열됩니다. 이 탭에서 숨기기 규칙을 만들거나 기존 규칙을 관리할 수 있습니다.

숨기기 규칙은 정의한 필터를 기반으로 향후 발견 항목을 자동으로 숨깁니다. 발견 항목 숨기기 및 숨기기 규칙 작업에 대한 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.

역할

Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

IAM 역할을 부여, 변경, 취소하는 방법에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

다음 단계