위협 조사 및 대응

이 문서에서는 Security Command Center에서 위협 발견 항목을 사용하는 방법에 관한 개략적인 정보를 제공합니다.

시작하기 전에

발견 항목과 로그를 보거나 수정하고 Google Cloud 리소스를 수정하려면 적절한 Identity and Access Management(IAM) 역할이 필요합니다. Security Command Center에서 액세스 오류가 발생하면 관리자에게 지원을 요청하고 액세스 제어에서 역할에 대해 알아보세요. 리소스 오류를 해결하려면 영향을 받는 제품 관련 문서를 참고하세요.

위협 발견 항목 이해

Security Command Center에는 다양한 기법을 사용하여 클라우드 환경의 위협을 감지하는 기본 제공 감지 서비스가 있습니다.

• Event Threat Detection은 Cloud Logging 로그 스트림의 이벤트를 알려진 침해 지표(IoC)와 일치시켜 보안 발견 항목을 생성합니다. 내부 Google 보안 소스에서 개발한 IoC는 잠재적인 취약점과 공격을 식별합니다. 또한 Event Threat Detection은 로깅 스트림에서 알려진 적대 전략, 기술, 절차를 식별하고 조직 또는 프로젝트의 과거 동작에서 편차를 감지하여 위협을 감지합니다. 조직 수준에서 Security Command Center 프리미엄 등급을 활성화하면 Event Threat Detection에서 Google Workspace 로그를 검사할 수도 있습니다.

• Container Threat Detection은 컨테이너의 게스트 커널에서 하위 수준의 관찰된 동작을 수집하고 분석하여 발견 항목을 생성합니다.

• Virtual Machine Threat Detection은 Compute Engine 프로젝트 및 가상 머신 (VM) 인스턴스를 스캔하여 암호화폐 채굴 소프트웨어 및 커널 모드 루트킷과 같은 VM에서 실행되는 잠재적 악성 애플리케이션을 감지합니다.

• Cloud Run Threat Detection은 지원되는 Cloud Run 리소스의 상태를 모니터링하여 가장 일반적인 런타임 공격을 감지합니다.

• 민감한 작업 서비스는 악의적인 행위자가 수행할 경우 비즈니스에 해를 끼칠 수 있는 작업이 Google Cloud 조직, 폴더, 프로젝트에서 수행될 때 이를 감지합니다.

• 이상 감지는 시스템 외부의 동작 신호를 사용하여 서비스 계정에서 잠재적으로 유출된 사용자 인증 정보와 같은 보안 이상을 감지합니다.

이러한 감지 서비스는 Security Command Center에서 발견 항목을 생성합니다. Cloud Logging으로 지속적 내보내기를 구성할 수도 있습니다.

조사 및 대응 권장사항 검토

Security Command Center는 잠재적으로 악의적인 행위자가 Google Cloud 환경에서 수행한 의심스러운 활동에 대한 탐지 결과를 조사하는 데 도움이 되는 비공식 가이드를 제공합니다. 안내에 따라 잠재적인 공격으로 발생한 상황에 대해 이해하고 영향을 받은 리소스에 대해 가능한 응답을 개발할 수 있습니다.

Security Command Center에서 제공하는 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유에 대한 자세한 내용은 위협 해결을 참고하세요.

• 발견 항목의 조사 및 대응 권장사항을 보려면 위협 발견 항목 색인에서 발견 항목을 찾습니다.

• 고수준 응답 추천을 보려면 다음을 참고하세요.

  • Cloud Run 위협 감지에 대응하기
  • Compute Engine 위협 결과에 대응하기
  • Google Workspace 위협 발견에 대응하기
  • 네트워크 위협 결과에 대응하기

발견 항목 검토

Google Cloud 콘솔에서 위협 발견 항목을 검토하려면 다음 단계를 따르세요.

1. Google Cloud 콘솔에서 Security Command Center 발견 사항 페이지로 이동합니다.

   발견 항목으로 이동

2. 필요한 경우 Google Cloud 프로젝트, 폴더, 조직을 선택합니다.

3. 빠른 필터 섹션에서 발견 항목 쿼리 결과 테이블에서 필요한 발견 항목을 표시하기 위해 적합한 필터를 클릭합니다. 예를 들어 소스 표시 이름 하위 섹션에서 Event Threat Detection 또는 Container Threat Detection을 선택하면 선택한 서비스의 발견 항목만 결과에 표시됩니다.

   테이블은 선택한 소스의 발견 항목으로 채워집니다.

4. 특정 발견 항목의 세부정보를 보려면 Category에서 '발견 항목 이름'을 클릭합니다. 발견 항목 세부정보 창이 확장되어 발견 항목 세부정보 요약이 표시됩니다.

5. 발견 항목의 JSON 정의를 보려면 JSON 탭을 클릭합니다.

발견 항목은 환경 변수 및 애셋 속성과 함께 이슈와 관련된 리소스의 이름 및 숫자 식별자를 제공합니다. 이 정보를 사용하여 영향을 받는 리소스를 신속하게 격리하고 이벤트의 잠재적 범위를 결정할 수 있습니다.

조사에 도움이 되도록 위협 발견 항목에는 다음 외부 리소스에 대한 링크도 포함됩니다.

• MITRE ATT&CK 프레임워크 항목입니다. 이 프레임워크는 클라우드 리소스에 대한 공격의 기술을 설명하고 문제 해결 방법을 제공합니다.

• VirusTotal은 Alphabet 소유 서비스로 잠재적 악성 파일, URL, 도메인 및 IP 주소에 관한 컨텍스트를 제공합니다. 사용 가능한 경우 VirusTotal 표시기 필드에 VirusTotal로 연결되는 링크가 제공되어 보안 문제를 더 자세히 조사하는 데 도움이 됩니다.

  VirusTotal은 별도의 요금이 부과되는 서비스이며, 사용 한도와 기능이 다를 수 있습니다. VirusTotal의 API 사용 정책 및 관련 비용을 숙지하고 이를 준수하는 것은 사용자 책임입니다. 자세한 내용은 VirusTotal 문서를 참조하세요.

다음 섹션에서는 위협 발견 항목에 대한 잠재적 응답을 간략하게 설명합니다.

위협 발견 항목 비활성화

위협 발견 항목을 트리거한 문제가 해결된 후 Security Command Center는 발견 항목의 상태를 INACTIVE로 자동으로 설정하지 않습니다. state 속성을 INACTIVE로 수동으로 설정하지 않는 한 위협 발견 항목의 상태는 ACTIVE로 유지됩니다.

거짓양성의 경우 발견 항목 상태를 ACTIVE로 두고, 대신 발견 항목을 숨기는 것이 좋습니다.

지속적이거나 반복되는 거짓양성의 경우 숨기기 규칙을 만듭니다. 숨기기 규칙을 설정하면 관리해야 하는 발견 항목 수가 줄어들기 때문에 실제 위협이 발생할 때 더 쉽게 식별할 수 있습니다.

실제 위협의 경우 발견 항목 상태를 INACTIVE로 설정하기 전에 위협을 제거하고 탐지된 위협, 침입 범위, 기타 관련 발견 항목을 조사하세요.

발견 항목을 숨기거나 상태를 변경하려면 다음 주제를 참조하세요.

• 발견 항목 숨기기
• 발견 항목 상태 변경

관련 취약점 해결

위협이 다시 발생하지 않도록 관련 취약점 및 잘못된 구성 발견 항목을 검토하고 수정합니다.

관련 발견 항목을 찾으려면 다음 단계를 따르세요.

1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

   발견 항목으로 이동

2. 위협 발견 항목을 검토하고 주 구성원 이메일 주소 또는 영향을 받는 리소스의 이름과 같이 관련 취약점이나 잘못된 구성 발견 항목에 나타날 수 있는 속성의 값을 복사합니다.

3. 발견 항목 페이지에서 쿼리 수정을 클릭하여 쿼리 편집기를 엽니다.

4. 필터 추가를 클릭합니다. 필터 선택 메뉴가 열립니다.

5. 메뉴 왼쪽의 필터 카테고리 목록에서 위협 발견 항목에서 기록한 속성이 포함된 카테고리를 선택합니다.

   예를 들어 영향을 받는 리소스의 전체 이름을 기록한 경우 리소스를 선택합니다. 리소스 카테고리의 속성 유형은 전체 이름 속성을 포함하여 오른쪽 열에 표시됩니다.

6. 표시된 속성에서 위협 발견 항목에서 기록한 속성 유형을 선택합니다. 속성 값의 검색 패널이 오른쪽에 열리고 선택한 속성 유형의 발견된 모든 값이 표시됩니다.

7. 필터 필드에 위협 발견 항목에서 복사한 속성 값을 붙여넣습니다. 표시된 값 목록이 붙여넣은 값과 일치하는 값만 표시하도록 업데이트됩니다.

8. 표시된 값 목록에서 값을 하나 이상 선택하고 적용을 클릭합니다. 발견 항목 쿼리 결과 패널이 업데이트되어 일치하는 발견 항목만 표시됩니다.

9. 결과에 발견 항목이 많으면 빠른 필터 패널에서 추가 필터를 선택하여 발견 항목을 필터링합니다.

   예를 들어 선택한 속성 값이 포함된 Vulnerability 및 Misconfiguration 클래스 발견 항목만 표시하려면 빠른 필터 패널의 발견 항목 클래스 섹션까지 아래로 스크롤하고 취약점 및 잘못된 구성을 선택합니다.

위협 문제 해결

위협 발견 항목에 대한 문제 해결은 Security Command Center에서 식별된 잘못된 구성 및 취약점을 수정하는 것만큼 간단하지 않습니다.

잘못된 구성 및 규정 준수 위반은 악용될 수 있는 리소스의 약점을 식별합니다. 일반적으로 잘못된 구성에는 방화벽 사용 설정 또는 암호화 키 순환과 같이 알려진 문제들이 쉽게 구현되어 있습니다.

위협은 동적이며 하나 이상의 리소스에서 활성 상태로 악용될 수 있다는 점에서 취약점과 다릅니다. 취약점 공격에 성공하는 데 사용된 정확한 방법이 알려지지 않았을 수 있으므로 문제 해결 권장사항은 리소스 보호에 효과적이지 않을 수 있습니다.

예를 들어 Added Binary Executed 발견 항목은 승인되지 않은 바이너리가 컨테이너에서 실행되었음을 나타냅니다. 기본 문제 해결 권장사항으로 컨테이너를 격리하고 바이너리를 삭제하도록 권할 수 있지만 공격자가 바이너리를 실행할 수 있는 근본 원인을 해결하지 못할 수도 있습니다. 취약점 공격을 해결하기 위해 컨테이너 이미지가 어떻게 손상되었는지 알아내야 합니다. 파일이 잘못 구성된 포트를 통해 추가되었는지 또는 다른 방법으로 추가되었는지 확인하려면 철저한 조사가 필요합니다. 시스템에 대한 전문가 수준의 지식이 있는 분석가가 약점을 검토해야 할 수 있습니다.

악의적인 행위자는 다양한 기법을 사용하여 리소스를 공격하므로 특정 보안 공격에 대한 수정사항을 적용할 경우 다른 변형 공격에는 효과가 없을 수 있습니다. 예를 들어 Brute Force: SSH 발견 항목에 대한 대응으로 일부 사용자 계정의 권한 수준을 낮춰 리소스에 대한 액세스를 제한할 수 있습니다. 그러나 취약한 비밀번호는 여전히 공격 경로를 제공할 수 있습니다.

공격 벡터가 넓으면 모든 상황에서 작동하는 해결 단계를 제공하기가 어렵습니다. 클라우드 보안 계획에서 Security Command Center의 역할은 거의 실시간으로 영향을 받은 리소스를 식별하고, 사용자가 겪는 위협을 알려주고, 조사에 도움이 되는 증거와 컨텍스트를 제공하는 것입니다. 하지만 보안 담당자는 Security Command Center 발견 항목에 있는 광범위한 정보를 사용하여 문제를 해결하고 향후 공격에 대비하여 리소스를 보호할 수 있는 최적의 방법을 결정해야 합니다.

다음 단계

• 위협 발견 항목 색인을 참고하세요.