Security Command Center 도구 설정

>

이 페이지에서는 Security Command Center 도구 앱 패키지를 설치할 수 있도록 Google Cloud 프로젝트를 준비하는 방법에 대한 정보를 제공합니다. 이러한 앱은 조직에서 Security Command Center 사용 방법을 보여주는 새로운 기능을 추가합니다.

이러한 앱은 Security Command Center 플랫폼에 통합 또는 부가기능을 개발하는 방법을 보여줍니다. 타사 보안 솔루션 개발자이거나 조직에 대한 더 구체적인 것이 필요하다면 이러한 예시 앱이 특히 유용할 수 있습니다.

개요

Security Command Center 도구 패키지에는 다음 구성요소가 포함됩니다.

Hello World

Hello World는 Security Command Center API를 호출하여 조직의 애셋 또는 보안 공급자 발견 항목을 가져오는 작은 예시 앱입니다. 이 앱은 Cloud Functions를 사용하여 Security Command Center API와 통합하고 Security Command Center 쿼리를 기반으로 보안 워크플로를 트리거합니다.

  • 쿼리 매개변수 및 결과를 로깅합니다.
  • 인스턴스에 대한 SSH 연결을 허용하는 방화벽 규칙을 사용 중지합니다.
  • Cloud Storage 버킷에 대한 액세스 삭제
  • 인스턴스에 속한 각 디스크의 스냅샷을 만듭니다.

Hello World에는 Pub/Sub 메시지로 다음 작업을 프로그래매틱 방식으로 트리거할 수 있는 예시 Cloud Functions의 작은 라이브러리도 포함되어 있습니다.

  • 방화벽 복구
  • 스냅샷 VM
  • 버킷 ACL 변경

Hello World 앱 코드를 다음과 같은 다른 동작의 출발지로 사용할 수 있습니다.

  • Cloud 스케줄러를 사용하여 Pub/Sub 주제를 주기적으로 호출하고 보안 워크플로를 트리거합니다.
  • 쿼리 결과를 데이터베이스에 저장하거나 알림으로 다른 시스템으로 보냅니다.
  • 새 Cloud Functions 함수를 추가하여 다른 Google API를 호출합니다.

사전 알림을 받으려면 Security Command Center에 일반적으로 사용 가능한 알림 기능이 포함되어 있으며 이 페이지의 Creator 또는 Notifier 대신 사용할 수 있습니다.

Alerts

Alerts 예시 앱에서는 Security Command Center API Notifications Pub/Sub 주제에 연결하는 방법의 코드 예시를 제공합니다. 또한 이 예시 앱에는 연결, 알림 수신, 여러 외부 시스템으로 알림 전달 방법이 포함되어 있습니다.

외부 시스템의 예시는 다음과 같습니다.

  • SendGrid: 이메일 메시지용
  • Twilio: SMS 메시지용
  • Jira: 이슈 생성용
  • Slack: 채팅용
  • 행아웃 채팅: 인스턴트 채팅용

Creator

Security Command Center에서 알림을 관리하려면 기본 제공되는 알림 기능을 사용하는 것이 가장 좋습니다.

Creator 예시 앱은 Security Command Center 데이터를 일정한 간격으로 쿼리하고 결과를 알림 Pub/Sub 주제로 전송합니다. Creator 앱은 Security Command Center APIfilter, readTime, compareDuration 매개변수를 사용하는 방법의 예시를 제공합니다.

Notifier

Notifier 예시 앱을 사용하는 대신 Security Command Center API 알림 기능으로 직접 작동하는 이 페이지의 Alerts 예시 앱을 사용하는 것이 가장 좋습니다.

Security Command Center 도구 패키지에는 Security Command Center API와 별개로 비슷한 기능을 제공하는 Notifier 예시 앱이 포함되어 있습니다. Notifier 앱은 알림 Pub/Sub 주제를 구독하고 이메일 또는 SMS와 같이 구성된 채널에 알림을 보냅니다. Notifier 앱은 Creator 및 Query Builder 앱과 같이 다른 앱의 Security Command Center 쿼리 결과를 의미합니다.

동일한 애플리케이션을 만들어 동일한 알림 Pub/Sub 주제를 구독하고 표시되는 메시지를 처리하는 방법을 맞춤설정할 수 있습니다. 예를 들어 결과를 처리하여 조직의 내부 시스템 중 하나로 보내거나 지정한 데이터베이스에 추가 분석 결과를 저장할 수 있습니다.

Query Builder

Query Builder 앱을 사용하면 웹 애플리케이션 인터페이스를 사용하여 Security Command Center 데이터에 대한 고급 다단계 쿼리를 만들고 예약할 수 있습니다. 쿼리 결과를 다른 앱에서 사용할 수 있는 알림 Pub/Sub 주제로 전송할 수 있습니다. 쿼리 결과에 Security Command Center 보안 표시를 추가하도록 Query Builder를 구성할 수도 있습니다.

예를 들어 허용된 포트 22로 네트워크 방화벽을 주기적으로 찾도록 쿼리를 예약할 수 있습니다. 그런 다음 Query Builder를 사용하여 Security Command Center에서 결과를 표시하고 보안팀에 적절한 조치를 취할 수 있도록 알릴 수 있습니다.

Audit Logs

Audit Logs 앱은 내보내기 싱크를 통해 Cloud 감사 로그를 수집하고 Security Command Center 보안 발견 항목을 만들 수 있습니다. 이 앱에는 차단된 배포 및 긴급 상황 처리 시나리오에 대한 액세스 투명성 알림과 Binary Authorization 알림이 통합되어 있습니다. Audit Logs 앱은 스트리밍 Dataflow 작업입니다. Audit Logs 앱을 사용하면 Dataflow 가격 책정에 따라 요금이 부과됩니다.

이 앱은 단일집계 로그 유형을 만듭니다.

  • 단일 로그 유형은 찾아낸 각 일치하는 항목에 대해 Security Command Center 발견 항목을 만듭니다.
    • Google Kubernetes Engine Binary Authorization
    • 액세스 투명성
    • Compute Engine
    • Cloud Storage
    • 서비스 네트워킹
  • 집계된 로그 유형은 Dataflow 기간 내에 발견 항목을 그룹화한 다음 Security Command Center 발견 항목을 만듭니다.
    • ID 및 액세스 관리(IAM)

Splunk Connector

Splunk Connector 앱은 Security Command Center API를 사용하여 조직의 애셋 및 발견 항목을 내보냅니다. Security Command Center 데이터를 필터링하여 내보내는 데이터를 제한하도록 앱을 구성할 수 있습니다. 예를 들어 특정 유형의 발견 항목만 검색할 수 있습니다. 앱은 일정에 따라 실행되며 Splunk Server Addon에 연결된 Pub/Sub 주제에 결과를 제공합니다.

설정 스크립트

Security Command Center 도구 패키지에는 컴패니언 스크립트 및 유틸리티 모음이 포함되어 있습니다. 스크립트와 유틸리티는 각 앱에 필요한 Google Cloud 인프라를 만들기 위해 설치 중에 사용되며 앱을 배포하는 데 도움이 됩니다.

이러한 스크립트는 다음과 같이 작동합니다.

  • 프로젝트 만들기
  • 서비스 계정 만들기
  • SSL 인증서 생성
  • 앱 배포

이 가이드에는 설정 스크립트를 사용하여 Security Command Center 도구를 설치하는 명령어의 실행 방법에 대한 자세한 안내가 포함되어 있습니다.

그림 1은 설정 스크립트를 포함하지 않는 Security Command Center 도구에 대한 높은 수준의 개요를 제공합니다.

Security Command Center 개요 다이어그램
그림 1. 각 도구가 Security Command Center와 어떻게 상호작용하는지에 대한 설명이 포함된 Security Command Center 도구 다이어그램

시작하기 전에

이 가이드를 완료하려면 다음이 필요합니다.

  • Security Command Center가 사용 설정된 활성 상태의 Google Cloud 조직
  • 사용 중인 Cloud Billing 계정.
  • Security Command Center API에 액세스하는 데 사용할 프로젝트 ID입니다. 이 프로젝트에서 securitycenter.googleapis.com API를 사용 설정해야 합니다.
  • 조직 수준에서 다음 ID 및 액세스 관리 역할이 있습니다.
    • 결제 계정 사용자 - roles/billing.user
    • DNS 관리자 - roles/dns.admin
    • 조직 관리자 - roles/resourcemanager.organizationAdmin
    • 조직 역할 관리자 - roles/iam.organizationRoleAdmin
    • 조직 역할 뷰어 - roles/iam.organizationRoleViewer
    • 프로젝트 생성자 - roles/resourcemanager.projectCreator
    • Pub/Sub 게시자 - roles/pubsub.publisher
    • 보안 센터 관리자 - roles/securitycenter.admin
    • 서비스 계정 관리자 - roles/iam.serviceAccountAdmin
    • 서비스 계정 키 관리자 - roles/iam.serviceAccountKeyAdmin
    • Service Management 관리자 - roles/servicemanagement.admin

Security Command Center 도구 설치

Security Command Center 도구를 설치하려면 아래 단계를 완료하여 환경을 준비하세요. 이 가이드를 완료한 후에는 도구에 포함된 README에 따라 각 도구를 독립적으로 설치할 수 있습니다.

도구를 설치하려면 Cloud Shell을 사용해야 합니다. Cloud Shell을 사용하면 브라우저에서 직접 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

도구 패키지 가져오기

다음 명령어를 실행하여 도구 패키지를 다운로드하고 작업 디렉터리를 설정합니다.

  1. Cloud Console로 이동합니다.
    Cloud Console 페이지로 이동
  2. Cloud Shell 활성화를 클릭합니다.
  3. 사용할 도구 버전의 이름을 가져옵니다. 이러한 도구는 타임스탬프와 함께 저장되므로 Cloud Storage 버킷 콘텐츠를 표시해야 합니다.

       # list available versions
       gsutil ls gs://cloud-scc-beta-example-apps-download/
    
  4. 작업 디렉터리 및 다운로드할 도구 버전에 대한 환경 변수를 설정합니다.

    1. Security Command Center 도구 출시 버전:

        # the Cloud SCC tools release version you want to download, for example 3.4.0
        export VERSION=release-version
      
    2. 도구 버전의 파일 이름:

        # the filename for the tools version you want to download,
        # for example 3.4.0-20190418T152241Z-001.zip
        export FILENAME=filename
      
    3. 작업 디렉터리의 경로:

        # directory to unzip the installation zip files
        export WORKING_DIR=${HOME}/scc-tools-install
      
  5. 작업 디렉터리 만들기:

       # create the working directory
       mkdir $WORKING_DIR
    
  6. 작업 디렉터리로 이동:

       # go to the working directory
       cd $WORKING_DIR
    
  7. 다음을 실행하여 Security Command Center 도구 파일 다운로드:

       gsutil cp gs://cloud-scc-beta-example-apps-download/${FILENAME} .
    
  8. Security Command Center 도구 파일의 압축 풀기:

       unzip -qo ${FILENAME} -d .
    
  9. 압축을 푼 도구 파일에 포함된 README 파일 다운로드:

       cloudshell download ${VERSION}/README-${VERSION}.pdf
    
  10. 다운로드한 README-version.pdf의 단계에 따라 설정을 완료합니다.

README가 완료되면 도구 설치 가이드를 사용하여 모든 Security Command Center 도구를 설치할 수 있습니다.

설치 가이드

다운로드한 도구 패키지에는 각 앱의 설치 안내가 포함된 README가 포함되어 있으며 여기에는 각 앱에 대한 설치 안내가 포함되어 있습니다. README를 가져오려면 도구 파일 디렉터리에서 cloudshell download readme를 실행합니다. 여기서 readme은 다운로드할 도구의 README 이름입니다.

  • Hello World: scc-hello-world-README-${VERSION}.pdf
  • Creator: scc-creator-README-${VERSION}.pdf
  • Query Builder: scc-query-builder-README-${VERSION}.pdf
  • Notifier: scc-notifier-README-${VERSION}.pdf
  • Audit Logs: scc-audit-logs-README-${VERSION}.pdf
  • Splunk Connector: scc-connector-README-${VERSION}.pdf

앱을 설치한 후 사용자 가이드에서 앱에 대한 자세한 정보를 확인할 수 있습니다. 사용자 가이드를 가져오려면 도구 파일 디렉터리에서 cloudshell download user-guide를 실행합니다. 여기서 user-guide은 다운로드할 도구 사용자 가이드의 이름입니다.

  • Hello World: scc-hello-world-USER_GUIDE-${VERSION}.pdf
  • Creator: scc-creator-USER_GUIDE-${VERSION}.pdf
  • Query Builder: scc-query-builder-USER_GUIDE-${VERSION}.pdf
  • Notifier: scc-notifier-USER_GUIDE-${VERSION}.pdf
  • Audit Logs: scc-audit-logs-USER_GUIDE-${VERSION}.pdf
  • Splunk Connector: scc-connector-USER_GUIDE-${VERSION}.pdf