Event Threat Detection 사용

>

Security Command Center 대시보드에서 Event Threat Detection 발견 항목을 검토하고 Event Threat Detection 발견 항목의 예시를 확인합니다.

Event Threat Detection은 조직의 Cloud Logging 스트림을 모니터링하고 거의 실시간으로 위협을 감지하는 Security Command Center 프리미엄 등급의 기본 서비스입니다. 자세한 내용은 Event Threat Detection 개요를 참조하세요.

다음 동영상은 Event Threat Detection을 설정하는 단계와 대시보드 사용 방법에 대한 정보를 설명합니다. 이 페이지의 후반부에서 Event Threat Detection 발견 항목을 확인하고 관리하는 방법을 자세히 알아보세요.

발견 항목 검토

Event Threat Detection 발견 항목을 보려면 Security Command Center 서비스 설정에서 이를 사용 설정해야 합니다. Event Threat Detection을 사용 설정하고 조직, 폴더, 프로젝트에 로그를 사용 설정하면 Event Threat Detection에서 발견 항목을 생성합니다.

Security Command Center에서 Event Threat Detection 발견 항목을 볼 수 있습니다. 또한 Google Cloud 운영 제품군에 로그를 쓰도록 Security Command Center 싱크를 구성한 경우에도 Cloud Logging에서 발견 항목을 볼 수 있습니다. 발견 항목을 생성하고 구성을 확인하려면 의도적으로 감지기를 트리거하고 Event Threat Detection를 테스트합니다.

Event Threat Detection 활성화는 몇 초 이내에 실행됩니다. 감지 지연 시간은 일반적으로 Security Command Center에서 발견 항목을 사용할 수 있을 때 로그가 기록되는 시점부터 15분 미만입니다. 지연 시간에 대한 자세한 내용은 Security Command Center 지연 시간 개요를 참조하세요.

Security Command Center에서 발견 항목 검토

Security Command Center에서 Event Threat Detection 발견 항목을 검토하려면 다음 안내를 따르세요.

  1. Google Cloud Console의 Security Command Center 발견 항목 탭으로 이동합니다.
    발견 항목 탭으로 이동
  2. 보기 기준 옆에 있는 소스 유형을 클릭합니다.
  3. 소스 유형 목록에서 Event Threat Detection을 선택합니다.
  4. 특정 발견 항목의 세부정보를 보려면 category에서 '발견 항목 이름'을 클릭합니다. 발견 항목 세부정보 패널이 확장되어 다음을 포함하는 정보가 표시됩니다.
    • 이벤트 설명
    • 이벤트가 발생한 시점
    • 발견 항목 데이터의 소스
    • 감지 우선순위(예: High)
    • Gmail 사용자에게 ID 및 액세스 관리(IAM) 역할 추가와 같이 수행된 작업
    • properties_principalEmail 옆에 나열된 작업을 수행한 사용자입니다.
  5. 동일한 사용자의 작업으로 인해 발생한 모든 발견 항목을 표시하려면 다음 안내를 따르세요.
    1. 발견 항목 세부정보 패널에서 properties_principalEmail 옆의 이메일 주소를 복사합니다.
    2. 발견 항목 세부정보 패널을 닫습니다.
    3. 발견 항목 탭 필터 상자에 sourceProperties.properties_principalEmail:user@domain을 입력합니다. 여기서 user@domain은 이전에 복사한 이메일 주소입니다.

Security Command Center에는 지정한 사용자가 수행한 작업과 관련된 모든 발견 항목이 표시됩니다.

Cloud Logging에서 발견 항목 보기

Cloud Logging에서 Event Threat Detection 발견 항목을 보려면 다음 안내를 따르세요.

  1. Cloud Console에서 Cloud Logging의 로그 뷰어 페이지로 이동합니다.
    로그 뷰어 페이지로 이동
  2. 로그 뷰어 페이지에서 선택을 클릭한 다음 Event Threat Detection 로그를 저장할 프로젝트를 클릭합니다.
  3. 리소스 드롭다운 목록에서 Threat Detector를 선택합니다.
    • 모든 감지기의 발견 항목을 보려면 all detection_name을 선택합니다.
    • 특정 감지기의 발견 항목을 보려면 이름을 선택합니다.

발견 항목 예시

Event Threat Detection 결과 예시에는 다음이 포함됩니다.

모니터링 및 로깅 설명
데이터 유출

Event Threat Detection은 다음 두 가지 시나리오에서 감사 로그를 검사하여 BigQuery에서 데이터 유출을 감지합니다.

  • 리소스가 조직 외부에 저장되거나 VPC 서비스 제어로 차단된 복사 작업이 시도된 경우
  • VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 작업이 시도된 경우
무작위 공격 SSH Event Threat Detection은 성공 이후의 반복적인 실패에 대해 syslog 로그를 검사하여 비밀번호 승인 SSH 무차별 사용을 감지합니다.
암호화폐 채굴 Event Threat Detection은 채굴 풀의 알려진 비정상 도메인 연결에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 코인 채굴 멀웨어를 감지합니다.
IAM 악용

이상 IAM 권한 부여: Event Threat Detection은 다음과 같이 이상으로 간주될 수 있는 IAM 권한의 추가를 감지합니다.

  • 프로젝트 편집자 역할을 사용하여 gmail.com 사용자를 정책에 추가
  • Google Cloud Console에서 gmail.com 사용자를 프로젝트 소유자로 초대
  • 민감한 권한을 부여하는 서비스 계정
  • 커스텀 역할이 민감한 권한 부여
  • 조직 외부에서 추가된 서비스 계정
멀웨어 Event Threat Detection은 알려진 명령어와 제어 도메인 연결 및 IP에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 멀웨어를 감지합니다.
피싱 Event Threat Detection은 알려진 피싱 도메인과 IP의 연결에 대한 VPC 흐름 로그와 Cloud DNS 로그를 검사하여 피싱을 감지합니다.

다음 단계