Event Threat Detection 사용

>

Security Command Center 대시보드에서 이벤트 위협 감지 발견 항목을 검토하고 Event Threat Detection 발견 항목의 예시를 확인합니다. Event Threat Detection은 Security Command Center 프리미엄 등급을 위한 기본 서비스입니다. Event Threat Detection 발견 항목을 보려면 Security Command Center 소스 및 서비스 설정에서 사용 설정해야 합니다.

발견 항목 검토

Event Threat Detection이 발견 항목을 생성할 때 Security Command Center 또는 Google Cloud의 작업 제품군에 로그를 작성하도록 Security Command Center 싱크를 구성한 경우 Cloud Logging에서 확인할 수 있습니다. 발견 항목을 생성하고 구성을 확인하려면 의도적으로 감지기를 트리거하고 Event Threat Detection를 테스트합니다.

Event Threat Detection 활성화 시간은 초 단위로 지연되며 30일 동안 측정된 99번째 백분위수 지연 시간에 대해 엔드 투 엔드 지연 시간은 15분 미만입니다.

Security Command Center에서 발견 항목 검토

Security Command Center에서 Event Threat Detection 발견 항목을 검토하려면 다음 안내를 따르세요.

  1. Google Cloud Console의 Security Command Center 발견 항목 탭으로 이동합니다.
    발견 항목 탭으로 이동
  2. 보기 기준 옆에 있는 소스 유형을 클릭합니다.
  3. 소스 유형 목록에서 Event Threat Detection을 선택합니다.
  4. 특정 발견 항목의 세부정보를 보려면 category에서 '발견 항목 이름'을 클릭합니다. 발견 항목 세부정보 패널이 확장되어 다음을 포함하는 정보가 표시됩니다.
    • 이벤트 설명
    • 이벤트가 발생한 시점
    • 발견 항목 데이터의 소스
    • 감지 우선순위(예: High)
    • Gmail 사용자에게 ID 및 액세스 관리(IAM) 역할 추가와 같이 수행된 작업
    • properties_principalEmail 옆에 나열된 작업을 수행한 사용자입니다.
  5. 동일한 사용자의 작업으로 인해 발생한 모든 발견 항목을 표시하려면 다음 안내를 따르세요.
    1. 발견 항목 세부정보 패널에서 properties_principalEmail 옆의 이메일 주소를 복사합니다.
    2. 발견 항목 세부정보 패널을 닫습니다.
    3. 발견 항목 탭 필터 상자에 sourceProperties.properties_principalEmail:user@domain을 입력합니다. 여기서 user@domain은 이전에 복사한 이메일 주소입니다.

Security Command Center에는 지정한 사용자가 수행한 작업과 관련된 모든 발견 항목이 표시됩니다.

Cloud Logging에서 발견 항목 보기

Cloud Logging에서 Event Threat Detection 발견 항목을 보려면 다음 안내를 따르세요.

  1. Cloud Console에서 Cloud Logging의 로그 뷰어 페이지로 이동합니다.
    로그 뷰어 페이지로 이동
  2. 로그 뷰어 페이지에서 선택을 클릭한 다음 Event Threat Detection 로그를 저장할 프로젝트를 클릭합니다.
  3. 리소스 드롭다운 목록에서 Cloud Threat Detector를 선택합니다.
    • 모든 감지기의 발견 항목을 보려면 all detection_name을 선택합니다.
    • 특정 감지기의 발견 항목을 보려면 이름을 선택합니다.

발견 항목 예시

Event Threat Detection 결과 예시에는 다음이 포함됩니다.

모니터링 및 로깅 설명
무작위 공격 SSH Event Threat Detection은 성공 이후의 반복적인 실패에 대해 syslog 로그를 검사하여 비밀번호 승인 SSH 무차별 사용을 감지합니다.
암호화폐 채굴 Event Threat Detection은 채굴 풀의 알려진 비정상 도메인 연결에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 코인 채굴 멀웨어를 감지합니다.
IAM 악용

이상 IAM 권한 부여: Event Threat Detection은 다음과 같이 이상으로 간주될 수 있는 IAM 권한의 추가를 감지합니다.

  • 프로젝트 편집자 역할을 사용하여 gmail.com 사용자를 정책에 추가
  • Google Cloud Console에서 gmail.com 사용자를 프로젝트 소유자로 초대
  • 민감한 권한을 부여하는 서비스 계정
  • 커스텀 역할이 민감한 권한 부여
  • 조직 외부에서 추가된 서비스 계정
멀웨어 Event Threat Detection은 알려진 명령어와 제어 도메인 연결 및 IP에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 멀웨어를 감지합니다.
피싱 Event Threat Detection은 알려진 피싱 도메인과 IP의 연결에 대한 VPC 흐름 로그와 Cloud DNS 로그를 검사하여 피싱을 감지합니다.

다음 단계