Security Command Center 대시보드 사용

Security Command Center에 액세스하고, 디스플레이를 구성하고, Google Cloud 리소스를 검토합니다. 조직에 Security Command Center를 아직 설정하지 않은 경우, 가이드를 따라 먼저 Security Command Center를 설정하세요.

시작하기 전에

Security Command Center를 사용하려면 적절한 권한이 포함된 ID 및 액세스 관리(IAM) 역할이 있어야 합니다.

  • Security Command Center를 보려면 보안 센터 관리자 뷰어 IAM 역할이 있어야 합니다.
  • Security Command Center를 변경하려면 보안 센터 관리자 편집기와 같은 적절한 편집자 역할이 있어야 합니다.

조직 정책이 도메인별로 ID를 제한하도록 설정된 경우 허용되는 도메인에 있는 계정에서 Cloud Console에 로그인해야 합니다.

Security Command Center 역할에 대해 자세히 알아보세요.

대시보드 액세스

일반적으로 Cloud Console의 Security Command Center 페이지를 대시보드라고 합니다. Security Command Center 대시보드에 액세스하려면 다음 안내를 따르세요.

  1. Cloud Console의 Security Command Center 페이지로 이동합니다.
    Security Command Center 페이지로 이동
  2. 검토할 조직을 선택합니다.

Security Command Center 대시보드에는 잠재적인 보안 위험 발견 항목의 기본 개요가 표시됩니다.

대시보드 사용

Security Command Center로 이동하면 탐색 탭이 표시됩니다. Security Command Center와 통합할 수 있는 대시보드 탭, 추가 Security Command Center 기능, 이용할 수 있는 서비스에 대한 개요를 제공합니다.

대시보드 탭에서 제공하는 기능에 대해 알아보려면 탭 이름을 클릭하세요.

위협

위협 대시보드를 사용하면 조직의 Google Cloud 리소스에서 잠재적으로 유해한 이벤트를 검토할 수 있습니다.

  • 심각도별 위협에는 각 심각도 수준의 위협 수가 표시됩니다.
  • 카테고리별 위협은 모든 프로젝트에서 각 카테고리의 발견 항목 수를 표시합니다.
  • 프로젝트별 위협에는 조직 내 각 프로젝트의 발견 항목 수가 표시됩니다.

위협 대시보드에는 드롭다운 목록에서 지정한 기간의 결과가 1시간에서 12개월 사이의 여러 옵션으로 표시됩니다. 선택한 기간은 세션 간에 저장됩니다.

취약점

취약점 탭에는 다음과 같은 열을 포함하여 Security Health Analytics 발견 항목 및 권장사항이 표시됩니다.

  • 상태: 감지기가 활성 상태인지, 감지기가 해결해야 할 발견 항목을 찾았는지 아이콘으로 나타냅니다. 상태 아이콘 위에 마우스 포인터를 올려놓으면 도움말에 감지기가 결과를 찾은 날짜 및 시간과 권장사항을 확인하는 방법에 대한 정보가 표시됩니다.
  • 카테고리: 발견 항목의 유형입니다. 잠재적인 보안 상태 분석 발견 항목의 목록은 Security Health Analytics 발견 항목을 참조하세요.
  • 권장사항: 발견 항목의 구제 조치 방법에 대한 요약입니다. 자세한 내용은 Security Health Analytics 발견 항목 구제 조치를 참조하세요.
  • 활성: 카테고리의 총 발견 항목 수입니다.
  • 심각도: 발견 항목 카테고리의 상대적 위험 수준입니다.
  • 벤치마크: 찾기 카테고리가 적용되는 규정 준수 벤치마크(있는 경우)입니다. 벤치마크에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

발견 항목 필터링

대규모 조직에서는 검토, 분류, 추적을 위한 배포 전반에 걸쳐 많은 취약점 발견 항목이 발생할 수 있습니다. 사용 가능한 필터와 함께 Security Command Center를 사용하면 조직 전체에서 심각성이 가장 높은 취약점에 집중할 수 있으며 애셋 유형, 보안 표시 등의 기준으로 취약점을 검토할 수 있습니다.

프로젝트별 Security Health Analytics 발견 항목 보기

취약점 탭에서 프로젝트별 Security Health Analytics 발견 항목을 보려면 다음 단계를 따르세요.

  1. 프로젝트 필터 상자에서 프로젝트 필터에 프로젝트 추가를 클릭합니다.
  2. 발견 항목을 표시할 프로젝트를 선택합니다.

취약점 탭에는 선택한 프로젝트의 발견 항목 목록이 표시됩니다.

카테고리별로 Security Health Analytics 발견 항목 보기

카테고리 열의 카테고리 이름을 클릭하여 취약점 탭에서 카테고리별로 Security Health Analytics 발견 항목을 봅니다.

발견 항목 탭이 로드되고 선택한 카테고리와 일치하는 발견 항목 목록이 표시됩니다.

애셋 유형별로 발견 항목 보기

특정 애셋 유형의 Security Health Analytics 발견 항목을 보려면 애셋 탭을 사용합니다.

  1. Cloud Console의 Security Command Center 발견 항목 페이지로 이동합니다.
    발견 항목 페이지로 이동
  2. 보기 기준 옆의 소스 유형을 클릭한 다음 Security Health Analytics를 선택합니다.
  3. 필터 상자에 resourceName: asset-type을 입력합니다. 예를 들어 모든 프로젝트의 Security Health Analytics 발견 항목을 표시하려면 resourceName: projects를 입력합니다.

발견 항목 목록은 지정한 애셋 유형에 대한 모든 발견 항목을 표시하도록 업데이트됩니다.

보안 표시를 사용하여 애셋 및 발견 항목 표시

보안 표시를 사용하면 Security Command Center의 발견 항목 및 애셋에 커스텀 속성을 추가할 수 있습니다. 보안 표시를 사용하면 프로덕션 프로젝트, 버그 및 이슈 추적 번호 등 높은 우선순위의 관심 영역을 식별할 수 있습니다.

보안 표시를 사용하여 Security Health Analytics 발견 항목 허용 목록화

Security Health Analytics의 애셋을 허용 목록에 추가하여 감지기가 애셋에 대한 보안 발견 항목을 생성하지 않도록 할 수 있습니다. 애셋을 허용 목록에 추가하면 다음 스캔이 실행될 때 발견 항목이 해결된 것으로 표시됩니다. 이 방법은 허용된 비즈니스 매개변수 내에서 격리되거나 무너진 프로젝트에 대한 보안 발견 항목을 검토할 필요가 없는 경우에 유용합니다.

애셋을 허용 목록에 추가하려면 특정 발견 항목 유형에 보안 표시 allow_finding-type을 추가합니다. 예를 들어 SSL_NOT_ENFORCED 유형의 발견 항목 유형은 보안 표시 allow_ssl_not_enforced:true를 사용합니다.

발견 항목 유형의 전체 목록은 Security Health Analytics 발견 항목 페이지를 참조하세요. 보안 표시 및 사용 기술에 대한 자세한 내용은 Security Command Center 보안 표시 사용을 참조하세요.

발견 항목 유형별로 활성 발견 항목 수 보기

Cloud Console 또는 gcloud 명령줄 도구 명령어를 사용하여 발견 항목 유형별 활성 발견 항목 수를 확인할 수 있습니다.

Console

Security Health Analytics 대시보드를 사용하면 각 발견 항목 유형의 활성 발견 항목 수를 확인할 수 있습니다.

유형을 찾아 Security Health Analytics 발견 항목을 보려면 다음 안내를 따르세요.

  1. Cloud Console의 Security Command Center로 이동합니다.
    Security Command Center로 이동
  2. Security Health Analytics 발견 항목을 표시하려면 취약성 탭을 클릭합니다.
  3. 활성 열 헤더를 클릭하여 발견 항목을 각 발견 항목 유형의 활성 항목 수로 정렬합니다.

gcloud

gcloud 도구를 사용하여 모든 활성 발견 항목 수를 가져오려면 Security Command Center를 쿼리하여 Security Health Analytics 소스 ID를 가져옵니다. 그런 다음 소스 ID를 사용하여 활성 상태인 발견 항목 수를 쿼리합니다.

1단계: 소스 ID 가져오기

이 단계를 완료하려면 조직 ID를 가져온 다음 소스 ID를 가져옵니다. Security Command Center API를 아직 사용 설정하지 않은 경우 사용 설정하라는 메시지가 표시됩니다.

  1. gcloud organizations list를 실행하여 조직 ID를 가져온 후 조직 이름 옆에 있는 번호를 기록합니다.
  2. 다음을 실행하여 Security Health Analytics 소스 ID를 가져옵니다.

    gcloud alpha scc sources describe organizations/your-organization-id
    --source-display-name='Security Health Analytics'

  3. 메시지가 나타나면 Security Command Center API를 사용 설정한 다음 이전 명령어를 실행하여 Security Health Analytics 소스 ID를 다시 가져옵니다.

소스 ID를 가져오기 위한 명령어는 다음과 같은 출력을 표시해야 합니다.

  description: Scans for deviations from a Google Cloud security baseline.
  displayName: Security Health Analytics
  name: organizations/your-organization-id/sources/source-id

다음 단계에서 사용할 source-id를 확인합니다.

2단계: 활성 발견 항목 수 가져오기

이전 단계에서 기록해 둔 source-id를 사용하여 Security Health Analytics의 발견 항목을 필터링합니다. 다음 gcloud 도구 명령어는 카테고리별로 발견 항목 수를 반환합니다.

  gcloud alpha scc findings group organizations/your-organization-id/sources/source-id \
   --group-by=category --page-size=page-size

페이지 크기를 최대 1,000까지 설정할 수 있습니다. 이 명령어는 특정 조직의 결과와 함께 다음과 같은 출력을 표시해야 합니다.

  groupByResults:
  - count: '1'
    properties:
      category: 2SV_NOT_ENFORCED
  - count: '3'
    properties:
      category: ADMIN_SERVICE_ACCOUNT
  - count: '2'
    properties:
      category: API_KEY_APIS_UNRESTRICTED
  - count: '1'
    properties:
      category: API_KEY_APPS_UNRESTRICTED
  - count: '2'
    properties:
      category: API_KEY_EXISTS
  - count: '10'
    properties:
      category: AUDIT_CONFIG_NOT_MONITORED
  - count: '10'
    properties:
      category: AUDIT_LOGGING_DISABLED
  - count: '1'
    properties:
      category: AUTO_UPGRADE_DISABLED
  - count: '10'
    properties:
      category: BUCKET_IAM_NOT_MONITORED
  - count: '10'
    properties:
      category: BUCKET_LOGGING_DISABLED
  nextPageToken: token
        readTime: '2019-08-05T21:56:13.862Z'
        totalSize: 50

규정 준수

규정 준수 대시보드에서는 높은 수준의 위반 상태를 검토하고 보고서를 내보낼 수 있습니다. 이 대시보드는 Security Health Analytics에서 모니터링하는 각 규정 준수 무결성과 관련된 여러 감지기에 대한 요약을 제공합니다.

이 섹션에서는 Security Health Analytics와 Web Security Scanner 감지기를 사용하여 CIS Google Cloud Computing Foundations v1.0.0, 결제 카드 산업 데이터 보안 표준(PCI-DSS) v3.2 등에 설명된 것과 같은 일반적인 규정 준수 위반 사항을 모니터링하는 방법을 설명합니다. Security Health Analytics는 Google에서 제공하는 최선의 매핑을 기반으로 일반적인 규정 준수 관리 위반을 모니터링할 수 있습니다. 규정 준수 감사를 대체하는 것은 아니지만, 지속적인 규정 준수를 유지하고 위반 사항을 조기에 발견하는 데 유용하게 이용할 수 있습니다.

규정 준수 대시보드에는 경고 상태 및 통과 상태에 있는 각 체계에 대한 확인 수가 표시됩니다.

  • 경고 상태: 해당 확인과 관련된 하나 이상의 활성 발견 항목(위반)이 있습니다.
  • 통과 상태: 확인상 감지된 위반 사항이 없습니다.

규정 준수 대시보드를 프로젝트별로 필터링하고 특정 CIS 및 PCI 발견 항목 보고서를 보거나 내보낼 수 있습니다. 이 보고서는 Security Health Analytics 발견 항목을 기반으로 하며 취약점 탭에 로드됩니다.

규정 준수 보고서 내보내기

특정 규정 준수 벤치마크의 위반 발견 항목을 집계하는 CSV 보고서를 내보낼 수 있습니다. 보고서를 생성하려면 다음 단계를 따르세요.

  1. Cloud Console의 Security Command Center 규정 준수 탭으로 이동합니다.
    규정 준수 탭으로 이동
  2. 다운로드하려는 보고서 옆에 있는 내보내기를 클릭합니다.
  3. 내보내기 창이 나타나면 내보내기를 구성합니다.
    1. 다운로드할 벤치마크 보고서를 선택합니다.
    2. 보고서 스냅샷의 날짜와 시간을 선택합니다.
    3. 원하는 경우 프로젝트별로 내보내기를 필터링합니다.
  4. 내보내기 구성을 완료하면 내보내기를 클릭한 후 CSV 보고서를 저장할 위치를 선택합니다.

규정 준수 보고서 내보내기에는 다음이 포함됩니다.

  • 범위 내에 있는 프로젝트
  • 보고서 날짜
  • 보고서 범위 내의 발견 항목
  • 스캔한 리소스 수
  • 특정 관리를 위반하는 리소스의 수

Security Health Analytics 발견 항목 및 지원되는 감지기와 규정 준수 체계 간의 매핑에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

애셋

애셋 탭에서는 조직의 애셋이라는 모든 Google Cloud 리소스를 자세히 표시합니다. 애셋 탭에서는 전체 조직의 애셋을 보거나, 특정 프로젝트 내, 애셋 유형 또는 변경 유형별로 애셋을 필터링할 수 있습니다. 속성, 리소스 속성, 관련 발견 항목과 같은 특정 애셋의 세부정보를 보려면 resourceProperties.name 열에서 애셋 이름을 클릭합니다.

애셋은 매일 두 번 자동으로 스캔됩니다. 애셋 탭에서 다시 스캔을 클릭하여 애셋 스캔을 수동으로 시작할 수도 있습니다. updateTime 값은 지정된 자동 또는 수동 스캔 내 결과에 따라 달라질 수 있습니다. 이 변동은 일반적으로 10분 미만입니다.

애셋 인벤토리의 최신 상태는 애셋 소스의 탐색 및 색인에 따라 달라집니다.

  • 기존 애셋의 경우 일반적으로 새로고침 시간은 1분 미만입니다.
  • 일일 또는 수동 스캔에서 탐색되지 않고 색인이 없는 애셋은 연결된 애셋이 탐색되고 색인이 생성된 후 애셋 인벤토리에 표시됩니다.

애셋 탭 사용하기

애셋 탭에서는 기본 제공 필터 및 맞춤설정 가능한 필터를 제공하므로 필터링된 애셋 목록을 볼 수 있습니다.

프로젝트별 애셋 보기

기본적으로 애셋은 조직 및 프로젝트 계층 구조에 표시됩니다. 특정 리소스와 연결된 애셋을 보려면 프로젝트별로 보기에서 검토할 조직 또는 프로젝트를 선택합니다.

애셋 유형별 보기

애셋 탭에서 리소스 유형별로 그룹화된 애셋을 보려면 애셋 유형을 클릭합니다. 애셋은 애플리케이션, 버킷, 프로젝트, 서비스 등의 카테고리로 표시됩니다. 현재 지원되는 애셋 유형은 다음과 같습니다.

  • Resource Manager
    • 조직
    • 프로젝트
  • App Engine
    • 애플리케이션
    • 서비스
    • 버전
  • Compute Engine
    • 주소
    • 자동 확장 처리
    • BackendBucket
    • BackendService
    • BillingAccount
    • 디스크
    • 방화벽
    • GlobalAddress
    • HealthCheck
    • HttpHealthCheck
    • HttpsHealthCheck
    • 이미지
    • 인스턴스
    • InstanceGroup
    • InstanceTemplate
    • 라이선스
    • 네트워크
    • 경로
    • SecurityPolicy
    • 스냅샷
    • SslCertificate
    • 서브네트워크
    • TargetHttpProxy
    • TargetHttpsProxy
    • TargetSslProxy
    • TargetTcpProxy
    • TargetPool
    • TargetVpnGateway
    • UrlMap
    • VpnTunnel
  • Cloud DNS
    • ManagedZone
    • 정책
  • IAM
    • ServiceAccount
  • Cloud Spanner
    • 데이터베이스
    • 인스턴스
  • Cloud Storage
    • 버킷
  • Google Kubernetes Engine
    • 클러스터
  • Container Registry
    • 이미지
  • Cloud Logging
    • LogMetric

특정 애셋 유형의 개별 리소스를 보려면 애셋 유형 목록에서 검토할 애셋 유형을 선택합니다. 특정 애셋의 세부정보를 보려면 애셋 이름을 클릭합니다. 조직의 모든 Google Cloud 프로젝트를 보려면 securityCenterProperties.resourceType:resourcemanager.Project를 사용하여 애셋 목록을 필터링합니다.

변경된 애셋별 보기

애셋 탭에서 변경된 애셋은 선택한 기간 동안 활성 상태였던 모든 애셋을 표시합니다. 이 기간 동안 추가된 모든 애셋도 추가됨 카테고리로 그룹화됩니다. 결과를 표시할 기간을 변경하려면 변경된 애셋 옆의 드롭다운 목록을 클릭합니다.

IAM 정책별 보기

애셋 탭에서 iamPolicy.policy_blob 열에 있는 애셋의 IAM 정책이 표시됩니다. iamPolicy 열을 표시하려면 열 표시 옵션을 클릭하고 iamPolicy를 입력합니다.

특정 애셋의 IAM 정책 세부정보를 보려면 애셋 옆에 있는 표시를 클릭합니다. resourceProperties.name 열 아래에서 애셋 이름을 클릭해도 애셋 세부정보 패널에 IAM 정책이 표시됩니다.

애셋 탭 구성

애셋 탭에 표시되는 일부 요소를 관리할 수 있습니다.

기본적으로 애셋 탭에는 다음 열이 포함됩니다.

  • 애셋 이름: resourceProperties.name
  • 애셋 유형: securityCenterProperties.resourceType
  • 애셋 소유자: securityCenterProperties.resourceOwners
  • 리소스 이름: name
  • 애셋에 추가된 표시: securityMarks.marks

resourceProperties.name을 제외한 모든 열을 숨길 수 있으며, 더 많은 애셋 세부정보 열을 선택하여 표시할 수 있습니다.

  1. 표시할 애셋 열을 선택하려면 열 표시 옵션을 클릭합니다.
  2. 표시되는 메뉴에서 표시할 열을 선택합니다.
  3. 열을 숨기려면 열 이름을 클릭하여 열 이름 옆에 있는 상자를 지웁니다.

열 선택을 저장하려면 열 선택 저장을 클릭합니다. 열 선택 항목은 애셋 탭의 모든 보기에 적용됩니다. 열을 선택하면 Cloud Console URL이 업데이트되므로 커스텀 보기의 링크를 공유할 수 있습니다.

다음에 대시보드를 볼 때와 조직을 변경할 경우 열 선택이 유지됩니다. 모든 커스텀 선택 항목을 삭제하려면 열 재설정을 클릭합니다.

패널

애셋 탭의 화면 공간을 관리하려면 다음 옵션을 변경하면 됩니다.

  • 왼쪽 화살표를 클릭하여 Cloud Console 보안 측면 패널을 숨깁니다.
  • 분할선을 왼쪽 또는 오른쪽으로 드래그하여 애셋 표시열의 크기를 조절합니다.
  • 정보 패널 숨기기를 클릭하여 애셋 선택 측면 패널을 숨깁니다.

애셋 표시에 포함된 결과의 날짜와 시간을 변경하려면 날짜 및 시간 드롭다운을 클릭한 다음 원하는 날짜와 시간을 선택합니다.

애셋 정렬하기

애셋을 정렬하려면 정렬하려는 기준값의 열 제목을 클릭합니다. 열은 숫자로 정렬된 후 알파벳 순서로 정렬됩니다.

발견 항목

발견 항목 탭에는 조직의 모든 애셋에 대한 자세한 발견 항목 인벤토리가 표시됩니다. 발견 항목 표시를 사용하면 조직의 잠재적 보안 위험을 확인할 수 있습니다.

발견 항목 인벤토리의 최신 상태는 발견 항목 소스에 따라 달라집니다.

  • Security Command Center 대시보드에서 최신 상태를 찾는 방법은 일반적으로 발견 항목 소스에서 수집한 후 1분 이내에 확인됩니다.
  • 자동 또는 수동 스캔에서 탐색 및 색인되지 않은 애셋은 일반적으로 검색 후 1분 이내에 발견 항목에 표시됩니다.

기본적으로 발견 항목 탭에는 활성 발견 항목만 표시됩니다. 활성 발견 항목만 표시 옆에 있는 전환 버튼을 클릭하여 비활성 발견 항목 표시를 사용 설정하거나 중지할 수 있습니다.

특정 발견 항목의 세부정보를 보려면 발견 항목을 클릭합니다. 찾기 세부정보 패널에는 영향을 받는 애셋 및 이벤트 시간과 같은 속성이 표시됩니다. 일부 유형 발견 항목에는 더 많은 속성이 포함됩니다. 예를 들어 암호화폐 이벤트에는 다음이 포함될 수 있습니다.

  • abuse_target_ips: 채굴 풀의 IP입니다.
  • urls: 채굴 풀의 URL입니다.
  • vm_host_and_names: 암호화폐 채굴로 확인된 특정 VM입니다.
  • vm_ips: 영향을 받는 VM의 IP 주소입니다.

발견 항목 카테고리별 보기

기본적으로 발견 항목은 교차 사이트 스크립팅(XSS), 신용 카드 번호 또는 전화 번호 노출과 같은 특정 카테고리에 표시됩니다. 발견 항목을 만들 때 카테고리 입력란을 비워두면 발견 항목 표시에 카테고리가 없습니다.

  • 특정 위험 유형에 대한 세부정보를 보려면 발견 항목 유형별 보기에서 검토할 위험 유형을 선택합니다.
  • 특정 발견 항목에 대한 자세한 정보를 보려면 category에서 발견 항목을 클릭합니다.

특정 날짜의 카테고리별로 발견 항목을 보려면 활성 발견 항목만 표시 옆에 있는 시간 드롭다운을 사용합니다.

소스 유형별 보기

발견 항목 소스는 웹 보안 스캐너 또는 Cloud DLP와 같은 모든 발견을 제공합니다. 이러한 소스에는 다음이 포함됩니다.

  • 특정 시점의 샘플링된 발견 항목 스냅샷을 제공하는 스캐너
  • 발견 항목의 이벤트 스트림을 제공하는 모니터
  • 이전 이벤트의 출력을 제공하는 로거

다음과 같은 방법으로 소스별 발견 항목을 확인할 수 있습니다.

  • 소스 유형별로 그룹화된 결과를 보려면 발견 항목 탭에서 소스 유형을 클릭합니다.
  • 특정 소스 유형의 개별 발견 항목을 보려면 소스 유형별 보기에서 검토할 소스 유형을 선택합니다.
  • 특정 발견 항목에 대한 자세한 정보를 보려면 category에서 발견 항목을 클릭합니다.

특정 날짜의 카테고리별로 발견 항목을 보려면 활성 발견 항목만 표시 옆에 있는 시간 드롭다운을 사용합니다.

변경된 발견 항목별 보기

신규 및 활성 발견 항목을 보려면 발견 항목 탭에서 변경된 발견 항목을 클릭합니다. 비활성 발견 항목을 포함하려면 활성 발견 항목만 표시를 사용 중지해야 합니다.

모든 발견 항목은 다음 하위 그룹에 표시됩니다.

  • 활성(변경됨): 활성 상태이며 선택한 기간 동안 속성이 변경된 발견 항목
  • 활성(변경 없음): 선택된 기간 동안 활성 상태이고 변경된 속성이 없는 발견 항목
  • 비활성 (변경됨): 선택한 기간 동안 비활성 상태로 변경된 발견 항목 활성 발견 항목만 표시가 사용 중지된 경우 비활성 상태인 비활성 발견 항목이 있더라도 이 값은 항상 0입니다.
  • 비활성(변경사항 없음): 선택한 기간 동안 비활성 상태이며 속성이 변경된 발견 항목 활성 발견 항목만 표시가 사용 중지된 경우 이 값은 변경되지 않은 비활성 발견 항목이 있더라도 항상 0입니다.
  • 신규: 선택한 기간 동안 새롭게 발견된 발견 항목

발견 항목 탭에는 1시간에서 12개월 사이의 여러 시간 단위 옵션이 표시됩니다. 발견 항목을 표시할 시간 범위를 지정하려면 활성 발견 항목만 표시 옆의 드롭다운 목록을 사용합니다.

발견 항목 심각도별 보기

심각도에 따라 발견 항목을 보면 다음과 같은 카테고리의 발견 항목이 심각도에 따라 그룹화됩니다.

  • 중요:
    • 심각한 취약점을 쉽게 탐색할 수 있고, 임의의 코드를 실행하고, 데이터를 유출할 수 있으며, 클라우드 리소스와 워크플로에서 추가 액세스 및 권한을 얻을 수 있는 능력으로 악용될 수도 있습니다. 예를 들어 공개적으로 액세스할 수 있는 사용자 데이터 및 비밀번호가 취약하거나 존재하지 않는 공개 SSH 액세스가 있습니다.
    • 중요한 위협은 데이터에 액세스하거나 데이터를 수정 또는 삭제하거나 기존 리소스 내에서 승인되지 않은 코드를 실행할 수 있습니다.
  • 높음:
    • 고위험 취약점은 쉽게 탐색할 수 있고 다른 취약점과 함께 악용되어 직접적인 액세스를 확보해 임의 코드를 실행하거나 데이터를 유출하고, 리소스와 워크로드에 대한 추가 액세스와 권한을 얻을 수 있습니다. 예를 들어 비밀번호가 취약하거나 존재하지 않고 내부적으로만 액세스할 수 있는 데이터베이스는 내부 네트워크에 액세스할 수 있는 행위자가 도용할 수 있습니다.
    • 위험도가 높은 위협은 환경에서 컴퓨팅 리소스를 만들 수 있지만 데이터에 액세스하거나 기존 리소스에서 코드를 실행할 수는 없습니다.
  • 중간:
    • 행위자가 중간 위험 취약점을 이용해 리소스에 대한 액세스 권한을 얻거나, 최종적으로 액세스할 수 있는 권한에 접근하여 데이터를 유출하거나 임의 코드를 실행할 수 있습니다. 예를 들어 서비스 계정에 프로젝트에 대한 불필요한 액세스 권한이 있고 행위자가 서비스 계정에 액세스하는 경우 해당 서비스 계정을 사용하여 프로젝트를 조작할 수 있습니다.
    • 중간 수준의 위험으로 인해 조직에 영향을 미칠 수는 있지만 데이터에 액세스하거나 승인되지 않은 코드를 실행할 수 없습니다.
  • 낮음:
    • 낮은 위험 취약점으로 인해 보안 조직은 배포에서 취약점이나 활성 위협을 감지하거나 보안 문제의 근본 원인을 예방하지 못하게 됩니다. 예를 들어 리소스 구성 및 액세스를 위해 모니터링 및 로그가 사용 중지된 시나리오가 있습니다.
    • 위험성이 낮은 위협은 환경에 대한 최소한의 액세스 권한을 얻을 수 있지만 데이터에 액세스하고 코드를 실행하거나 리소스를 만들 수 없습니다.
  • 미지정: 발견 항목 제공자가 발견 항목의 심각도 값을 설정하지 않은 경우 발견 항목 위험 수준이 지정되지 않습니다.

다음과 같은 방법으로 심각도별로 발견 항목을 볼 수 있습니다.

  • 심각도별로 그룹화된 발견 항목을 보려면 발견 항목 탭에서 심각도를 클릭합니다.
  • 특정 심각도의 개별 발견 항목을 보려면 심각도 찾기에서 검토할 심각도를 선택합니다.
  • 특정 발견 항목에 대한 자세한 정보를 보려면 category에서 발견 항목을 클릭합니다.

특정 날짜의 카테고리별로 발견 항목을 보려면 활성 발견 항목만 표시 옆에 있는 시간 드롭다운을 사용합니다.

발견 항목 관리

Security Command Center 대시보드의 정보 패널을 사용하여 발견 항목의 보안 표시를 관리하거나 발견 상태를 변경할 수 있습니다.

보안 표시 관리

발견 항목에 보안 표시를 추가하려면 다음 안내를 따르세요.

  1. category에서 발견 항목을 하나 이상 선택합니다.
  2. 정보 패널보안 표시에서 표시 추가를 클릭합니다.
  3. 항목을 추가하여 발견 항목 카테고리를 식별합니다.

    예를 들어 동일한 이슈의 일부인 발견 항목을 표시하려면 'incident-number' 키와 '1234' 값을 추가합니다. 새 보안 표시는 mark.incident-number: 1234 형식의 각 발견 항목에 연결됩니다.

  4. 표시 추가를 완료했으면 저장을 클릭합니다.

발견 항목에서 보안 표시를 삭제하려면 다음 안내를 따르세요.

  1. category에서 발견 항목을 하나 이상 선택합니다.
  2. 정보 패널보안 표시에서 삭제를 클릭합니다.

발견 항목 상태 관리

Security Command Center 대시보드의 정보 패널을 사용하여 찾기 상태를 활성 또는 비활성으로 변경합니다.

  1. category에서 발견 항목을 하나 이상 선택합니다.
  2. 정보 패널에서 작업, 선택 활성 또는 비활성 - 상태 드롭다운 목록 선택한 발견 항목이 활성 및 비활성 상태의 조합이면 새 상태를 선택할 때까지 상태혼합으로 표시됩니다.
  3. 발견 항목 상태 변경이 완료되면 저장을 클릭합니다.

발견 항목 표시 구성

결과 탭에 표시되는 일부 요소를 관리할 수 있습니다.

기본적으로 발견 항목 탭에는 다음 열이 표시됩니다.

  • 발견 항목 유형: category
  • 애셋 ID: resourceName
  • 발견 항목이 마지막으로 감지된 시간: eventTime
  • 발견 항목이 처음 감지된 시간: createTime
  • 발견 항목의 소스: parent
  • 발견 항목에 추가된 모든 마크: securityMarks.marks

category을 제외한 모든 열을 숨길 수 있으며 표시할 세부정보 열을 추가로 선택할 수 있습니다.

  1. 표시할 찾기 열을 선택하려면 열 표시 옵션을 클릭합니다.
  2. 표시되는 메뉴에서 표시할 열을 선택합니다.
  3. 열을 숨기려면 열 이름을 클릭합니다.

열 선택을 저장하려면 열 선택 저장을 클릭합니다. 열 선택 항목은 발견 항목 탭의 모든 뷰에 적용됩니다. 열을 선택하면 Cloud Console URL이 업데이트되므로 커스텀 보기의 링크를 공유할 수 있습니다.

다음에 대시보드를 볼 때와 조직을 변경할 경우 열 선택이 유지됩니다. 모든 커스텀 선택 항목을 삭제하려면 열 재설정을 클릭합니다.

패널

발견 항목에 대한 화면 공간을 관리하려면 다음 옵션을 변경하면 됩니다.

  • 왼쪽 화살표를 클릭하여 Cloud Console 보안 측면 패널을 숨깁니다.
  • 분할선을 왼쪽 또는 오른쪽으로 드래그하여 발견 항목 표시열의 크기를 조절합니다.
  • 정보 패널 숨기기를 클릭하여 발견 항목 선택 측면 패널을 숨깁니다.

소스

소스 탭에는 사용 설정한 보안 소스의 애셋 및 발견 항목을 제공하는 카드가 포함되어 있습니다. 각 보안 소스의 카드에는 해당 소스의 몇 가지 발견 항목이 표시됩니다. 발견 항목 카테고리 이름을 클릭하면 해당 카테고리의 모든 발견 항목을 볼 수 있습니다.

애셋 요약

애셋 요약 카드에는 조직의 최근 스캔 시점부터 각 유형의 애셋 수가 표시됩니다. 지정한 기간 동안 새로 생성된 애셋 및 삭제된 애셋이 표시됩니다. 요약을 표 또는 그래픽 차트로 볼 수 있습니다.

  • 최근 기간의 요약을 보려면 애셋 카드의 드롭다운 목록에서 시간을 선택합니다.
  • 특정 날짜 및 시간의 요약을 보려면 모든 애셋 보기를 클릭한 다음 시간 드롭다운 목록에서 날짜와 시간을 선택합니다.
  • 조직의 트리 계층 구조를 보려면 애셋 유형 또는 모든 애셋 보기를 클릭합니다.
  • 개별 애셋에 대한 세부정보를 보려면 애셋 탭을 선택한 다음 애셋 이름을 클릭합니다.

발견 항목 요약

발견 항목 요약 카드에는 사용 설정된 보안 소스가 제공하는 각 발견 항목의 카테고리가 표시됩니다.

  • 특정 소스의 발견 항목에 대한 세부정보를 보려면 소스 이름을 클릭합니다.
  • 모든 발견 항목에 대한 세부 정보를 보기 위해서는 발견 항목 탭을 클릭하고 여기에서 개별 발견 항목에 대한 세부정보를 볼 수 있습니다.

Security Command Center 쿼리

이 섹션에서는 Security Command Center를 사용하여 리소스를 검토하는 데 일반적인 쿼리를 실행하는 방법을 설명합니다.

조직에 관련 리소스 유형이 있는 경우에만 Security Command Center 대시보드에서 이러한 필터를 선택할 수 있습니다. '추천 키 중 하나 선택' 오류 메시지가 표시되면 조직에 해당 리소스 유형이 없을 수도 있습니다.

쿼리를 실행하려면 애셋 탭의 필터링 기준 텍스트 상자를 사용합니다. 다음은 일반적으로 유용한 쿼리입니다.

쿼리 유형 필터링 기준
공개 기존 ACL로 버킷 찾기 resourceProperties.acl:allUsers 또는 resourceProperties.acl:allAuthenticatedUsers
모든 네트워크에서 SSH 포트 22를 사용하여 방화벽 규칙 찾기 resourceProperties.allowed:22 또는 resourceProperties.sourceRange:0.0.0.0/0
공개 IP 주소가 있는 VM 찾기 resourceProperties.networkInterface:externalIP
조직 외부의 리소스 소유자 찾기 -securityCenterProperties.resourceOwners:@your-domain
VM에서 OS 상태 찾기 및 모니터링 resourceProperties.disk:licenses

다음 단계