Security Health Analytics 사용

>

Security Command Center를 사용하여 Security Health Analytics 결과를 관리합니다. Security Health Analytics는 Security Command Center에서 기본 제공되는 서비스입니다. Security Health Analytics 발견 항목을 보려면 Security Command Center 서비스 설정에서 이를 사용 설정해야 합니다.

다음 동영상은 Security Health Analytics를 설정하는 단계와 대시보드 사용 방법에 대한 정보를 제공합니다. 이 페이지의 뒷부분에서 텍스트로 구성된 Security Health Analytics 발견 항목을 보고 관리하는 방법을 자세히 알아보세요.

Security Health Analytics 감지기의 발견 항목은 Security Command Center 대시보드에서 검색이 가능하고 Security Command Center API를 사용합니다.

스캔은 Security Command Center가 사용 설정된 후 약 1시간 후 시작되며 두 가지 모드(배치 모드, 실시간 모드)로 실행됩니다. 일괄 모드는 매일 2번 12시간 간격으로 자동으로 스캔이 실행되고 실시간 모드는 사용하여 애셋 구성 변경사항에 대한 스캔을 실행합니다. 실시간 스캔 모드를 지원하지 않는 Security Health Analytics 감지기는 Security Command Center 지연 시간 개요에 나열되어 있습니다.

Security Command Center에서 발견 항목 필터링

대규모 조직에서는 검토, 분류, 추적을 위한 배포 전반에 걸쳐 많은 취약점 발견 항목이 발생할 수 있습니다. 사용 가능한 필터와 함께 Security Command Center를 사용하면 조직 전체에서 심각성이 가장 높은 취약점에 집중할 수 있으며 애셋 유형, 보안 표시 등의 기준으로 취약점을 검토할 수 있습니다.

Security Health Analytics 감지기 및 발견 항목의 전체 목록을 보려면 Security Health Analytics 발견 항목 페이지를 참조하세요.

프로젝트별 Security Health Analytics 발견 항목 보기

프로젝트별 Security Health Analytics 발견 항목을 보려면 다음 안내를 따르세요.

  1. Cloud Console의 Security Command Center로 이동합니다.

    Security Command Center로 이동

  2. Security Health Analytics 발견 항목을 표시하려면 취약점 탭을 클릭합니다.

  3. 프로젝트 필터에서 프로젝트 필터에 프로젝트 추가()를 클릭합니다.

  4. 검색 대화상자가 나타나면 발견 항목을 표시할 프로젝트를 선택합니다.

취약점 탭에는 선택한 프로젝트의 발견 항목 목록이 표시됩니다.

발견 항목 유형별로 Security Health Analytics 발견 항목 보기

Security Health Analytics 발견 항목을 카테고리별로 보려면 다음 단계를 따르세요.

  1. Cloud Console의 Security Command Center로 이동합니다.
    Security Command Center로 이동
  2. Security Health Analytics 발견 항목을 표시하려면 취약점 탭을 클릭합니다.
  3. 카테고리 열에서 발견 항목을 표시할 발견 항목 유형을 선택합니다.

발견 항목 탭이 로드되고 선택한 유형과 일치하는 발견 항목 목록이 표시됩니다.

애셋 유형별로 발견 항목 보기

특정 자산 유형의 Security Health Analytics 발견 항목을 보려면 다음 단계를 따르세요.

  1. Cloud Console의 Security Command Center 발견 항목 페이지로 이동합니다.
    발견 항목 페이지로 이동
  2. 보기 기준 옆에 있는 소스 유형을 클릭한 다음 Security Health Analytics를 선택합니다.
  3. 필터 상자에 resourceName: asset-type을 입력합니다. 예를 들어 모든 프로젝트의 Security Health Analytics 발견 항목을 표시하려면 resourceName: projects를 입력합니다.

발견 항목 목록이 업데이트되어 지정한 애셋 유형의 모든 발견 항목이 표시됩니다.

심각도별로 Security Health Analytics 발견 항목 보기

심각도별로 Security Health Analytics 발견 항목을 보려면 다음 안내를 따르세요.

  1. Cloud Console의 Security Command Center로 이동합니다.
    Security Command Center로 이동
  2. Security Health Analytics 발견 항목을 표시하려면 취약점 탭을 클릭합니다.
  3. 발견 항목을 심각도별로 정렬하려면 심각도 열 헤더를 클릭합니다. 발견 항목 값은 HIGH, MEDIUM, LOW입니다.

발견 항목 유형에 대한 자세한 내용은 취약점 발견 항목을 참조하세요. Security Command Center는 보안 표시와 같은 커스텀 속성을 비롯한 많은 기본 속성을 제공합니다.

자신에게 중요한 취약점으로 필터링하면 Security Command Center에서 취약점을 선택하여 발견 항목 세부정보를 확인할 수 있습니다. 여기에는 취약점 및 위험에 대한 설명과 해결을 위한 권장사항이 포함됩니다.

보안 표시를 사용하여 애셋 및 발견 항목 표시

보안 표시를 사용하면 Security Command Center의 발견 항목 및 애셋에 커스텀 속성을 추가할 수 있습니다. 보안 표시를 사용하면 프로덕션 프로젝트, 버그 및 이슈 추적 번호 등 높은 우선순위의 관심 영역을 식별할 수 있습니다.

특수 사례 감지기: 고객 제공 암호화 키

DISK_CSEK_DISABLED 감지기가 모든 사용자에게 적용되는 것은 아닙니다. 이 감지기를 사용하려면 자체 관리형 암호화 키를 사용할 애셋을 표시해야 합니다.

특정 애셋에 DISK_CSEK_DISABLED 감지기를 사용 설정하려면 값이 true인 애셋에 보안 표시 enforce_customer_supplied_disk_encryption_keys를 적용합니다.

보안 표시를 사용하여 Security Health Analytics 발견 목록 허용

Security Health Analytics의 애셋을 허용 목록에 추가해 감지기가 애셋에 대한 보안 발견 항목을 생성하지 않도록 할 수 있습니다. 허용 목록에 애셋을 추가하면 다음 스캔이 실행될 때 발견 항목이 해결됨으로 표시됩니다. 이 방법은 허용된 비즈니스 매개변수 내에서 격리되거나 무너진 프로젝트에 대한 보안 발견 항목을 검토할 필요가 없는 경우에 유용합니다.

허용 목록에 애셋을 추가하려면 특정 발견 항목 유형에 보안 표시 allow_finding-type를 추가합니다. 예를 들어 SSL_NOT_ENFORCED 유형의 발견 항목 유형은 보안 표시 allow_ssl_not_enforced:true를 사용합니다.

발견 항목 유형의 전체 목록은 이 페이지의 앞부분에 포함된 Security Health Analytics 감지기 목록을 참조하세요. 보안 표시 및 사용 기술에 대한 자세한 내용은 Security Command Center 보안 표시 사용을 참조하세요.

발견 항목 유형별로 활성 발견 항목 수 보기

Cloud Console 또는 gcloud 명령줄 도구 명령어를 사용하여 발견 항목 유형별 활성 발견 항목 수를 확인할 수 있습니다.

Console

Security Health Analytics 대시보드를 사용하면 각 발견 항목 유형의 활성 발견 항목 수를 확인할 수 있습니다.

발견 항목 유형별로 Security Health Analytics 발견 항목을 보려면 다음 안내를 따르세요.

  1. Cloud Console의 Security Command Center로 이동합니다.
    Security Command Center로 이동
  2. Security Health Analytics 발견 항목을 표시하려면 취약점 탭을 클릭합니다.
  3. 각 발견 항목 유형의 활성 결과 수를 기준으로 발견 항목을 정렬하려면 활성 열 헤더를 클릭합니다.

gcloud

gcloud 도구를 사용하여 모든 활성 발견 항목 수를 가져오려면 Security Command Center를 쿼리하여 Security Health Analytics 소스 ID를 가져옵니다. 그런 다음 소스 ID를 사용하여 활성 상태인 발견 항목 수를 쿼리합니다.

1단계: 소스 ID 가져오기

이 단계를 완료하려면 조직 ID가 필요합니다. 조직 ID를 가져오려면 gcloud organizations list를 실행하고 조직 이름 옆에 있는 번호를 기록합니다.

Security Health Analytics 소스 ID를 가져오려면 다음을 실행합니다.

gcloud scc sources describe organizations/your-organization-id
--source-display-name='Security Health Analytics'

Security Command Center API를 아직 사용 설정하지 않은 경우 사용 설정하라는 메시지가 표시됩니다. Security Command Center API가 사용 설정되면 이전 명령어를 다시 실행합니다. 이 명령어는 다음과 같은 출력을 표시합니다.

description: Scans for deviations from a GCP security baseline.
displayName: Security Health Analytics
name: organizations/your-organization-id/sources/source-id

다음 단계에서 사용할 source-id를 확인합니다.

2단계: 활성 발견 항목 수 가져오기

이전 단계에서 기록해 둔 source-id를 사용하여 Security Health Analytics의 발견 항목을 필터링합니다. 다음 gcloud 도구 명령어는 카테고리별로 발견 항목 수를 반환합니다.

gcloud scc findings group organizations/your-organization-id/sources/source-id \
 --group-by=category --page-size=page-size

페이지 크기를 최대 1,000까지 설정할 수 있습니다. 이 명령어는 특정 조직의 결과와 함께 다음과 같은 출력을 표시해야 합니다.

groupByResults:
- count: '1'
  properties:
    category: MFA_NOT_ENFORCED
- count: '3'
  properties:
    category: ADMIN_SERVICE_ACCOUNT
- count: '2'
  properties:
    category: API_KEY_APIS_UNRESTRICTED
- count: '1'
  properties:
    category: API_KEY_APPS_UNRESTRICTED
- count: '2'
  properties:
    category: API_KEY_EXISTS
- count: '10'
  properties:
    category: AUDIT_CONFIG_NOT_MONITORED
- count: '10'
  properties:
    category: AUDIT_LOGGING_DISABLED
- count: '1'
  properties:
    category: AUTO_UPGRADE_DISABLED
- count: '10'
  properties:
    category: BUCKET_IAM_NOT_MONITORED
- count: '10'
  properties:
    category: BUCKET_LOGGING_DISABLED
nextPageToken: token
      readTime: '2019-08-05T21:56:13.862Z'
      totalSize: 50

프로그래매틱 방식으로 발견 항목 관리

Security Command Center SDK와 함께 gcloud 명령줄 도구를 사용하면 Security Command Center 대시보드에서 할 수 있는 모든 작업을 자동화할 수 있습니다. gcloud 도구를 사용하여 여러 발견 항목을 구제할 수도 있습니다. 자세한 내용은 각 발견 항목에 설명된 리소스 유형 문서를 참조하세요.

다음 단계