이 페이지에서는 Google Cloud 콘솔의 Security Command Center 발견 항목 페이지에서 발견 항목을 사용하는 방법을 설명합니다. 발견 항목은 Security Command Center 서비스가 보안 문제를 감지할 때 생성하는 보안 문제에 대한 기록입니다.
발견 항목 페이지에서 수행할 수 있는 작업은 다음과 같습니다.
- 발견 항목 쿼리
- 발견 항목 검사
- 발견 항목 숨기기
- 발견 항목에 보안 표시 추가
발견 항목 페이지의 발견 항목 쿼리 결과 패널에 발견 항목이 나열됩니다. 발견 항목을 클릭하면 발견 항목의 세부정보와 전체 JSON 형식이 표시됩니다.
Security Command Center API로 발견 항목을 사용하는 방법에 대한 자세한 내용은 프로그래매틱 방식으로 Security Command Center 액세스를 참조하세요.
Security Command Center의 IAM 역할
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
Google Cloud 콘솔에서 발견 항목 보기
기본적으로 발견 항목 페이지의 발견 항목 쿼리 결과 패널에는 숨겨지지 않았으며 지난 7일 동안 신규 또는 업데이트된 모든 활성 발견 항목이 표시됩니다.
특정 발견 항목을 보려면 발견 항목 쿼리를 수정하여 확인해야 하는 발견 항목에 포함되거나 포함되지 않아야 하는 값 또는 속성을 지정합니다.
다음 예시는 기본 발견 항목 쿼리입니다.
state="ACTIVE" AND NOT mute="MUTED"
현재 발견 항목 쿼리는 발견 항목 페이지의 쿼리 미리보기 필드에서 확인할 수 있습니다.
기간을 조정해 더 많은 발견 항목 보기
시간 범위 필드의 쿼리 편집기 작업 모음 오른쪽에 있는 쿼리에 사용되는 시간 범위를 조정할 수 있습니다.
기본 시간 범위는 Last 7 days입니다.
시간 범위는 발견 항목의 eventTime 속성 값을 기준으로 하며, 이 값은 발견 항목 레코드가 마지막으로 업데이트된 시간을 반영합니다.
발견 항목 가용성
일반적으로 발견 항목을 생성하는 서비스가 발견 항목을 Security Command Center 발견 항목 데이터베이스에 저장한 후 1분 이내에 Security Command Center에서 발견 항목을 쿼리할 수 있습니다. 발견 항목은 최소 13개월 동안 쿼리할 수 있습니다.
Security Command Center에는 각 발견 항목에 대한 하나 이상의 스냅샷이 저장됩니다. 발견 항목의 스냅샷은 eventTime 필드의 타임스탬프로부터 13개월 후에 삭제됩니다. 발견 항목의 모든 스냅샷이 삭제되면 더 이상 발견 항목을 쿼리하거나 복구할 수 없습니다.
Security Command Center 데이터 보관에 대한 자세한 내용은 데이터 보관을 참조하세요.
특정 발견 항목 찾기 및 보기
발견 항목 페이지에서 발견 항목 쿼리를 수정하여 특정 발견 항목 또는 발견 항목 그룹을 찾고 볼 수 있습니다. 다음 방법으로 쿼리를 수정할 수 있습니다.
- 빠른 필터 패널에서 사전 정의된 속성 필터를 하나 이상 선택하여 쿼리에 추가합니다.
- 쿼리 편집기 패널의 필터 추가 메뉴에서 사전 정의된 속성 필터를 하나 이상 선택하여 쿼리에 추가합니다.
- 쿼리 편집기 패널에서 직접 발견 항목 쿼리를 수정합니다.
- 발견 항목의 세부정보 패널에 있는 특정 속성의 드롭다운 메뉴에서 해당 속성에 대해 사전 정의된 필터를 선택하여 쿼리에 추가합니다.
사전 정의된 필터를 선택하면 필터가 쿼리에 자동으로 추가됩니다.
상위 수준 필터 옵션에 일반적으로 사용되는 빠른 필터 패널을 사용합니다. 하위 수준 발견 항목 속성을 기반으로 하는 더 세분화된 고급 필터에 필터 추가 메뉴를 사용합니다.
콘솔에서 발견 항목 쿼리를 만들고 수정하는 방법에 대한 자세한 내용은 Google Cloud 콘솔에서 발견 항목 쿼리 수정을 참조하세요.
발견 항목의 세부정보 보기
발견 항목에 대해 자세히 알아보려면 발견 항목 쿼리 결과 패널의 카테고리 열에서 발견 항목 이름을 클릭하여 발견 항목의 상세 뷰를 엽니다.
세부정보 뷰에서 발견 항목을 이해하거나, 위협을 조사하거나, 취약점을 해결하는 데 중요한 정보를 찾을 수 있습니다.
발견 항목의 세부정보 뷰에 포함된 다음 탭을 선택하면 발견 항목에 대해 자세히 알아보고 조치를 취할 수 있습니다.
- 기본 뷰인 요약 탭에는 발견 항목에 대한 주요 정보 및 속성이 강조표시되어 있습니다.
- 소스 속성 탭에서는 발견 항목 JSON의
sourceProperties객체에 대한 속성을 볼 수 있습니다. - JSON 탭에서는 발견 항목의 전체 JSON 형식을 볼 수 있습니다.
세부정보 뷰에서 발견 항목에 대한 특정 작업을 수행할 수 있으며 발견 항목과 관련된 추가 정보의 링크도 찾을 수 있습니다.
세부정보 뷰에서 발견 항목 알아보기
발견 항목의 세부정보 뷰에는 기본 보안 문제를 이해하고 해결하는 데 사용할 수 있는 발견 항목에 대한 중요한 정보가 강조표시됩니다.
요약 탭에 있는 정보
요약 탭은 다음 섹션에서 발견 항목에 대한 정보를 제공합니다.
- 감지된 항목
감지된 발견 항목에 대한 다음과 같은 세부정보입니다.
- 취약점
취약점에 해당하는 CVE 레코드의 정보입니다(있는 경우). 취약점 섹션에는 다음과 같은 CVE 레코드의 정보가 포함됩니다.
- CVE ID
- CVE 점수
- 영향
- 취약점 공격 활동
- 공격 노출
공격 노출 점수 및 점수가 마지막으로 계산된 시간입니다. 점수를 클릭하면 영향을 받는 고가치 리소스와 관련 공격 경로가 시각적으로 표시됩니다.
- 영향을 받는 리소스
기술 및 보안 담당자를 포함하여 발견 항목과 연결된 애셋에 대한 세부정보입니다. 이 섹션에는 리소스의 세부정보를 볼 수 있는 메뉴도 있습니다.
- 보안 표시
이 발견 항목과 연결된 보안 표시(있는 경우)입니다.
- 다음 단계
감지된 문제를 해결하기 위해 취할 수 있는 조치에 대한 지침입니다. Security Health Analytics와 같은 특정 서비스만 다음 단계를 제공합니다.
- 관련 링크
Security Command Center 외부의 주요 보안 정보 소스에 대한 링크입니다. Event Threat Detection과 같은 특정 서비스만 관련 링크를 제공합니다.
- 감지 서비스
발견 항목을 감지한 서비스 또는 소스에 대한 세부정보입니다.
소스 속성 탭에 있는 정보
일부 발견 항목의 경우 세부정보 패널에 발견 항목 JSON의 sourceProperties 객체에서 특정 속성을 강조표시하는 소스 속성 탭이 포함되어 있습니다.
소스 속성은 Security Command Center에서 실행되는 각 발견 항목 및 서비스마다 다릅니다. 소스 속성이 모든 서비스에서 표준화된다는 보장은 없습니다. 따라서 프로그래매틱 방식으로 소스 속성을 사용하지 않는 것이 좋습니다. 소스 속성을 모든 서비스에서 표준화하려면 의견을 전송하여 알려주세요.
JSON 탭에 있는 정보
JSON 탭에는 현재 선택된 발견 항목의 전체 JSON 구조가 포함되어 있습니다. 이는 발견 항목을 조사하거나 발견 항목 쿼리에서 사용할 수 있는 속성을 찾을 때 유용할 수 있습니다.
JSON 객체를 클립보드에 복사하려면 복사를 클릭합니다.
발견 항목의 JSON 구조에는 다음 객체가 포함됩니다.
findings: 발견 항목의 속성입니다. 이러한 속성은 모든 기본 제공 통합 서비스(보안 소스라고도 함)에 표준화됩니다. 자세한 내용은Finding를 참조하세요.resource: 영향을 받는 리소스의 속성입니다. 자세한 내용은Resource를 참조하세요.sourceProperties: 발견 항목의 서비스별 속성입니다.
ListFindings API를 사용하여 발견 항목을 나열하고 JSON 정의를 가져올 수도 있습니다.
세부정보 뷰에서 발견 항목에 조치 취하기
발견 항목 숨기기 또는 발견 항목의 속성을 현재 발견 항목 쿼리에 추가와 같이 발견 항목의 세부정보 뷰에서 발견 항목에 대해 여러 작업을 수행할 수 있습니다.
세부정보 뷰에서 발견 항목 숨기기
발견 항목 세부정보 보기의 조치 취하기 메뉴에서 발견 항목을 숨기거나 숨기기 취소하거나 현재 발견 항목과 같은 모든 향후 발견 항목을 숨기는 규칙을 만들 수 있습니다.
발견 항목 숨기기 또는 숨기기 규칙 만들기에 대한 자세한 안내는 Security Command Center에서 발견 항목 숨기기를 참조하세요.
세부정보 뷰에서 쿼리에 속성 필터 추가
발견 항목의 세부정보 뷰에서 표시된 속성의 필터를 현재 발견 항목 쿼리에 추가할 수 있습니다.
자세한 내용은 발견 항목의 세부정보 뷰에서 속성 필터 추가를 참조하세요.
발견 항목의 세부정보 뷰에서 속성 API 이름 보기
Google Cloud 콘솔에 표시되는 대부분의 발견 항목 속성에는 Security Command Center API에서 사용되는 해당 이름이 있습니다. 발견 항목의 세부정보 뷰에서 표시된 발견 항목 속성의 해당 API 이름을 찾고 복사할 수 있습니다.
발견 항목의 세부정보 뷰 공유
발견 항목의 세부정보 보기를 공유하려면 다른 사용자와 공유하기 위해 세부정보 보기 페이지의 URL을 복사합니다.
세부정보 뷰 URL을 클립보드에 복사하려면 조치 취하기 메뉴에서 링크 복사를 클릭합니다.
Google Cloud에 발견 항목에 대한 의견 보내기
Google Cloud에 의견을 보내려면 조치 취하기 메뉴를 열고 의견 보내기를 클릭합니다.
의견 도구를 사용하면 스크린샷을 캡처하고 포함할 수 있습니다.
다음 섹션에서는 요약, 소스 속성, JSON 탭에 대해 설명합니다.
발견 항목 쿼리 결과 패널에 다른 발견 항목의 세부정보 표시
현재 보고 있는 발견 항목 앞 또는 뒤에 있는 발견 항목의 세부정보를 보려면 다음 또는 이전 버튼을 사용하여 발견 항목 페이지로 돌아가지 않고도 다음 또는 이전 발견 항목으로 이동할 수 있습니다.
Google Cloud 콘솔에서 발견 항목에 보안 표시 추가
발견 항목 쿼리 결과 패널의 발견 항목에 보안 표시를 추가하거나 보안 표시를 수정하거나 발견 항목에서 삭제할 수 있습니다.
보안 표시는 발견 항목에 주석을 추가하고, 발견 항목을 동일한 보안 표시를 공유하는 다른 발견 항목과 연결하고, 발견 항목을 쿼리하는 데 사용할 수 있는 커스텀 키-값 라벨입니다.
Google Cloud 콘솔에서 보안 표시를 만들거나 수정하거나 삭제하려면 발견 항목 쿼리 결과 패널의 작업 모음에서 보안 표시 설정을 클릭합니다.
발견 항목 또는 애셋에 보안 표시를 설정하는 방법에 대한 자세한 안내는 보안 표시 사용을 참조하세요.
Google Cloud 콘솔에서 발견 항목 숨기기
발견 항목 쿼리 결과 작업 모음의 숨기기 옵션을 사용하거나 발견 항목의 세부정보 패널에서 조치 취하기를 클릭하여 발견 항목 페이지에서 발견 항목을 숨기거나 숨기기 취소할 수 있습니다.
개별 발견 항목을 숨기거나 정의한 필터에 따라 현재 및 이후 발견 항목을 숨기는 숨기기 규칙을 만들 수 있습니다.
발견 항목이 숨겨지더라도 발견 항목 쿼리에 mute="MUTED" 필터를 추가하여 숨겨진 발견 항목을 볼 수 있습니다. 숨겨진 발견 항목은 감사 및 규정 준수 목적으로 계속 로깅됩니다.
Security Command Center 설정의 숨기기 규칙 탭에서 현재 정의된 숨기기 규칙을 볼 수 있습니다.
발견 항목을 숨기거나 숨기기 취소하는 방법에 대한 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.
발견 항목 상태 변경
발견 항목은 Active 또는 Inactive 상태 중 하나일 수 있습니다.
Active 상태는 발견 항목에서 식별된 보안 문제가 사용자 환경에서 잠재적인 위협 또는 취약점으로 지속됨을 의미합니다.
Inactive 상태는 보안 문제가 해결되었음을 의미합니다.
발견 항목 상태가 처리되는 즉시 Inactive로 상태를 변경하는 등 다양한 이유로 발견 항목 상태를 변경해야 할 수 있으므로 다음 스캔에서 상태를 변경할 때까지 기다릴 필요가 없습니다.
Google Cloud 콘솔에서 발견 항목 상태를 변경하려면 다음 안내를 따르세요.
Security Command Center에서 발견 항목 보기로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
발견 항목 쿼리 결과 패널에서 발견 항목을 선택합니다.
발견 항목 쿼리 결과 패널의 작업 모음에서 활성 상태 변경을 클릭합니다. 팝업 메뉴가 나타납니다.
활성 상태 변경 팝업 메뉴에서 활성 또는 비활성을 선택합니다.
발견 항목 페이지 구성
발견 항목 페이지에 표시되는 일부 요소를 관리할 수 있습니다.
쿼리 결과 열 조정
발견 항목 쿼리 결과 패널에서 열을 추가하거나 삭제할 수 있습니다.
카테고리를 제외한 모든 열을 삭제할 수 있습니다.
기본적으로 발견 항목 쿼리 결과 패널에는 다음 열이 표시되지만 오른쪽으로 스크롤해야 보일 수 있습니다.
- 카테고리: 발견 항목 유형의 이름입니다.
- 심각도: 발견 항목의 심각도입니다. 발견 항목 심각도 수준에 대한 자세한 내용은 발견 항목의 심각도 분류를 참조하세요.
- 공격 노출 점수: 발견 항목의 공격 노출 점수입니다.
- 이벤트 시간: 발견 항목이 처음 감지된 시간 또는 마지막으로 업데이트된 시간입니다.
- 생성 시간: Security Command Center에서 발견 항목이 생성된 시간입니다.
- 리소스 표시 이름: 문제가 감지된 리소스의 표시 이름입니다.
- 리소스 전체 이름: 문제가 감지된 리소스의 전체 이름입니다.
- 리소스 경로: 문제가 감지된 리소스의 경로입니다.
- 리소스 유형: 문제가 감지된 리소스의 유형입니다.
- 보안 표시: 발견 항목에 추가되는 모든 보안 표시입니다.
- 발견 항목 클래스:
THREAT,VULNERABILITY,MISCONFIGURATION과 같은 발견 항목 클래스입니다.
표시할 발견 항목 열을 선택하려면 다음 단계를 완료하세요.
- 발견 항목 쿼리 결과 작업 모음 오른쪽에 있는 view_column 열을 클릭합니다.
- 표시되는 메뉴에서 표시할 열을 선택합니다.
- 열을 숨기려면 열 이름을 선택 해제합니다.
- 적용을 클릭하여 발견 항목 쿼리 결과 패널에 변경사항을 적용합니다.
프로젝트 또는 조직을 변경하더라도 다음에 발견 항목 페이지를 볼 때 열 선택이 유지됩니다. 모든 커스텀 열 선택을 삭제하려면 열 선택 지우기를 클릭합니다.
발견 항목 페이지 패널 조정
화면에서 쿼리를 수정하거나 발견 항목을 볼 공간을 늘리려면 다음 패널을 접거나 펼치면 됩니다.
- 빠른 필터 패널
- 쿼리 편집기 패널
패널을 접으려면 패널 전환 아이콘, first_page 또는 first_page를 클릭합니다.
패널을 펼치려면 아이콘을 다시 클릭합니다.
Security Command Center팀에 의견 보내기
Google에서는 항상 서비스를 개선할 방법을 찾고 있습니다. 보내주신 의견은 제품을 개선하는 데 사용되며 모든 Security Command Center 사용자를 위한 보다 나은 환경을 만드는 데 도움이 됩니다.
의견을 보내려면 다음 단계를 따르세요.
Security Command Center에서 발견 항목 보기로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
옵션을 클릭하고 의견 보내기를 선택합니다.
다음 단계
- 보안 소스 알아보기
- 보안 표시 사용 방법 알아보기
- Security Command Center 구성 방법 알아보기
- Security Command Center API를 사용하여 발견 항목 필터를 구성하는 방법 알아보기