콘솔에서 발견 항목 작업

이 페이지에서는 Google Cloud 콘솔 및 Security Operations 콘솔에서 Security Command Center 발견 항목을 사용하는 방법을 설명합니다.

발견 항목은 Security Command Center 서비스가 보안 문제를 감지할 때 생성하는 보안 문제에 대한 기록입니다. 발견 항목은 발견 항목 페이지에 나열됩니다. 개별 발견 항목을 클릭하여 세부정보와 전체 JSON 형식을 볼 수 있습니다.

발견 항목 페이지에서 수행할 수 있는 작업에는 다음과 같은 것들이 있습니다.

• 발견 항목 쿼리
• 발견 항목 검사
• 발견 항목 숨기기
• 발견 항목에 보안 표시 추가

Security Command Center API로 발견 항목을 사용하는 방법에 대한 자세한 내용은 프로그래매틱 방식으로 Security Command Center 액세스를 참조하세요.

Security Command Center Enterprise 콘솔에서 발견 항목 작업

Security Command Center Enterprise 고객은 두 콘솔에서 발견 항목으로 작업할 수 있습니다.

• Google Cloud 콘솔: 모든 서비스 등급에서 사용 가능
• Security Operations 콘솔: Enterprise 등급에서만 사용 가능

Security Operations 콘솔의 발견 항목 페이지는 미리보기 상태입니다.

이 페이지에는 두 콘솔에서 발견 항목으로 작업하는 단계가 별도의 탭에 나란히 설명되어 있습니다.

자세한 내용은 Security Command Center Enterprise 콘솔을 참조하세요.

필수 권한 얻기

이 섹션에는 콘솔에서 발견 항목 작업에 필요한 IAM 역할이 나와 있습니다.

Google Cloud 콘솔 IAM 역할

Google Cloud 콘솔에서 발견 항목로 작업하려면 다음 IAM 역할이 필요합니다.

조직에 다음 역할이 있는지 확인합니다.

• Security Center Findings Viewer (roles/securitycenter.findingsViewer)
• Security Center Findings Editor (roles/securitycenter.findingsEditor)

Security Command Center 역할과 권한에 대한 자세한 내용은 조직 수준 활성화를 위한 IAM을 참조하세요.

Security Operations 콘솔 IAM 역할

Security Command Center Enterprise 고객인 경우 Security Operations 콘솔에서 발견 항목 작업을 할 수 있습니다. 다음 IAM 역할이 필요합니다.

• Chronicle SOAR 관리자(roles/chronicle.soarAdmin)
• Chronicle SOAR 위협 관리자(roles/chronicle.soarThreatManager)
• Chronicle SOAR 취약점 관리자(roles/chronicle.soarVulnerabilityManager)

사용자에게 역할을 부여하는 방법은 IAM을 사용하여 사용자 매핑 및 승인을 참조하세요.

발견 항목 보기

발견 항목 페이지 찾기에 대한 자세한 내용을 보려면 사용 중인 콘솔의 탭을 클릭하세요.

https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

기간을 조정해 더 많은 발견 항목 보기

쿼리에 사용되는 기간을 조정할 수 있습니다. 기본 시간 범위는 Last 7 days입니다.

시간 범위는 발견 항목의 eventTime 속성 값을 기준으로 하며, 이 값은 발견 항목 레코드가 마지막으로 업데이트된 시간을 반영합니다.

기간 조정 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭하세요.

발견 항목 가용성

일반적으로 발견 항목을 생성하는 서비스가 발견 항목을 Security Command Center 발견 항목 데이터베이스에 저장한 후 1분 이내에 Security Command Center에서 발견 항목을 쿼리할 수 있습니다. 프리미엄 및 엔터프라이즈 등급 발견 항목은 최소 13개월 동안 쿼리에 사용할 수 있습니다. 표준 등급 발견 항목은 최소 35일 동안 계속 사용할 수 있습니다.

Security Command Center는 각 발견 항목의 스냅샷을 하나 이상 저장합니다. 프리미엄 또는 엔터프라이즈 등급 발견 항목의 스냅샷은 eventTime 필드의 타임스탬프로부터 13개월 후에 삭제됩니다. 발견 항목의 모든 스냅샷이 삭제되면 더 이상 발견 항목을 쿼리하거나 복구할 수 없습니다.

Security Command Center 데이터 보관에 대한 자세한 내용은 데이터 보관을 참조하세요.

특정 발견 항목 찾기 및 보기

기본적으로 발견 항목 페이지에는 지난 7일 동안 신규 또는 업데이트되었으며 숨김 처리되지 않은 모든 활성 발견 항목이 표시됩니다.

특정 발견 항목을 보려면 발견 항목 쿼리를 수정하여 확인해야 하는 발견 항목에 포함되거나 포함되지 않아야 하는 값 또는 속성을 지정합니다.

다음 예시는 기본 발견 항목 쿼리입니다.

state="ACTIVE"
AND NOT mute="MUTED"

쿼리 편집기 패널에서 현재 발견 항목 쿼리를 볼 수 있습니다. 쿼리를 직접 수정하거나 사전 정의된 필터를 선택하여 쿼리를 빌드할 수 있습니다. 자세한 내용을 보려면 사용 중인 콘솔의 탭을 클릭합니다.

발견 항목 세부정보 보기

발견 항목에 대해 자세히 알아보려면 발견 항목 쿼리 결과 패널의 카테고리 열에서 발견 항목 이름을 클릭하여 발견 항목의 상세 뷰를 엽니다.

세부정보 뷰에서 발견 항목을 이해하거나, 위협을 조사하거나, 취약점을 해결하는 데 중요한 정보를 찾을 수 있습니다.

발견 항목의 세부정보 뷰에 포함된 다음 탭을 선택하면 발견 항목에 대해 자세히 알아보고 조치를 취할 수 있습니다.

• 기본 뷰인 요약 탭에는 발견 항목에 대한 주요 정보 및 속성이 강조표시되어 있습니다.
• 소스 속성 탭에서는 발견 항목 JSON의 sourceProperties 객체 속성을 볼 수 있습니다.
• JSON 탭에서는 발견 항목의 전체 JSON 형식을 볼 수 있습니다.

세부정보 뷰에서 발견 항목에 대한 특정 작업을 수행할 수 있으며 발견 항목과 관련된 추가 정보의 링크도 찾을 수 있습니다.

세부정보 뷰에서 발견 항목 알아보기

발견 항목의 세부정보 뷰에는 내재된 보안 문제를 이해하고 해결하는 데 사용할 수 있는 발견 항목에 대한 중요한 정보가 강조표시됩니다.

요약 탭에 있는 정보

요약 탭은 다음과 같은 섹션에서 발견 항목에 대한 정보를 제공합니다.

감지된 항목(또는 개요)

감지된 발견 항목에 대한 다음과 같은 세부정보입니다.

• 발견 항목 심각도
• 발견 항목 상태(ACTIVE 또는 INACTIVE)
• 특정 발견 항목과 관련된 모든 주요 필드

취약점

취약점에 해당하는 CVE 레코드의 정보입니다(있는 경우). 취약점 섹션에는 다음과 같은 CVE 레코드의 정보가 포함됩니다.

• CVE ID
• CVE 점수
• 영향
• 취약점 공격 활동

공격 노출

공격 노출 점수 및 점수가 마지막으로 계산된 시간입니다. 점수를 클릭하면 영향을 받는 고가치 리소스와 관련 공격 경로를 시각적으로 볼 수 있습니다.

영향을 받는 리소스

발견 항목과 연결된 리소스에 대한 세부정보로서 다음 정보가 포함됩니다.

• 영향을 받는 리소스의 전체 이름
• 리소스의 클라우드 서비스 제공업체
• 기술 및 보안 담당자

케이스 정보

발견 항목과 연결된 케이스에 대한 세부정보로서 다음 정보가 포함됩니다.

• 발견 항목과 연결된 외부 시스템의 전체 리소스 이름
• 케이스에 할당된 그룹
• Security Operations 콘솔에서 케이스에 연결되는 케이스 ID
• 케이스 상태
• 외부 케이스 관리 시스템의 업데이트 시간
• 케이스 종료 커밋 기한

보안 표시

이 발견 항목과 연결된 보안 표시(있는 경우)입니다.

다음 단계

감지된 문제를 해결하기 위해 취할 수 있는 조치에 대한 지침입니다. Security Health Analytics와 같은 특정 서비스만 다음 단계를 제공합니다.

관련 링크

Security Command Center 외부의 주요 보안 정보 소스에 대한 링크입니다. Event Threat Detection과 같은 특정 서비스만 관련 링크를 제공합니다.

감지 서비스

발견 항목을 감지한 서비스 또는 소스에 대한 세부정보입니다.

소스 속성 탭에 있는 정보

일부 발견 항목의 경우 세부정보 패널에 발견 항목 JSON의 sourceProperties 객체에서 특정 속성을 강조표시하는 소스 속성 탭이 포함되어 있습니다.

소스 속성은 Security Command Center에서 실행되는 각 발견 항목 및 서비스마다 다릅니다. 소스 속성이 모든 서비스에서 표준화된다는 보장은 없습니다. 따라서 프로그래매틱 방식으로 소스 속성을 사용하지 않는 것이 좋습니다. 소스 속성을 모든 서비스에서 표준화하려면 의견을 전송하여 알려주세요.

JSON 탭에 있는 정보

JSON 탭에는 발견 항목의 전체 JSON 구조가 포함되어 있습니다. 이는 발견 항목을 조사하거나 발견 항목 쿼리에서 사용할 수 있는 속성을 찾을 때 유용할 수 있습니다.

JSON 객체를 클립보드에 복사하려면 content_copy 복사를 클릭합니다.

발견 항목의 JSON 구조에는 다음 객체가 포함됩니다.

• findings: 발견 항목의 속성입니다. 이러한 속성은 모든 기본 제공 통합 서비스(보안 소스라고도 함)에 표준화됩니다. 자세한 내용은 Finding를 참조하세요.
• resource: 영향을 받는 리소스의 속성입니다. 자세한 내용은 Resource를 참조하세요.
• sourceProperties: 발견 항목의 서비스별 속성입니다.

ListFindings API를 사용하여 발견 항목을 나열하고 JSON 정의를 가져올 수도 있습니다.

세부정보 뷰에서 발견 항목에 조치 취하기

발견 항목의 세부정보 뷰에서 발견 항목 숨기기와 같이 발견 항목에 대해 여러 작업을 수행할 수 있습니다. Google Cloud 콘솔에서 발견 항목의 세부정보 뷰를 보고 있는 경우 발견 항목의 속성을 현재 발견 항목 쿼리에 추가할 수도 있습니다.

세부정보 뷰에서 발견 항목 숨기기

발견 항목의 세부정보 뷰에서 발견 항목을 숨기거나 숨기기 취소할 수 있습니다. 현재 발견 항목과 같은 모든 향후 발견 항목을 숨기는 규칙을 만들 수도 있습니다.

발견 항목 숨기기 또는 숨기기 규칙 만들기에 대한 자세한 안내는 Security Command Center에서 발견 항목 숨기기를 참조하세요.

세부정보 뷰에서 쿼리에 속성 필터 추가

Google Cloud 콘솔의 발견 항목 세부정보 뷰에서 표시된 속성의 필터를 현재 발견 항목 쿼리에 추가할 수 있습니다.

세부정보 뷰에서 쿼리에 속성 필터를 추가하는 방법에 대한 자세한 내용을 보려면 사용 중인 콘솔에서 탭을 클릭하세요.

발견 항목의 세부정보 뷰에서 속성 API 이름 보기 또는 복사

Google Cloud 콘솔에 표시되는 대부분의 발견 항목 속성에는 Security Command Center API에서 사용되는 해당 이름이 있습니다.

발견 항목의 세부정보 뷰에서 속성 API 이름을 보거나 복사하는 방법을 보려면 사용 중인 콘솔의 탭을 클릭하세요.

Google Cloud 콘솔

1. 발견 항목 페이지에서 발견 항목을 클릭하여 세부정보를 확인합니다.
2. 발견 항목의 세부정보 뷰에서 표시된 각 발견 항목 속성의 해당 API 이름을 찾고 복사할 수 있습니다.

Security Operations 콘솔

1. 발견 항목 페이지에서 발견 항목을 클릭하여 세부정보를 확인합니다.
2. 발견 항목의 세부정보 뷰에서 API와 동등한 항목을 복사하려는 속성을 찾습니다.
3. 속성 옆의 드롭다운 메뉴를 엽니다.
4. 상응하는 API 복사를 클릭합니다.

이 기능은 미리보기 상태이며 Security Command Center Enterprise 고객만 사용할 수 있습니다.

발견 항목의 세부정보 뷰 공유

발견 항목의 세부정보 보기를 공유하려면 다른 사용자와 공유하기 위해 세부정보 보기 페이지의 URL을 복사합니다.

발견 항목의 세부정보 보기 URL을 복사하는 방법을 보려면 사용 중인 콘솔의 탭을 클릭하세요.

Google Cloud에 발견 항목에 대한 의견 보내기

발견 항목에 대한 의견을 보내는 방법을 보려면 사용 중인 콘솔의 탭을 클릭하세요.

발견 항목 쿼리 결과에 다른 발견 항목의 세부정보 표시

지금 보고 있는 발견 항목 앞 또는 뒤에 있는 발견 항목의 세부정보를 보려면 navigate_next 다음 또는 navigate_before 이전 버튼을 사용하여 발견 항목 페이지로 돌아가지 않고도 다음 또는 이전 발견 항목으로 이동할 수 있습니다.

발견 항목에 보안 표시 추가

보안 표시는 발견 항목을 주석 처리하고, 보안 표시를 공유하는 다른 발견 항목과 발견 항목을 연결하고, 발견 항목을 쿼리하는 데 사용할 수 있는 커스텀 키-값 라벨입니다.

발견 항목 또는 애셋에 보안 표시를 설정하는 자세한 방법은 보안 표시 사용을 참조하세요.

콘솔에서 발견 항목 숨기기

다음 뷰에서 발견 항목을 숨기거나 숨기기 취소할 수 있습니다.

• 발견 항목 페이지의 발견 항목 쿼리 결과
• 발견 항목 세부정보 보기

개별 발견 항목을 숨기거나 정의한 필터에 따라 현재 및 이후 발견 항목을 숨기는 숨기기 규칙을 만들 수 있습니다.

발견 항목이 숨겨지더라도 발견 항목 쿼리에 mute="MUTED" 필터를 추가하여 숨겨진 발견 항목을 볼 수 있습니다. 숨겨진 발견 항목은 감사 및 규정 준수 목적으로 계속 로깅됩니다.

발견 항목을 숨기거나 숨기기 취소하는 방법에 대한 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.

발견 항목 상태 변경

발견 항목은 두 가지 상태, 즉 Active 또는 Inactive 중 하나일 수 있습니다.

Active 상태는 발견 항목에서 식별된 보안 문제가 사용자 환경에서 잠재적인 위협 또는 취약점으로 지속됨을 의미합니다.

Inactive 상태는 보안 문제가 해결되었음을 의미합니다.

발견 항목 상태가 처리되는 즉시 Inactive로 상태를 변경하는 등 다양한 이유로 발견 항목 상태를 변경해야 할 수 있으므로 다음 스캔에서 상태를 변경할 때까지 기다릴 필요가 없습니다.

발견 항목 상태를 변경하는 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭하세요.

발견 항목 페이지 맞춤설정

화면 공간을 관리하기 위해 발견 항목 쿼리 결과에 표시되는 일부 요소를 맞춤설정할 수 있습니다.

쿼리 결과 열 조정

발견 항목 쿼리 결과에서 열을 추가하거나 삭제할 수 있습니다.

카테고리를 제외한 모든 열을 삭제할 수 있습니다.

다음은 사용 가능한 열의 예시입니다.

• 카테고리: 발견 항목 유형의 이름입니다.
• 심각도: 발견 항목의 심각도입니다. 발견 항목 심각도 수준에 대한 자세한 내용은 발견 항목의 심각도 분류를 참조하세요.
• 유해성 조합 점수: Toxic combination 클래스 발견 항목에 대한 공격 노출 점수입니다.
• 공격 노출 점수: 발견 항목의 공격 노출 점수입니다.
• 이벤트 시간: 발견 항목이 처음 감지된 시간 또는 마지막으로 업데이트된 시간입니다.
• 생성 시간: Security Command Center에서 발견 항목이 생성된 시간입니다.
• 발견 항목 클래스: THREAT, VULNERABILITY, MISCONFIGURATION과 같은 발견 항목 클래스입니다.
• 리소스 표시 이름: 문제가 감지된 리소스의 표시 이름입니다.
• 리소스 전체 이름: 문제가 감지된 리소스의 전체 이름입니다.
• 리소스 클라우드 제공업체: 리소스가 호스팅되는 클라우드 서비스 제공업체입니다.
• 리소스 경로: 문제가 감지된 리소스의 경로입니다.
• 리소스 유형: 문제가 감지된 리소스의 유형입니다.
• 보안 표시: 발견 항목에 추가되는 모든 보안 표시입니다.

발견 항목 쿼리 결과 열을 조정하는 방법에 대한 자세한 내용을 보려면 사용 중인 콘솔의 탭을 클릭하세요.

발견 항목 페이지 패널 숨기기 또는 표시

발견 항목 페이지 패널을 조정하는 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭하세요.

다음 단계

• 감지 서비스 알아보기
• 보안 표시 사용 방법 알아보기
• Security Command Center 구성 방법 알아보기
• Security Command Center API를 사용하여 발견 항목 필터를 구성하는 방법 알아보기