이 페이지에서는 Security Command Center 서비스를 관리하는 권장사항과 제품을 최대한 활용하는 데 유용한 기능을 설명합니다.
Security Command Center는 조직 또는 개별 프로젝트에서 데이터 및 보안 위험을 모니터링할 수 있는 강력한 플랫폼입니다. Security Command Center는 최소한의 구성으로 최대한의 보호를 제공하도록 설계되었습니다. 하지만 플랫폼을 워크플로로 맞춤설정하고 리소스를 보호하기 위해 취할 수 있는 단계가 있습니다.
Security Command Center 프리미엄 등급 사용 설정
Security Command Center 프리미엄 등급에는 표준 등급보다 더 많은 기능이 포함되어 있습니다.
Security Command Center 표준에는Security Health Analytics, 이상 감지, 웹사이트나 애플리케이션 프로젝트에서 공통 취약점과 이상치를 함께 감지하는 Web Security Scanner의 비관리형 스캔이 포함됩니다. 표준 등급에서 Security Health Analytics에는 중간 및 심각도 높음 감지기의 기본 그룹만 포함됩니다.
Security Command Center 프리미엄에는 표준 등급 서비스가 포함되어 있으며 규정 준수 보고, 관리형 Web Security Scanner 스캔, 모든 Security Health Analytics 감지기, 다음과 같은 프리미엄 전용의 기본 제공 서비스가 추가됩니다.
- Rapid Vulnerability Detection미리보기
- Virtual Machine Threat Detection
- Container Threat Detection
- Event Threat Detection
- 보안 상황
Security Command Center 프리미엄에는 취약점 및 잘못된 구성 오류 발견 항목의 우선순위를 지정하는 데 사용할 수 있는 공격 노출 점수와 잠재적 공격자가 가치가 높은 리소스에 액세스하는 방법을 시각화하는 데 도움이 되는 대화형 공격 경로도 포함되어 있습니다.
Google Cloud 콘솔에서 조직 또는 개별 프로젝트에 프리미엄 등급을 직접 활성화할 수 있습니다.
프로젝트 수준 활성화가 있으면 계층에 관계없이 조직 수준의 액세스가 필요한 특정 기능을 사용할 수 없습니다. 자세한 내용은 프로젝트 수준 활성화가 포함된 기능 사용 가능 여부를 참조하세요.
프리미엄 등급 활성화는 조직 수준 구독을 구매하지 않는 한 리소스 소비를 기준으로 요금이 청구됩니다. 자세한 내용은 가격 책정을 참조하세요.
Security Command Center의 두 가지 등급 활성화에 대한 자세한 내용은 Security Command Center 활성화 개요를 참조하세요.
Security Command Center를 사용하여 보안 상태를 개선하는 방법에 대한 자세한 내용은 다음을 참조하세요.
모든 기본 제공 서비스 사용 설정
개별 서비스의 권장사항에 따라 모든 기본 제공 서비스를 사용 설정하는 것이 좋습니다.
Security Command Center가 이미 활성화된 경우 설정 페이지에서 사용 설정된 서비스를 확인할 수 있습니다.
모든 서비스를 사용 중지할 수 있지만 등급의 모든 서비스를 항상 사용 설정된 상태로 유지하는 것이 가장 좋습니다. 모든 서비스를 사용 설정 상태로 유지하면 지속적인 업데이트를 활용하고 새 리소스 및 변경된 리소스에 보호 기능을 제공할 수 있습니다.
프로덕션에서 Rapid Vulnerability Detection 또는 Web Security Scanner를 사용 설정하기 전에 권장사항 정보를 검토하세요.
예를 들어 Rapid Vulnerability Detection은 스캔 중에 관리자 인터페이스 액세스, VM 로그인 시도 등 프로덕션 리소스에 부정적인 영향을 미칠 수 있는 작업을 수행합니다. 프로덕션에 배포하기 전에 비프로덕션 환경에서 리소스를 스캔하는 데 Rapid Vulnerability Detection을 사용하는 것이 좋습니다.
또한 통합 서비스(이상 감지, Sensitive Data Protection, Google Cloud Armor)를 사용 설정하여 타사 보안 서비스를 탐색하고 Event Threat Detection 및 Container Threat Detection용 Cloud Logging을 사용 설정하는 것이 좋습니다. 정보의 양에 따라서는 Sensitive Data Protection 및 Google Cloud Armor 비용이 크게 증가할 수 있습니다. Sensitive Data Protection 비용 관리에 대한 권장사항을 따르고 Google Cloud Armor 가격 책정 가이드를 참조하세요.
Security Command Center 서비스에 대해 자세히 알아보려면 다음 동영상을 시청하세요.
- Event Threat Detection 시작하기
- Container Threat Detection 시작하기
- Web Security Scanner 시작하기
- Security Health Analytics 시작하기
- Security Command Center에서 Cloud Data Loss Prevention 시작하기
Event Threat Detection 로그 사용 설정
Event Threat Detection을 사용하는 경우 Event Threat Detection에서 스캔하는 특정 로그를 사용 설정해야 할 수 있습니다. Cloud Logging 관리자 활동 감사 로그와 같은 일부 로그는 항상 사용 설정되어 있지만 대부분의 데이터 액세스 감사 로그와 같은 다른 로그는 기본적으로 사용 중지되어 있으며 Event Threat Detection이 스캔하기 전에 사용 설정해야 합니다.
사용 설정을 고려해야 하는 로그에는 다음이 포함됩니다.
- Cloud Logging 데이터 액세스 감사 로그
- Google Workspace 로그(조직 수준 활성화만 해당)
사용 설정해야 하는 로그는 다음에 따라 다릅니다.
- 사용 중인 Google Cloud 서비스
- 비즈니스의 보안 요구사항
Logging에서 특정 로그의 수집 및 저장에 대한 요금이 청구될 수 있습니다. 로그를 사용 설정하기 전에 Logging 가격 책정을 검토하세요.
로그가 사용 설정되면 Event Threat Detection이 자동으로 스캔을 시작합니다.
어떤 감지 모듈에 어떤 로그가 필요한지, 어떤 로그를 사용 설정해야 하는지 자세히 알아보려면 사용 설정해야 하는 로그를 참조하세요.
고가치 리소스 세트 정의
가장 중요한 리소스를 노출하는 취약점과 잘못된 구성 오류 발견 항목의 우선순위를 지정하는 데 도움이 되도록 고가치 리소스 집합에 속하는 고가치 리소스를 지정합니다.
고가치 리소스 집합에서 리소스를 노출하는 발견 항목은 공격 노출 점수가 더 높습니다.
리소스 값 구성을 만들어 고가치 리소스 집합에 속하는 리소스를 지정합니다. 첫 번째 리소스 값 구성을 만들 때까지 Security Command Center는 보안 우선순위에 맞춤설정되지 않은 기본 고가치 리소스 집합을 사용합니다.
Google Cloud 콘솔에서 Security Command Center 사용
Google Cloud 콘솔에서 Security Command Center는 Security Command Center API에서 아직 사용할 수 없는 기능 및 시각적 요소를 제공합니다. 직관적 인터페이스, 포맷된 차트, 규정 준수 보고서, 리소스의 시각적 계층 구조 등의 기능을 사용하면 조직에 대한 더욱 유용한 정보를 얻을 수 있습니다. 자세한 내용은 Google Cloud 콘솔에서 Security Command Center 사용을 참조하세요.
API 및 gcloud로 기능 확장
프로그래매틱 방식의 액세스가 필요한 경우 Security Command Center 환경에 액세스하고 제어할 수 있는 Security Command Center API를 사용해 보세요. API 참조 페이지의 패널에서 '이 API 사용해 보기'라는 API 탐색기를 사용하면 API 키 없이 Security Command Center API를 대화형으로 탐색할 수 있습니다. 사용 가능한 메서드와 매개변수를 확인하고 요청을 실행하고 응답을 실시간으로 볼 수 있습니다.
Security Command Center API를 사용하면 분석가 및 관리자가 리소스와 발견 항목을 관리할 수 있습니다. 엔지니어는 이 API를 사용하여 커스텀 보고 및 모니터링 솔루션을 빌드할 수 있습니다. 한 가지 예시로, 솔루션 설계자가 Security Command Center API를 사용하여 Security Command Center에서 정책 컨트롤러 감사 위반을 신고하는 방법을 참조하세요.
커스텀 감지 모듈로 기능 확장
조직의 고유한 요구를 충족하는 감지기가 필요하면 커스텀 모듈을 만드는 것이 좋습니다.
- Security Health Analytics용 커스텀 모듈을 사용하면 취약점, 잘못된 구성, 규정 준수 위반에 대한 자체 감지 규칙을 정의할 수 있습니다.
- Event Threat Detection용 커스텀 모듈을 사용하면 지정한 매개변수를 기반으로 Logging 스트림에서 위협을 모니터링할 수 있습니다.
리소스 검토 및 관리
Security Command Center는 모든 애셋을 Google Cloud 콘솔의 애셋 페이지에 표시합니다. 여기에서 애셋을 쿼리하고 관련 발견 항목, 변경 내역, 메타데이터, IAM 정책을 포함한 관련 정보를 볼 수 있습니다.
애셋 페이지의 애셋 정보는 Cloud 애셋 인벤토리에서 읽어옵니다. 리소스 및 정책 변경사항에 대한 실시간 알림을 받으려면 피드를 만들고 구독합니다.
자세한 내용은 애셋 페이지를 참조하세요.
취약점 및 위협에 신속하게 대응
Security Command Center 발견 항목은 영향을 받는 리소스에 대한 광범위 세부정보와 취약점 및 위협을 조사하고 해결하기 위한 단계별 안내가 포함된 감지된 보안 문제에 대한 기록을 제공합니다.
취약점 발견 항목은 감지된 취약점 또는 잘못된 구성을 설명하고 공격 노출 점수와 예상 심각도를 계산합니다. 취약점 발견 항목은 또한 보안 표준 또는 벤치마크 위반 사실을 알립니다. 자세한 내용은 지원되는 벤치마크를 참조하세요.
Security Command Center 프리미엄을 사용하면 취약점 발견 항목에 취약점의 해당 CVE 레코드를 기준으로 취약점 공격 가능성 및 잠재적 영향에 대한 Mandiant의 정보도 포함됩니다. 이 정보를 사용하여 취약점 해결의 우선순위를 정할 수 있습니다. 자세한 내용은 CVE 영향 및 취약점 공격 가능성에 따른 우선순위 지정을 참조하세요.
위협 발견 항목에는 클라우드 리소스에 대한 공격 기법을 설명하고 해결책 안내를 제공하는 MITRE ATT&CK 프레임워크 및 잠재적 악성 파일, URL, 도메인, IP 주소의 컨텍스트를 제공하는 Alphabet 소유 서비스인 VirusTotal의 데이터가 포함됩니다.
다음 가이드는 문제를 해결하고 리소스를 보호하는 데 도움이 되는 출발점입니다.
- Security Health Analytics 발견 항목 문제 해결
- Web Security Scanner 발견 항목 문제 해결
- Rapid Vulnerability Detection 스캔 발견 항목 및 해결 방법
- 위협 조사 및 대응
발견 항목 볼륨 제어
Security Command Center에서 발견 항목의 볼륨을 제어하려면 수동 또는 프로그래매틱 방식으로 개별 발견 항목을 숨기거나 정의한 필터에 따라 현재 및 이후 발견 항목을 자동으로 숨기는 숨기기 규칙을 만들 수 있습니다.
발견 항목이 숨겨지더라도 감사 및 규정 준수 목적에 따라 계속 로깅됩니다. 언제든 숨겨진 발견 항목을 보고 숨기기 취소할 수 있습니다. 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.
발견 항목 숨기기는 발견 항목 볼륨을 제어하기 위해 가장 효과적이고 권장되는 방법입니다. 또는 보안 표시를 사용하여 애셋을 허용 목록에 추가할 수 있습니다.
각 Security Health Analytics 감지기에는 감지 정책에서 표시된 리소스를 제외할 수 있는 전용 표시 유형이 있습니다. 이 기능은 특정 리소스나 프로젝트에 발견 항목을 만들지 않으려는 경우에 유용합니다.
보안 표시에 대한 자세한 내용은 보안 표시 사용을 참조하세요.
알림 설정하기
알림은 거의 실시간으로 새 발견 항목과 업데이트된 발견 항목을 알리며 이메일 및 채팅 알림을 사용하면 Security Command Center에 로그인하지 않은 상태에서도 이 작업을 수행할 수 있습니다. 자세한 내용은 발견 항목 알림 설정을 참조하세요.
Security Command Center 프리미엄을 사용하면 발견 항목을 Pub/Sub로 내보내는 프로세스를 간소화하는 지속적 내보내기를 만들 수 있습니다.
Cloud Functions 살펴보기
Cloud Functions는 클라우드 서비스를 연결하고 이벤트에 대한 응답으로 코드를 실행할 수 있게 해주는 Google Cloud 서비스입니다. Notifications API 및 Cloud Functions를 사용하여 타사 해결책 및 티켓팅 시스템에 발견 항목을 보내거나 발견 항목을 자동으로 닫는 등 자동화된 작업을 수행할 수 있습니다.
시작하려면 Security Command Center의 Cloud Functions 코드 오픈소스 저장소에 방문합니다. 저장소에는 보안 발견 항목에 대한 자동 작업을 수행하는 데 도움이 되는 솔루션이 포함되어 있습니다.
통신 유지
Security Command Center에서는 새로운 감지기 및 기능이 정기적으로 업데이트됩니다. 출시 노트는 제품 변경사항 및 문서 업데이트에 관한 정보를 제공합니다. 하지만 Google Cloud 콘솔에서 통신 환경설정을 설정하여 이메일이나 모바일로 제품 업데이트 및 특별 프로모션을 받을 수 있습니다. 또한 사용자 설문조사 및 파일럿 프로그램 참여에 관심이 있으면 Google에 알릴 수 있습니다.
의견이나 질문이 있으면 영업 담당자에게 직접 문의하거나 Cloud 지원 담당자에게 문의하거나 버그를 신고하면 됩니다.
다음 단계
Security Command Center 사용 자세히 알아보기
Security Command Center 구성 방법 알아보기