플레이북 개요

이 문서에서는 Security Command Center 엔터프라이즈 등급에서 제공되는 플레이북에 대해 간략하게 설명합니다.

개요

Security Command Center에서 플레이북을 사용하면 알림을 탐색 및 강화하고, 발견 항목에 대한 추가 정보를 확인하고, 조직에서 과도한 권한에 대한 권장사항을 확인하고, 위협, 취약점, 구성 오류에 대한 대응을 자동화할 수 있습니다. 티켓팅 시스템과 통합할 때 플레이북은 케이스와 티켓 사이의 동기화를 보장하면서 관련된 상황 발견 항목에 집중하는 데 도움이 됩니다.

Security Command Center 엔터프라이즈 등급은 다음과 같은 플레이북을 제공합니다.

  • 위협 대응 플레이북:
    • AWS 위협 대응 플레이북
    • Azure 위협 대응 플레이북
    • GCP 위협 대응 플레이북
    • Google Cloud – 실행 – 바이너리 또는 라이브러리 로드/실행
    • Google Cloud – 실행 – 암호화폐 채굴
    • Google Cloud – 실행 – 악성 URL 스크립트 또는 셸 프로세스
    • Google Cloud – 멀웨어 – 지표
    • Google Cloud – 지속성 – IAM 비정상 권한 부여
    • Google Cloud – 지속성 – 의심스러운 동작
  • 상황 발견 항목 플레이북:
    • 상황 – 유해한 조합 플레이북
    • 상황 발견 항목 - 일반
    • 상황 발견 항목 – 일반 – VM Manager(기본적으로 사용 중지됨)
    • Jira 포함 상황 발견 항목(기본적으로 사용 중지됨)
    • ServiceNow 포함 상황 발견 항목(기본적으로 사용 중지됨)
  • IAM 권장사항을 처리하기 위한 플레이북:
    • IAM 추천자 대응(기본적으로 사용 중지됨)

기본적으로 사용 중지되는 플레이북은 선택사항입니다. 이를 사용하려면 그전에 보안 운영 콘솔에서 수동으로 사용 설정해야 합니다.

보안 운영 콘솔에서 발견 항목은 케이스 알림이 됩니다. 알림은 연결된 플레이북을 트리거하여 가능한 한 알림에 대한 많은 정보를 검색하고, 위협을 해결하기 위해 구성된 작업 집합을 실행하고, 플레이북 유형에 따라 티켓을 생성하거나 유해한 조합 및 IAM 권장사항을 관리하는 데 필요한 정보를 제공합니다.

위협 대응 플레이북

위협 대응 플레이북을 실행하여 위협을 분석하고, 여러 다른 소스를 사용해서 발견 항목을 강화하고, 해결 대응을 권장하고 적용할 수 있습니다. 위협 대응 플레이북은 Google SecOps, Security Command Center, Cloud 애셋 인벤토리와 같은 여러 서비스와 VirusTotal 및 Mandiant Threat Intelligence와 같은 제품을 사용하여 가능한 한 많은 위협 관련 컨텍스트를 얻을 수 있게 도와줍니다. 플레이북을 통해 환경에서 발견된 위협이 참양성 또는 거짓양성인지 그리고 이에 대한 최적의 대응은 무엇인지 파악할 수 있습니다.

위협 대응 플레이북이 위협에 대한 완전한 정보를 제공하도록 보장하기 위해서는 위협 관리를 위한 고급 구성을 참조하세요.

GCP 위협 대응 플레이북 플레이북은 Google Cloud에서 시작된 위협에 대해 일반 대응을 실행합니다.

AWS 위협 대응 플레이북 플레이북은 Amazon Web Services에서 발생하는 위협에 대한 일반 대응을 실행합니다.

Azure 위협 대응 플레이북 플레이북은 Microsoft Azure에서 발생한 위협에 대한 일반 대응을 실행합니다. 위협을 해결하기 위해 플레이북은 Microsoft Entra ID의 정보를 보강하고 이메일로 대응을 지원합니다.

Google Cloud – 멀웨어 – 지표 플레이북을 사용하면 멀웨어 관련 위협에 대응하고 침해 지표(IoC) 및 영향을 받은 리소스를 보강할 수 있습니다. 해결의 일환으로 플레이북은 의심스러운 인스턴스를 중지하거나 서비스 계정을 사용 중지할 것을 제안합니다.

Google Cloud – 실행 – 바이너리 또는 라이브러리 로드/실행 플레이북은 컨테이너에서 의심스러운 새 바이너리 또는 라이브러리를 처리하는 데 도움이 됩니다. 플레이북은 컨테이너 및 연결된 서비스 계정에 관한 정보를 보강한 후 추가 해결을 위해 할당된 보안 분석가에게 이메일을 보냅니다.

Google Cloud – 실행 - 바이너리 또는 라이브러리 로드/실행 플레이북은 다음 발견 항목에서 작동합니다.

  • 추가된 바이너리가 실행됨
  • 추가된 라이브러리가 로드됨
  • 실행: 추가된 악성 바이너리 실행됨
  • 실행: 추가된 악성 라이브러리가 로드됨
  • 실행: 기본 제공되는 악성 바이너리가 실행됨
  • 실행: 수정된 악성 바이너리 실행됨
  • 실행: 수정된 악성 라이브러리가 로드됨

플레이북이 중점을 두는 발견 항목에 대한 자세한 내용은 Container Threat Detection 개요를 참조하세요.

Google Cloud – 실행 – 암호화폐 채굴 플레이북은 Google Cloud에서 암호화폐 채굴 위협을 감지하고, 영향을 받는 애셋 및 서비스 계정에 대한 정보를 보강하고, 취약점 및 구성 오류 관련 리소스에서 감지된 활동을 조사하는 데 도움이 될 수 있습니다. 플레이북에서는 위협 대응의 일환으로 영향을 받은 컴퓨팅 인스턴스를 중지하거나 서비스 계정을 사용 중지하라고 제안합니다.

Google Cloud – 실행 – 악성 URL 스크립트 또는 셸 프로세스 플레이북을 사용하면 컨테이너에서 의심스러운 활동을 처리하고 전용 리소스 보강을 실행할 수 있습니다. 플레이북은 위협 대응으로 할당된 보안 분석가에게 이메일을 보냅니다.

Google Cloud – 실행 - 악성 URL 스크립트 또는 셸 프로세스 플레이북은 다음 발견 항목에서 작동합니다.

  • 악성 스크립트가 실행됨
  • 악성 URL 관찰
  • 역방향 셸
  • 예기치 않은 하위 셸

플레이북이 중점을 두는 발견 항목에 대한 자세한 내용은 Container Threat Detection 개요를 참조하세요.

Google Cloud – 멀웨어 – 지표 플레이북을 사용하면 Security Command Center에서 감지한 멀웨어 관련 위협을 처리하고 손상되었을 수 있는 인스턴스를 조사할 수 있습니다.

Google Cloud – 지속성 - IAM 비정상적인 권한 부여 플레이북을 사용하면 부여된 권한 집합과 함께 주 구성원에게 의심스러운 권한을 부여한 ID 또는 서비스 계정을 조사하고 문제의 주 구성원을 식별하는 데 도움이 됩니다. 위협 대응으로 플레이북에서는 의심스러운 서비스 계정을 사용 중지하도록 제안하거나, 발견사항과 연결된 서비스 계정이 아닌 사용자인 경우 추가 해결을 위해 할당된 보안 분석가에게 이메일을 보냅니다.

플레이북에 사용된 규칙에 대한 자세한 내용은 Container Threat Detection 개요를 참조하세요.

Google Cloud – 지속성 - 의심스러운 동작 플레이북은 새로운 API 메서드를 사용한 로그인과 같은 의심스러운 사용자 관련 동작의 특정 하위 집합을 처리하는 데 도움이 될 수 있습니다. 플레이북은 위협 대응으로 할당된 보안 분석가에게 이메일을 보내 추가 해결을 진행합니다.

플레이북에 사용된 규칙에 대한 자세한 내용은 Event Threat Detection 개요를 참조하세요.

상황 발견 항목 플레이북

상황 발견 항목 플레이북을 사용해서 멀티 클라우드 상황 발견 항목을 분석하고, Security Command Center 및 Cloud 애셋 인벤토리를 사용해서 이를 강화하고, 케이스 개요 탭에서 수신된 관련 정보를 강조 표시할 수 있습니다. 상황 발견 항목 플레이북은 발견 항목 및 케이스에 대한 동기화가 예상한 대로 작동할 수 있게 해줍니다.

상황 - 유해성 조합 플레이북 플레이북은 유해한 조합을 보강하고, Security Command Center가 유해한 조합 및 관련 발견 항목을 추적하고 처리하는 데 필요한 케이스 태그와 같은 필수 정보를 설정하는 데 도움이 될 수 있습니다.

상황 발견 항목 – 일반 – VM Manager 플레이북은 상황 발견 항목 – 일반 플레이북의 경량 버전으로, Cloud 애셋 인벤토리 보강 단계가 포함되어 있지 않으며 VM Manager 발견 항목에서만 작동합니다.

기본적으로 상황 발견 항목 - 일반 플레이북만 사용 설정됩니다. Jira 또는 ServiceNow와 통합하는 경우 상황 발견 항목 - 일반 플레이북을 사용 중지하고 티켓팅 시스템과 관련된 항목을 사용 설정합니다. Jira 또는 ServiceNow 구성에 대한 자세한 내용은 티켓팅 시스템과 Security Command Center 엔터프라이즈 통합을 참조하세요.

상황 발견 항목 조사 및 강화 외에도 Jira 포함 상황 발견 항목ServiceNow 포함 상황 발견 항목 플레이북은 발견 항목에 표시된 리소스 소유자 값(이메일 주소)이 유효하도록 보장하고 해당 티켓팅 시스템에서 이를 할당할 수 있게 해줍니다. 선택적인 상황 발견 항목 플레이북은 새 티켓을 만들고 새 티켓이 기존 케이스에 수집된 경우 기존 티켓을 업데이트하는 데 필요한 정보를 수집합니다.

IAM 권장사항을 처리하기 위한 플레이북

IAM 추천자 대응 플레이북을 사용하면 IAM 추천자로 제안되는 권장사항을 자동으로 처리하고 적용할 수 있습니다. 이 플레이북은 보강 기능을 제공하지 않으며 티켓팅 시스템과 통합한 경우에도 티켓을 생성하지 않습니다.

IAM 추천자 대응 플레이북을 사용 설정하고 사용하는 방법은 플레이북을 사용하여 IAM 권장사항 자동화를 참조하세요.

다음 단계

플레이북에 대한 자세한 내용은 Google SecOps 문서의 다음 페이지를 참조하세요.