유해한 조합 관리

이 페이지에서는 케이스 및 발견 항목을 사용하여 유해한 조합을 식별하고 이에 대응하는 방법을 안내합니다.

시작하기 전에

유해한 조합을 정확하게 감지하려면 보안 운영 구성요소 소프트웨어가 최신 상태이고 가치가 높은 리소스 세트가 정확하게 지정되었으며 적절한 IAM 권한이 있는지 확인합니다.

필수 권한 얻기

Google Cloud 콘솔과 보안 운영 콘솔 모두에서 유해한 조합 발견 항목 및 케이스를 사용하려면 두 콘솔 모두에 권한이 부여되어야 합니다.

Google Cloud 콘솔 IAM 역할

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.
  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.
  8. Security Command Center 역할과 권한에 대한 자세한 내용은 조직 수준 활성화를 위한 IAM을 참조하세요.

    보안 운영 콘솔 역할

    보안 운영 콘솔에서 유해한 조합 발견 항목과 케이스를 사용하려면 다음 역할 중 하나가 필요합니다.

    • Chronicle SOAR 취약점 관리자
    • Chronicle SOAR 위협 관리자
    • Chronicle SOAR 관리자

    사용자에게 역할을 부여하는 방법은 IAM을 사용하여 사용자 매핑 및 승인을 참조하세요.

    최신 보안 운영 사용 사례 설치

    유해한 조합 기능을 사용하려면 2024년 6월 25일 이후에 출시된 SCC Enterprise – Cloud 조정 및 해결 버전이 필요합니다.

    사용 사례 설치에 대한 자세한 내용은 Enterprise 사용 사례 업데이트(2024년 6월)를 참조하세요.

    가치가 높은 리소스 세트 지정

    유해한 조합 감지 기능은 항상 적용되므로 사용 설정할 필요가 없습니다. 위험 엔진은 가치가 높은 기본 리소스 세트를 노출하는 유해한 조합을 자동으로 감지합니다.

    가치가 높은 기본 리소스 세트에 따라 생성된 유해한 조합 발견 항목은 보안 우선순위를 정확하게 반영하지 않을 가능성이 높습니다. 따라서 가치가 높은 리소스 세트에 리소스를 지정하는 것이 좋습니다.

    가치가 높은 리소스 세트에 속하는 리소스를 지정하려면 Google Cloud 콘솔에서 리소스 값 구성을 만듭니다. 자세한 내용은 중요도가 높은 리소스 세트 정의 및 관리를 참고하세요.

    유해한 조합 케이스 보기

    보안 운영 콘솔에서 모든 유해한 조합 케이스 개요와 각 케이스의 세부정보를 볼 수 있습니다.

    모든 유해한 조합 케이스 개요 보기

    상황 개요 페이지의 여러 위젯은 Google Cloud 및 Amazon Web Services(AWS)(미리보기) 클라우드 환경의 유해한 조합 케이스에 대한 간단한 개요를 제공합니다. 다음 정보를 확인할 수 있습니다.

    • 모든 상태의 미해결 케이스 또는 유해한 조합의 미해결 케이스: 유해한 조합의 미해결 케이스를 보려면 선택기에서 유해한 조합을 선택합니다. 위젯에 우선순위 수준별로 유해한 조합의 미해결 케이스 수가 표시됩니다. 특정 우선순위 막대를 클릭하여 케이스 목록 보기를 엽니다.

    • 유해한 조합 케이스 TTR 및 추세: 특정 기간 동안 유해한 조합의 미해결 케이스 및 종료된 케이스의 추세입니다. 추세선 위로 포인터를 가져가면 기간 내 특정 데이터 포인트의 미해결 케이스 및 종료된 케이스의 수가 표시됩니다. 이 위젯은 지정된 기간을 기준으로 유해한 조합 케이스를 해결하는 데 걸린 평균 시간을 나타내는 해결 시간(TTR) 값도 제공합니다.

    • 유해한 조합의 주요 케이스: 공격 노출 점수별로 정렬된 유해한 조합의 주요 케이스입니다. 케이스 ID를 클릭하여 케이스를 엽니다.

    • SLA를 초과하는 유해한 조합 케이스: 서비스수준계약 (SLA)에 남은 시간을 기준으로 정렬된 유해한 조합 케이스입니다. 케이스 ID를 클릭하여 케이스를 엽니다.

    다음 URL에서 상황 개요 페이지를 찾을 수 있습니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    유해한 조합 케이스 세부정보 보기

    유해한 조합 케이스의 목록 보기에서 케이스 ID를 클릭하여 케이스 세부정보를 열 수 있습니다.

    1. 보안 운영 콘솔에서 케이스로 이동합니다.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

      나란히 보기 뷰를 선택된 상태에서 케이스 페이지가 열립니다.

    2. 케이스 목록에서 필터 패널 열기 케이스 필터를 클릭하여 필터 패널을 엽니다. 케이스 큐 필터 패널이 열립니다.

    3. 케이스 큐 필터에서 다음을 지정합니다.

      1. 기간 필드에 케이스가 활성 상태인 기간을 지정합니다.
      2. 논리 연산자AND로 설정합니다.
      3. 논리 연산자 섹션의 첫 번째 값에 대해 메뉴에서 태그를 선택합니다.
      4. 두 번째 값에 유해한 조합을 선택합니다.
      5. 필요에 따라 다른 값 쌍을 지정하여 확인해야 하는 특정 케이스를 찾습니다.
      6. 적용을 클릭합니다. 케이스 큐의 케이스가 업데이트되어 지정한 필터와 일치하는 케이스만 표시됩니다.
    4. 케이스 큐에서 확인해야 하는 케이스를 선택합니다. 다음과 같은 탭 뷰를 포함하여 케이스 정보가 표시됩니다.

      • 케이스 개요 탭(케이스): 간소화된 공격 경로 다이어그램, 관련 발견 항목 목록, 영향을 받은 리소스 목록, 유사한 케이스 목록, 알림, 항목 그래프 등을 포함하여 유해한 조합 케이스에 대한 정보를 제공합니다.
      • 케이스 월 탭(벽): 작업, 상태 변경사항, 태스크, 의견 등의 기록이 포함됩니다.
      • 관련 알림 탭: 관련 개별 발견 항목에 관한 자세한 정보를 제공합니다. 다음 탭에 정보가 표시됩니다.

        • 개요: 개별 발견 항목에 대한 설명과 이를 해결하기 위해 취할 수 있는 다음 단계입니다.
        • 이벤트: 발견 항목 속성의 목록입니다.
        • 플레이북: 연결된 플레이북의 목록입니다.

    유해한 조합 케이스 우선순위 지정

    기본적으로 유해한 조합은 심각도가 매우 높은 발견 항목 및 우선순위가 '중요'인 케이스로 분류됩니다. 따라서 다른 상황 발견 항목 카테고리의 케이스 해결보다 우선적으로 처리해야 합니다. 유해한 조합은 완강한 공격자가 클라우드 환경에 대한 액세스 권한을 획득하면 공격자가 합리적으로 공개 인터넷에서 가치가 높은 리소스 세트의 리소스 하나 이상을 추적할 수 있는 완벽한 경로를 나타냅니다.

    Google Cloud 콘솔의 발견 항목 페이지에서 유해한 조합 점수를 비교하여 유해한 조합 케이스 간에 우선순위를 지정합니다. 보안 운영 콘솔에서 상황개요 페이지에 있는 유해한 조합의 주요 케이스 위젯에서 공격 노출 점수가 가장 높은 유해한 조합 케이스를 확인할 수 있습니다.

    케이스 페이지에서 공격 노출 점수를 기준으로 모든 유해한 조합 케이스를 정렬할 수 있습니다. 유해한 조합 케이스 보기, 필터링, 정렬에 대한 자세한 내용은 유해한 조합 케이스 보기를 참고하세요.

    유해한 조합 해결

    보안 운영 콘솔이나 발견 항목 레코드 자체에서 미해결 발견 항목의 케이스에서 유해한 조합 발견 항목 해결에 대한 안내를 확인할 수 있습니다.

    케이스에 대한 해결 안내 보기

    유해한 조합 케이스에 대한 해결 안내를 보려면 다음 단계를 따르세요.

    1. 보안 운영 콘솔에서 케이스 페이지로 이동합니다.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 해결해야 하는 유해한 조합의 케이스를 엽니다.

    3. 케이스 탭이나 알림 탭을 클릭합니다.

    4. 다음 위젯 중 하나에서 다음 단계 섹션을 검토합니다.

      • 케이스 탭을 클릭한 경우 케이스 요약 위젯
      • 알림 탭을 클릭한 경우 발견 항목 요약 위젯

      필요한 경우 발견 항목 설명을 지나 스크롤하여 다음 단계를 확인합니다.

    유해한 조합 발견 항목에 대한 해결 안내 보기

    발견 항목 레코드에서 해결 안내를 보려면 다음 단계를 수행합니다.

    1. 보안 운영 콘솔에서 상황 > 발견 항목.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 빠른 필터를 선택하거나 발견 항목 쿼리를 수정하여 유해한 조합 발견 항목을 찾습니다.

    3. 발견 항목 카테고리 이름을 클릭하여 발견 항목 세부정보를 엽니다. 발견 항목 세부정보 페이지가 열립니다.

    4. 요약 탭의 다음 단계 섹션에 있는 발견 항목 세부정보 페이지에서 해결 안내를 검토합니다.

    유해한 조합 케이스의 발견 항목 검토

    일반적으로 유해한 조합에는 소프트웨어 취약점이나 잘못된 구성에 대한 발견 항목이 하나 이상 포함됩니다. 이러한 발견 항목마다 Security Command Center는 자동으로 별도의 케이스를 열고 관련된 플레이북을 실행합니다. 이러한 발견 항목에 대한 케이스를 검토하고 유해한 조합이 해결되도록 티켓 소유자에게 해결책 우선순위를 지정해 달라고 요청합니다.

    유해한 조합의 발견 항목을 검토하려면 다음 단계를 수행합니다.

    1. 보안 운영 콘솔에서 케이스로 이동합니다.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 유해한 조합 케이스를 찾아 엽니다.

    3. 케이스 개요 탭(케이스)을 선택합니다.

    4. 케이스 개요 탭의 발견 항목 섹션에서 나열된 발견 항목을 검토합니다.

    5. 발견 항목을 클릭하여 발견 항목에 대한 요약 정보를 표시하고 케이스 ID, 공격 노출 점수, 발견 항목의 티켓 ID를 포함합니다.

      • 발견 항목의 케이스 ID를 클릭하여 케이스를 열고 해당 상태, 할당된 소유자, 기타 케이스 정보를 봅니다.
      • 공격 노출 점수를 클릭하여 발견 항목의 공격 경로를 검토합니다.
      • 티켓 ID를 클릭하여 발견 항목의 티켓을 엽니다.

    유해한 조합 케이스 종료

    Google Cloud 콘솔에서 기본 유해한 조합을 해결하거나 유해한 조합 발견 항목을 숨겨 유해한 조합 케이스를 종료할 수 있습니다.

    유해한 조합을 해결하여 케이스 종료

    유해한 조합을 일으키는 보안 문제 하나 이상을 해결한 후 가치가 높은 리소스 세트의 리소스가 더 이상 노출되지 않도록 위험 엔진은 새 공격 경로 시뮬레이션 중에 자동으로 유해한 조합 케이스를 종료합니다. 이 시뮬레이션은 약 6시간마다 실행됩니다.

    유해한 조합을 해결하려면 다음 단계에서 유해한 조합 케이스에 제공된 안내를 따릅니다.

    자세한 내용은 유해한 조합 해결 방법을 참조하세요.

    발견 항목을 숨겨 케이스 종료

    유해한 조합으로 인한 위험이 비즈니스에 허용 가능한 수준이거나 유해한 조합을 해결할 수 없는 경우에는 유해한 조합 발견 항목을 숨겨 케이스를 종료할 수 있습니다.

    유해한 조합 발견 항목을 숨기려면 다음 단계를 수행합니다.

    1. 보안 운영 콘솔에서 케이스로 이동합니다.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 유해한 조합 케이스를 찾아 엽니다.

    3. 관련 알림 탭을 클릭합니다.

    4. 발견 항목 요약 위젯에서 SCC에서 발견 항목 탐색을 클릭합니다. 유해한 조합 발견 항목이 열립니다.

    5. 발견 항목 세부정보 페이지의 숨기기 옵션을 사용하여 발견 항목을 숨깁니다.

    Google Cloud 콘솔에서 발견 항목을 숨길 수도 있습니다. 자세한 내용은 개별 발견 항목 숨기기를 참조하세요.

    종료된 유해한 조합 케이스 보기

    보안 운영 콘솔에서 케이스가 종료되면 Security Command Center가 케이스 페이지에서 케이스를 삭제합니다.

    유해한 조합 케이스를 보려면 다음 단계를 수행합니다.

    1. 보안 운영 콘솔에서 SOAR 검색 페이지로 이동합니다.

      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 상태 섹션을 펼치고 종료됨을 선택합니다.

    3. 태그 섹션을 펼친 다음 유해한 조합을 선택합니다.

    4. 적용을 클릭합니다. 종료된 모든 유해한 조합 케이스가 검색 결과에 표시됩니다.

    유해한 조합 발견 항목 보기

    유해한 조합 발견 항목은 위험 엔진이 클라우드 환경에서 유해한 조합을 감지할 때 생성하는 초기 레코드입니다. Security Command Center는 Risk Engine에서 발행하는 각 유해한 조합 발견 항목에 대한 케이스를 자동으로 엽니다.

    Google Cloud 콘솔의 위험 개요 페이지 또는 발견 항목 페이지에서 유해한 조합 발견 항목을 직접 확인할 수 있습니다.

    위험 개요 페이지에는 공격 노출 점수가 가장 높은 유해한 조합 발견 항목이 표시됩니다. 각 발견 항목은 보안 운영 콘솔의 해당 케이스에 대한 링크와 함께 나열됩니다.

    유해한 조합 발견 항목을 보려면 다음 단계를 따르세요.

    1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

      발견 항목으로 이동

    2. 필요한 경우 Google Cloud 조직을 선택합니다.

    3. 빠른 필터 패널의 발견 항목 클래스 섹션에서 유해한 조합을 선택합니다. 발견 항목 쿼리 결과 패널이 업데이트되어 유해한 조합 발견 항목만 표시됩니다.

    4. 유해한 조합 발견 항목에 우선순위를 지정하려면 유해한 조합 점수 열 제목을 클릭하여 발견 항목을 점수 기준 내림차순으로 정렬합니다.