유해한 조합은 특정 패턴에서 함께 발생할 경우 완강한 공격자가 가치가 높은 리소스를 침해할 수 있는 가치가 높은 리소스 하나 이상에 대한 경로를 만드는 보안 문제 그룹입니다.
Security Command Center Enterprise 또는 프리미엄의 위험 엔진은 공격 경로 시뮬레이션을 실행하는 동안 유해한 조합을 감지합니다. 위험 엔진에서 감지하는 유해한 조합마다 발견 사항이 생성됩니다. 각 유해한 조합에는 클라우드 환경의 가치가 높은 리소스 세트에 대한 유해한 조합의 위험을 측정하는 고유한 공격 노출 점수(유해한 조합 점수)가 포함됩니다. 또한 위험 엔진은 유해한 조합에서 가치가 높은 리소스 세트의 리소스에 대해 만드는 공격 경로를 시각화합니다.
초크 포인트는 유해한 조합과 비슷하지만, 여러 공격 경로가 수렴되는 일반 리소스 또는 리소스 그룹에 집중합니다. 따라서 초크 포인트를 해결하면 여러 유해한 조합이 해결될 수 있습니다.
유해한 조합 및 초크 포인트는 다음 클라우드 서비스 제공업체 플랫폼에서 감지됩니다.
- Google Cloud
- Amazon Web Services(AWS). AWS를 사용한 초크 포인트 지원은 프리뷰 상태입니다.
- Microsoft Azure. Microsoft Azure를 사용한 초크 포인트 지원은 프리뷰 상태입니다.
지원되는 리소스 목록은 Risk Engine 기능 지원을 참조하세요.
유해한 조합 및 초크 포인트 보기
Security Command Center Enterprise에서 위험 수준이 가장 높은 유해한 조합과 초크 포인트는 위험 > 개요 페이지에서 문제로 표시됩니다. 유해한 조합은 케이스 페이지에서도 볼 수 있습니다.
Security Command Center Enterprise에서는 위험 > 문제 페이지에서 모든 유해한 조합 및 초크 포인트를 자세히 볼 수 있습니다.
Google Cloud 콘솔에서 유해한 조합 및 초크 포인트와 관련된 발견 사항을 보려면 발견 사항 페이지로 이동하고 유해한 조합 또는 초크 포인트 발견 사항 클래스로 필터링합니다.
유해한 조합 및 초크 포인트와 관련된 발견 사항은 위험 보고서에 포착됩니다. 자세한 내용은 위험 보고서 개요를 참조하세요.
유해한 조합 및 초크 포인트에 대한 공격 노출 점수
위험 엔진은 각각의 유해한 조합 및 초크 포인트에 대해 공격 노출 점수를 계산합니다. 이 점수는 유해한 조합 또는 초크 포인트가 고가치 리소스 세트에서 하나 이상의 리소스를 잠재적 공격에 얼마나 노출하는지를 측정합니다. 점수가 높을수록 위험이 높습니다.
공격 노출 점수 계산
유해한 조합 및 초크 포인트에 대한 공격 노출 점수는 다음 요소를 기반으로 산출됩니다.
- 노출된 가치가 높은 리소스 세트의 리소스 수 및 해당 리소스의 우선순위 값과 공격 노출 점수
- 공격자가 유해한 조합 또는 초크 포인트를 이용해서 고가치 리소스에 도달하는 데 성공할 가능성
공격 노출 점수에 따라 유해한 조합에는 다음 중 하나의 심각도를 할당할 수 있습니다.
- 심각: 공격 노출 점수가 10점 이상인 유해한 조합입니다.
- 높음: 공격 노출 점수가 10점 미만인 유해한 조합입니다.
초크 포인트의 공격 노출 점수는 항상 10점 이상이므로, 심각도 점수가 항상 심각입니다.
자세한 내용은 공격 노출 점수를 참조하세요.
유해한 조합 및 초크 포인트의 공격 경로 시각화
위험 엔진은 고가치 리소스 세트로 이어지는 유해한 조합 및 초크 포인트 공격 경로를 시각적으로 표시합니다. 공격 경로는 잠재적 공격자가 리소스에 도달하기 위해 사용할 수 있는 관련 보안 문제 및 리소스가 포함된 일련의 공격 단계를 나타냅니다.
공격 경로는 유해한 조합 또는 초크 포인트에서 각각의 보안 문제 사이의 관계와 이러한 문제들이 고가치 리소스 세트의 리소스에 대한 경로를 어떻게 형성하는지 이해하는 데 도움을 줍니다. 또한 경로 시각화를 통해 가치가 높은 여러 리소스가 노출되는 방식과 이것이 클라우드 환경에 미치는 상대적인 중요성을 파악할 수 있습니다.
공격 경로의 리소스는 다음과 같이 여러 색상으로 구분됩니다.
- 유해한 조합에 기여하는 보안 문제가 포함된 리소스는 노란색 테두리로 강조 표시됩니다.
- 초크 포인트로 식별된 리소스는 빨간색 테두리로 강조 표시됩니다.
공격 경로는 여러 위치에서 확인할 수 있습니다.
Security Command Center 프리미엄에서는 공격 경로 페이지에서 전체 공격 경로를 볼 수 있습니다. 자세한 내용은 공격 경로를 참조하세요.
Security Command Center Enterprise에서는 다음 위치에서 공격 경로를 간소화된 형태로 볼 수 있습니다.
- 위험 > 개요 페이지에서 가장 위험한 문제 위젯 내 항목
- 위험 > 문제 페이지에서 특정 문제를 선택한 경우. 해당 문제의 개요 탭에서 간소화된 공격 경로에 액세스할 수 있습니다.
- 위험 > 케이스 페이지에서 특정 케이스를 선택한 경우.
케이스 개요 탭에서 간소화된 공격 경로에 액세스할 수 있습니다.
전체 버전의 공격 경로의 보려면 간소화된 버전을 표시한 후 전체 공격 경로 살펴보기를 클릭합니다.
다음 스크린샷은 유해한 조합의 간소화된 공격 경로 예시입니다.
다음 스크린샷은 초크 포인트의 간소화된 공격 경로 예시입니다.
관련 발견 항목
유해한 조합 및 초크 포인트를 구성하는 개별 위험 중 상당수는 다른 Security Command Center 감지 서비스에서도 감지됩니다. 이러한 다른 감지 서비스는 해당 위험 요소에 대해 별도의 발견 사항을 생성하며, 이는 문제 및 케이스에 관련 발견 사항으로 표시됩니다. 관련 발견 사항은 공격 경로에서도 식별됩니다.
유해한 조합의 경우, 관련된 발견 사항에 대해 별도의 케이스가 열리고, 각기 다른 플레이북이 실행됩니다. 이 과정에서 팀 내 다른 구성원들이 해당 유해한 조합 발견 사항의 해결 작업을 독립적으로 수행할 수 있습니다. 이러한 관련 발견 사항 케이스 상태를 확인하고 필요한 경우 케이스 소유자에게 유해한 조합을 해결하는 데 도움이 되도록 해결 우선순위를 지정해 달라고 요청합니다.
케이스
Security Command Center Enterprise는 생성된 각 유해한 조합 발견 사항에 대해 케이스를 엽니다. 초크 포인트는 케이스를 생성하지 않습니다.
케이스 세부정보 보기에서 유해한 조합과 관련된 다음 정보를 찾을 수 있습니다.
- 유해한 조합에 대한 설명
- 유해한 조합의 공격 노출 점수
- 유해한 조합에서 만드는 공격 경로 시각화
- 영향을 받는 리소스에 대한 정보
- 유해한 조합을 해결하는 데 취할 수 있는 단계에 대한 정보
- 관련 케이스에 대한 링크를 포함하여 다른 Security Command Center 감지 서비스에서 발견된 관련 발견 항목에 대한 정보
- 적용 가능한 플레이북
- 연결된 티켓
위험 > 케이스 보안 운영 콘솔 페이지에서 유해한 조합 태그를 사용하여 유해한 조합 케이스를 쿼리하거나 필터링할 수 있습니다. 
아이콘으로 케이스 목록에서 유해한 조합 케이스를 시각적으로 식별할 수도 있습니다.
유해한 조합 케이스를 보는 방법에 대한 자세한 내용은 유해한 조합 케이스 보기를 참조하세요.
케이스 우선순위
기본적으로 유해한 조합 케이스의 우선순위는 해당 유해한 조합의 발견 사항과 관련 케이스에 연결된 알림의 심각도와 동일한 값으로 설정됩니다. 즉, 모든 유해한 조합 케이스의 우선순위는 처음에 Critical 또는 High입니다.
케이스를 연 후, 케이스나 알림의 우선순위를 변경할 수 있습니다. 케이스 또는 알림의 우선순위를 변경해도 발견 사항 심각도는 변경되지 않습니다.
케이스 종료
유해한 조합의 발견 사항이 처음 생성될 때 상태는 Active입니다.
유해한 조합을 해결하면 위험 엔진은 다음 공격 경로 시뮬레이션 중에 자동으로 해결책을 감지하고 케이스를 종료합니다. 시뮬레이션은 약 6시간마다 실행됩니다.
또는 유해한 조합으로 인해 발생한 위험이 허용 가능하거나 방지 가능하다고 결정하면 발견 사항을 숨겨서 케이스를 종료할 수 있습니다.
발견 사항을 숨기면 발견 사항은 활성 상태로 유지되지만 Security Command Center에서 케이스를 종료하고 기본 쿼리와 뷰에서 발견 사항을 생략합니다.
자세한 내용은 다음 정보를 참조하세요.