클라우드 위협 카테고리 개요

다음에서 지원:

이 문서에서는 클라우드 위협 카테고리의 규칙 집합, 필요한 데이터 소스, 각 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성에 대해 간략하게 설명합니다. 이러한 규칙 집합은 Google Cloud 데이터를 사용하는 Google Cloud환경과 AWS 데이터를 사용하는 AWS 환경에서 위협을 식별하는 데 도움을 줄 수 있습니다.

규칙 집합 설명

다음 규칙 집합은 클라우드 위협 카테고리에서 제공됩니다.

CDIR 약어는 Cloud 감지, 조사, 응답을 나타냅니다.

Google Cloud 데이터에 대한 선별된 감지

Google Cloud 규칙 집합은 이벤트 및 컨텍스트 데이터를 사용하여 Google Cloud 환경에서 위협을 식별하는 데 도움이 되며, 다음 규칙 집합을 포함합니다.

  • 관리자 작업: 의심스러운 것으로 간주될 수 있지만 조직 상황에 따라 합법적일 수 있는 관리 활동과 연결된 활동입니다.
  • CDIR SCC 향상된 유출: Security Command Center 유출 발견 항목을 Cloud 감사 로그, Sensitive Data Protection 컨텍스트, BigQuery 컨텍스트, Security Command Center 구성 오류 로그와 같은 다른 로그 소스와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 방어 회피: Security Command Center 회피 또는 방어 회피 발견 항목을 Cloud 감사 로그를 비롯한 다른Google Cloud 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 멀웨어: Cloud DNS 로그를 비롯한 다른 데이터 소스 외에도 IP 주소 및 도메인 어커런스와 보급 점수를 비롯한 데이터와 Security Command Center 멀웨어 발견 항목을 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 지속성: Security Command Center 지속성 발견 항목을 Cloud DNS 로그 및 IAM 분석 로그와 같은 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 권한 에스컬레이션: Security Command Center 권한 에스컬레이션 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 사용자 인증 정보 액세스: Security Command Center 사용자 인증 정보 액세스 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 검색: Security Command Center 검색 에스컬레이션 발견 항목을 Google Cloud 서비스 및 Cloud 감사 로그와 같은 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 무작위 공격: Security Command Center 무작위 에스컬레이션 발견 항목을 Cloud DNS 로그를 비롯한 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 데이터 폐기: Security Command Center 데이터 폐기 에스컬레이션 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 시스템 복구 차단: Security Command Center 시스템 복구 차단 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 실행: Security Command Center 실행 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 초기 액세스: Security Command Center 초기 액세스 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 방어력 손상: Security Command Center 방어력 손상 발견 항목을 Cloud 감사 로그를 비롯한 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 영향: Security Command Center의 영향 발견 항목을 감지하는 규칙을 포함합니다. 심각도는 중요, 높음, 중간, 낮음으로 분류됩니다.
  • CDIR SCC Cloud IDS: Security Command Center의 Cloud Intrusion Detection System 발견 항목을 감지하는 규칙을 포함합니다. 심각도는 중요, 높음, 중간, 낮음으로 분류됩니다.
  • CDIR SCC Cloud Armor: Security Command Center의 Google Cloud Armor 발견 항목을 감지하는 규칙을 포함합니다.
  • CDIR SCC 커스텀 모듈: Security Command Center의 Event Threat Detection 커스텀 모듈 발견 항목을 감지하는 규칙을 포함합니다.
  • Cloud Hacktool: 알려진 공격적인 보안 플랫폼 또는 특정 클라우드 리소스를 대상으로 하는 위협 행위자가 실제 상황에서 사용하는 공격적인 도구나 소프트웨어에서 감지된 활동입니다.
  • Cloud SQL 금전 요구: Cloud SQL 데이터베이스 내부의 데이터 유출 또는 금전 요구와 관련된 활동을 감지합니다.
  • Kubernetes 의심스러운 도구: 오픈소스 Kubernetes 도구에서 정찰 및 악용 동작을 감지합니다.
  • Kubernetes RBAC 악용: 권한 에스컬레이션 또는 측면 이동을 시도하는 역할 기반 액세스 제어(RBAC)의 악용과 연관된 Kubernetes 활동을 감지합니다.
  • Kubernetes 인증서 민감한 작업: 지속성을 설정하거나 권한을 에스컬레이션하는 데 사용할 수 있는 Kubernetes 인증서 및 인증서 서명 요청(CSR) 작업을 감지합니다.
  • IAM 악용: 특정 클라우드 프로젝트 또는 클라우드 조직 내에서 잠재적으로 권한을 에스컬레이션하거나 측면 이동할 수 있는 IAM 역할 및 권한 남용과 관련된 활동입니다.
  • 잠재적 Exfil 활동: 데이터 무단 반출과 관련된 활동을 감지합니다.
  • 리소스 매스커레이딩: 다른 리소스 또는 리소스 유형의 이름 또는 특성으로 생성된 Google Cloud 리소스를 감지합니다. 이렇게 하면 리소스에서 또는 리소스 내에서 수행되며 적법한 의도로 보이는 악의적인 활동을 마스킹하는 데 사용될 수 있습니다.
  • 서버리스 위협 : Cloud Run 및 Cloud Run Functions를 비롯한 Google Cloud에서 서버리스 리소스에 대한 잠재적인 손상 또는 악용과 관련된 활동을 감지합니다.
  • 서비스 중단: 작동 중인 프로덕션 환경에서 수행할 경우 상당한 중단을 초래할 수 있는 파괴적이거나 중단을 유발하는 작업을 감지합니다. 감지된 행동은 일반적이며 테스트 및 개발 환경에서 무해할 가능성이 높습니다.
  • 의심스러운 행동: 대부분의 환경에서 일반적이지 않고 의심스러운 것으로 간주되는 활동입니다.
  • 의심스러운 인프라 변경: 알려진 지속성 전술에 맞는 프로덕션 인프라에 대한 수정을 감지합니다.
  • 약한 구성: 보안 제어의 약화 또는 저하와 관련된 활동입니다. 의심스러운 활동으로 간주되며 조직 사용에 따라 적법한 활동일 수도 있습니다.
  • Chrome에서 잠재적인 내부자 데이터 무단 반출: 데이터 무단 반출 또는 Google Workspace 조직 외부에서 잠재적으로 민감한 정보 손실과 같은 잠재적인 내부자 위협 동작과 관련된 활동을 감지합니다. 여기에는 Chrome에서 30일 기준 대비 비정상으로 간주된 동작이 포함됩니다.
  • Drive에서 잠재적인 내부자 데이터 무단 반출: 데이터 무단 반출 또는 Google Workspace 조직 외부에서 잠재적으로 민감한 정보 손실과 같은 잠재적인 내부자 위협 동작과 관련된 활동을 감지합니다. 여기에는 Drive에서 30일 기준 대비 비정상으로 간주된 동작이 포함됩니다.
  • Gmail에서 잠재적인 내부자 데이터 무단 반출: 데이터 무단 반출 또는 Google Workspace 조직 외부에서 잠재적으로 민감한 정보 손실과 같은 잠재적인 내부자 위협 동작과 관련된 활동을 감지합니다. 여기에는 Gmail에서 30일 기준 대비 비정상으로 간주된 동작이 포함됩니다.
  • 잠재적인 Workspace 계정 침해: 계정이 침해되었을 가능성이 있으며 Google Workspace 조직 내에서 권한 에스컬레이션 시도 또는 측면 이동 시도로 이어질 수 있음을 나타내는 내부자 위협 동작을 감지합니다. 여기에는 30일 기준 대비 드물게 또는 비정상으로 간주되는 동작이 포함됩니다.
  • 의심스러운 Workspace 관리 작업: 관리자를 비롯한 권한이 높은 사용자가 지난 30일 동안 한 번도 보이지 않았던 회피, 보안 다운그레이드 또는 드물고 비정상적인 행동을 나타내는 행동을 감지합니다.

지원되는 기기 및 로그 유형

다음 섹션에서는 클라우드 위협 카테고리의 규칙 집합에 필요한 필수 데이터를 설명합니다.

Google Cloud 서비스의 데이터를 수집하려면 Google SecOps에 대한 Cloud 로그 수집을 참고하세요. 다른 메커니즘을 사용하여 이러한 로그를 수집해야 할 경우 Google SecOps 담당자에게 문의하세요.

Google SecOps는 Google Cloud 서비스의 원시 로그를 파싱하고 정규화하여 이러한 규칙 집합에 필요한 데이터로 UDM 레코드를 만드는 기본 파서를 제공합니다.

지원되는 모든 Google SecOps 데이터 소스 목록은 지원되는 기본 파서를 참고하세요.

모든 규칙 집합

규칙 집합을 사용하려면 Google CloudCloud 감사 로그를 수집하는 것이 좋습니다. 특정 규칙의 경우 고객이 Cloud DNS 로깅을 사용 설정해야 합니다. Google Cloud 서비스가 다음 로그에 데이터를 기록하도록 구성되어 있는지 확인합니다.

Cloud SQL 금전 요구 규칙 집합

Cloud SQL 금전 요구 규칙 집합을 사용하려면 다음 Google Cloud 데이터를 수집하는 것이 좋습니다.

CDIR SCC 향상된 규칙 집합

이름이 CDIR SCC 향상된으로 시작하는 모든 규칙 집합은 다음을 포함한 다른 여러 Google Cloud 로그 소스와 컨텍스트가 연결된 Security Command Center 프리미엄 발견 항목을 사용합니다.

  • Cloud 감사 로그
  • Cloud DNS 로그
  • Identity and Access Management(IAM) 분석
  • Sensitive Data Protection 컨텍스트
  • BigQuery 컨텍스트
  • Compute Engine 컨텍스트

CDIR SCC 향상된 규칙 집합을 사용하려면 다음 Google Cloud 데이터를 수집하는 것이 좋습니다.

  • 모든 규칙 집합 섹션에 나열된 로그 데이터

  • 다음 로그 데이터는 제품 이름 및 Google SecOps 수집 라벨별로 나열되어 있습니다.

    • BigQuery(GCP_BIGQUERY_CONTEXT)
    • Compute Engine(GCP_COMPUTE_CONTEXT)
    • IAM(GCP_IAM_CONTEXT)
    • Sensitive Data Protection(GCP_DLP_CONTEXT)
    • Cloud 감사 로그(GCP_CLOUDAUDIT)
    • Google Workspace 활동(WORKSPACE_ACTIVITY)
    • Cloud DNS 쿼리(GCP_DNS)

  • 다음 Security Command Center 발견 항목 클래스findingClass 식별자 및 Google SecOps 수집 라벨별로 나열됩니다.

    • Threat(GCP_SECURITYCENTER_THREAT)
    • Misconfiguration(GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability(GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error(GCP_SECURITYCENTER_ERROR)

CDIR SCC 향상된 규칙 집합도 Google Cloud 서비스의 데이터에 따라 달라집니다. Google SecOps에 필수 데이터를 전송하려면 다음을 완료해야 합니다.

다음 규칙 집합은 Security Command Center Event Threat Detection, Google Cloud Armor, Security Command Center 민감한 작업 서비스, Event Threat Detection용 커스텀 모듈의 발견 항목이 식별될 때 생성됩니다.

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC 영향
  • CDIR SCC 향상된 지속성
  • CDIR SCC 향상된 방어 회피
  • CDIR SCC 맞춤 모듈

Kubernetes 의심스러운 도구 규칙 집합

Kubernetes 의심스러운 도구 규칙 집합을 사용하려면 모든 규칙 집합 섹션에 나열된 데이터를 수집하는 것이 좋습니다. Google Cloud 서비스가 Google Kubernetes Engine (GKE) 노드 로그에 데이터를 기록하도록 구성되었는지 확인합니다.

Kubernetes RBAC 악용 규칙 집합

Kubernetes RBAC 악용 규칙 집합을 사용하려면 모든 규칙 집합 섹션에 나열된 Cloud 감사 로그를 수집하는 것이 좋습니다.

Kubernetes 인증서 민감한 작업 규칙 집합

Kubernetes 인증서 민감한 작업 규칙 집합을 사용하려면 모든 규칙 집합 섹션에 나열된 Cloud 감사 로그를 수집하는 것이 좋습니다.

Google Workspace 관련 규칙 집합

다음 규칙 집합은 Google Workspace 데이터의 패턴을 감지합니다.

  • Chrome에서 잠재적인 내부자 데이터 무단 반출
  • Chrome에서 잠재적인 내부자 데이터 유출
  • Gmail에서 잠재적인 내부자 데이터 무단 반출
  • 잠재적인 Workspace 계정 침해
  • 의심스러운 Workspace 관리 작업

이러한 규칙 집합에는 제품 이름 및 Google SecOps 수집 라벨로 나열된 다음 로그 유형이 필요합니다.

  • Workspace 활동(WORKSPACE_ACTIVITY)
  • Workspace 알림(WORKSPACE_ALERTS)
  • Workspace Chrome OS 기기(WORKSPACE_CHROMEOS)
  • Workspace 휴대기기(WORKSPACE_MOBILE)
  • Workspace 사용자(WORKSPACE_USERS)
  • Google Chrome 브라우저 클라우드 관리(CHROME_MANAGEMENT)
  • Gmail 로그(GMAIL_LOGS)

필요한 데이터를 수집하려면 다음 단계를 따르세요.

서버리스 위협 규칙 집합

Cloud Run 로그에는 Google SecOps에서 GCP_RUN 로그 유형으로 수집되는 요청 로그 및 컨테이너 로그가 포함됩니다. GCP_RUN 로그는 직접 수집을 사용하거나 피드 및 Cloud Storage를 사용하여 수집할 수 있습니다. 특정 로그 필터와 추가 수집 세부정보는 Google SecOps에 Google Cloud 로그 내보내기를 참고하세요. 다음 내보내기 필터는 직접 수집 메커니즘뿐만 아니라 Cloud Storage 및 싱크를 통해서도 기본 로그와 함께 Google Cloud Cloud Run (GCP_RUN) 로그를 내보냅니다.

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS 규칙 집합에 대한 선별된 감지

이 카테고리의 AWS 규칙 집합은 이벤트 및 문맥 데이터를 사용하여 AWS 환경에서 위협을 식별하는 데 도움이 되며, 다음 규칙 집합을 포함합니다.

  • AWS - 컴퓨팅: EC2 및 Lambda를 비롯한 AWS 컴퓨팅 리소스 주변의 이상 활동을 감지합니다.
  • AWS - 데이터: 공개적으로 사용 가능한 RDS 스냅샷 또는 S3 버킷과 같은 데이터 리소스와 관련된 AWS 활동을 감지합니다.
  • AWS - GuardDuty: 동작, 사용자 인증 정보 액세스, 암호화폐 채굴, 검색, 회피, 실행, 유출, 영향, 초기 액세스, 멀웨어, 침투 테스트, 지속성, 정책, 권한 에스컬레이션 및 무단 액세스에 대한 문맥 인지형 AWS GuardDuty 알림.
  • AWS - Hacktools: 스캐너, 툴킷, 프레임워크와 같은 AWS 환경에서 Hacktools 사용을 감지합니다.
  • AWS - ID: 여러 지리적 위치에서 비정상적인 로그인, 과도한 권한이 부여된 역할 생성, 의심스러운 도구의 IAM 활동 등 IAM 및 인증 활동과 관련된 AWS 활동을 감지합니다.
  • AWS - 로깅 및 모니터링: CloudTrail, CloudWatch, GuardDuty를 비롯한 로깅 및 모니터링 서비스의 사용 중지와 관련된 AWS 활동을 감지합니다.
  • AWS - 네트워크: 보안 그룹 및 방화벽과 같은 AWS 네트워크 설정에 대한 안전하지 않은 변경이 있는 경우 이를 감지합니다.
  • AWS - 조직: 계정 추가 또는 삭제와 같이 조직과 관련된 AWS 활동을 비롯해 리전 사용과 관련된 예기치 않은 이벤트를 감지합니다.
  • AWS - 보안 비밀: KMS 보안 비밀 또는 Secrets Manager 보안 비밀 삭제와 같은 보안 비밀, 토큰, 비밀번호와 관련된 AWS 활동을 감지합니다.

AWS에서 지원되는 기기 및 로그 유형

이러한 규칙 집합은 테스트되었으며, 제품 이름 및 수집 라벨별로 나열된 다음 Google SecOps 데이터 소스에서 지원됩니다.

AWS 데이터 수집 설정에 관한 자세한 내용은 AWS 데이터 수집 구성을 참고하세요.

지원되는 모든 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.

다음 섹션에서는 데이터의 패턴을 식별하는 규칙 집합에 필요한 데이터를 설명합니다.

Amazon Simple Storage Service(Amazon S3) 버킷을 소스 유형으로 사용하거나 선택적으로 Amazon Simple Queue Service(Amazon SQS)와 함께 Amazon S3를 사용하여 AWS 데이터를 수집할 수 있습니다. 대략적으로 다음을 수행해야 합니다.

  • Amazon SQS를 사용하여 로그 데이터를 수집하도록 Amazon S3 또는 Amazon S3를 구성합니다.
  • Amazon S3 또는 Amazon SQS에서 데이터를 수집하도록 Google SecOps 피드 구성

AWS 서비스를 구성하고 AWS 데이터를 수집하도록 Google SecOps 피드를 구성하는 데 필요한 자세한 단계는 Google SecOps에 AWS 로그 수집을 참고하세요.

AWS 관리형 감지 테스트 테스트 규칙을 사용하여 AWS 데이터가 Google SecOps SIEM으로 수집되는지 확인할 수 있습니다. 이러한 테스트 규칙은 AWS 로그 데이터가 예상대로 수집되고 있는지 확인하는 데 도움이 됩니다. AWS 데이터 수집을 설정한 후 AWS에서 테스트 규칙을 트리거하는 작업을 수행합니다.

AWS 관리형 감지 테스트 테스트 규칙을 사용하여 AWS 데이터의 수집을 확인하는 방법에 대한 자세한 내용은 클라우드 위협 카테고리의 AWS 데이터 수집 확인을 참고하세요.

Azure 데이터에 대한 선별된 감지

이 카테고리의 특정 규칙 집합은 Azure 데이터와 함께 작동하여 이벤트 데이터, 컨텍스트 데이터, 알림을 사용하여 Azure 환경에서 위협을 식별하도록 설계되었습니다. 다음이 포함됩니다.

  • Azure - 컴퓨팅: Kubernetes 및 가상 머신 (VM)을 비롯한 Azure 컴퓨팅 리소스와 관련된 이상 활동을 감지합니다.
  • Azure - 데이터: Azure blob 권한, 수정, 테넌트에서 Azure 서비스를 사용하도록 외부 사용자를 초대하는 등 데이터 리소스와 관련된 활동을 감지합니다.
  • Azure - Defender for Cloud: 모든 Azure 클라우드 서비스에서 사용자 동작, 사용자 인증 정보 액세스, 암호화폐 채굴, 검색, 회피, 실행, 유출, 영향, 초기 액세스, 멀웨어, 침투 테스트, 지속성, 정책, 권한 에스컬레이션 또는 무단 액세스와 관련된 문맥 인지형 Microsoft Defender for Cloud에서 수신된 알림을 식별합니다.
  • Azure - Hacktools: Tor 및 VPN 익명화 도구, 스캐너, 레드팀 툴킷을 비롯한 Azure 환경에서 해킹 도구의 사용을 감지합니다.
  • Azure - ID: 인증 및 승인과 관련된 활동을 감지하여 여러 지리적 위치에서의 동시 액세스, 과도한 권한이 부여된 액세스 관리 정책, 의심스러운 도구의 Azure RBAC 활동 등 비정상적인 동작을 나타냅니다.
  • Azure - 로깅 및 모니터링: Azure 내에서 로깅 및 모니터링 서비스의 사용 중지와 관련된 활동을 감지합니다.
  • Azure - 네트워크: 보안 그룹 또는 방화벽, Azure 웹 애플리케이션 방화벽, 서비스 거부 정책 등 Azure 네트워킹 기기 또는 설정에 대한 안전하지 않고 주목할 만한 변경이 있는 경우 이를 감지합니다.
  • Azure - 조직: 구독 및 계정 추가 또는 삭제 등 조직과 관련된 활동을 감지합니다.
  • Azure - 보안 비밀: 보안 비밀, 토큰, 비밀번호와 관련된 활동을 감지합니다 (예: Azure Key Vault 또는 스토리지 계정 액세스 키 수정).

Azure에서 지원되는 기기 및 필수 로그 유형

이러한 규칙 집합은 테스트되었으며, 제품 이름 및 Google SecOps 수집 라벨별로 나열된 다음 데이터 소스에서 지원됩니다.

Azure 및 Microsoft Entra ID 데이터 수집

최대 규칙 범위를 적용하려면 모든 데이터 소스에서 데이터를 수집해야 합니다. 각 소스에서 데이터를 수집하는 방법에 관한 자세한 내용은 다음 문서를 참고하세요.

다음 섹션에서는 사전 정의된 테스트 규칙을 사용하여 Azure 데이터의 수집을 확인하는 방법을 설명합니다.

Azure 데이터 수집 확인

Google SecOps 데이터 수집 및 상태 대시보드를 사용하면 SIEM 수집 기능을 사용하여 Google SecOps에 수집되는 모든 데이터의 유형, 볼륨, 상태에 관한 정보를 확인할 수 있습니다.

Azure 관리형 감지 테스트 테스트 규칙을 사용하여 Azure 데이터의 수집을 확인할 수도 있습니다. 수집을 설정한 후 Azure 포털에서 테스트 규칙을 트리거하는 작업을 수행합니다. Azure 데이터에 선별된 감지를 사용하려면 데이터가 수집되고 예상되는 형식인지 확인해야 합니다.

Azure 관리형 감지 테스트 규칙 사용 설정

  1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  2. 관리형 감지 테스트 > Azure 관리형 감지 테스트를 선택합니다.
  3. 광범위한 규칙과 정확한 규칙에 대한 상태알림을 모두 사용 설정합니다.

테스트 규칙을 트리거하기 위해 사용자 작업 데이터 전송

데이터가 예상대로 수집되는지 확인하려면 사용자를 만들고 로그인하여 이러한 작업이 테스트 규칙을 트리거하는지 확인합니다. Microsoft Entra ID에서 사용자를 만드는 방법에 대한 자세한 내용은 사용자를 만들고, 초대하고, 삭제하는 방법을 참고하세요.

  1. Azure에서 새 Microsoft Entra ID 사용자를 만듭니다.

    1. Azure 포털로 이동합니다.
    2. Microsoft Entra ID를 엽니다.
    3. 추가를 클릭한 후 새 사용자 만들기를 클릭합니다. 다음과 같이 사용자를 정의합니다.
      1. 다음 정보를 입력합니다.
        • 사용자 주 구성원 이름: GCTI_ALERT_VALIDATION
        • 사용자 주 구성원 이름: GCTI_ALERT_VALIDATION
        • 표시 이름: GCTI_ALERT_VALIDATION
      2. 비밀번호 자동 생성을 선택하여 이 사용자의 비밀번호를 자동 생성합니다.
      3. 계정 사용 설정됨 체크박스를 선택합니다.
      4. 검토 + 만들기 탭을 엽니다.
      5. 자동 생성된 비밀번호를 기억합니다. 이 값은 이후 단계에서 사용됩니다.
      6. 만들기를 클릭합니다.
    4. 시크릿 모드에서 브라우저 창을 열고 Azure 포털로 이동합니다.
    5. 새로 만든 사용자 및 비밀번호로 로그인합니다.
    6. 사용자 비밀번호를 변경합니다.
    7. 조직의 정책에 따라 다중 인증 (MFA)에 등록합니다.
    8. Azure 포털에서 로그아웃했는지 확인합니다.

  2. 다음 단계를 따라 Google Security Operations에서 알림이 생성되었는지 확인합니다.

    1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.

    2. 대시보드를 클릭합니다.

    3. 감지 목록에서 다음 규칙이 트리거되었는지 확인합니다.

      • tst_azure_ad_user_creation
      • tst_azure_ad_user_login

  3. 데이터가 전송되고 이러한 규칙이 트리거되었는지 확인한 후 사용자 계정을 비활성화하거나 프로비저닝 해제합니다.

샘플 알림을 보내 테스트 규칙 트리거

다음 단계를 수행하여 Azure에서 샘플 보안 알림을 생성하면 테스트 규칙이 트리거되는지 확인합니다. Microsoft Defender for Cloud에서 샘플 보안 알림을 생성하는 방법에 대한 자세한 내용은 Microsoft Defender for Cloud의 알림 유효성 검사를 참고하세요.

  1. Azure Portal에서 모든 서비스로 이동합니다.
  2. 보안에서 클라우드용 Microsoft Defender를 엽니다.
  3. 보안 알림으로 이동합니다.
  4. 샘플 알림을 클릭한 후 다음을 수행합니다.
    1. 구독을 선택합니다.
    2. Defender for Cloud 요금제에서 모두를 선택합니다.
    3. 샘플 알림 만들기를 클릭합니다.
  5. 테스트 알림이 트리거되는지 확인합니다.
  6. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  7. 대시보드를 클릭합니다.
  8. 감지 목록에서 다음 규칙이 트리거되었는지 확인합니다.
    • tst_azure_activity
    • tst_azure_defender_for_cloud_alerts

Microsoft Graph Explorer에서 GET API 요청을 실행하여 테스트 규칙을 트리거합니다.

다음 단계를 수행하여 Azure에서 샘플 보안 알림을 생성하면 테스트 규칙이 트리거되는지 확인합니다.

  1. Microsoft Graph Explorer로 이동합니다.
  2. 오른쪽 상단에서 적절한 테넌트가 선택되어 있는지 확인합니다.
  3. 쿼리 실행을 클릭합니다.
  4. 테스트 알림이 트리거되는지 확인합니다.
  5. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  6. 대시보드를 클릭합니다.
  7. 감지 목록에서 tst_microsoft_graph_api_get_activity 규칙이 트리거되었는지 확인합니다.

Azure 관리형 감지 테스트 규칙 집합 사용 중지

  1. Google Security Operations에서 감지 > 규칙 및 감지를 클릭하여 선별된 감지 페이지를 엽니다.
  2. 관리형 감지 테스트 > Azure 관리형 감지 테스트 규칙을 선택합니다.
  3. 광범위한 규칙 및 정확한 규칙에 대한 상태알림을 모두 사용 중지합니다.

Office 365 데이터에 대한 선별된 감지

이 카테고리의 Office 365 규칙 집합은 이벤트 및 컨텍스트 데이터를 사용하여 Office 365 환경에서 위협을 식별하는 데 도움이 되며, 다음 규칙 집합을 포함합니다.

  • Office 365 - 관리: 백업 정책 변경, Microsoft Purview, ATP 감지 등 Office 365에서 악성, 의심스러운 활동 및 위험도가 높은 활동을 감지합니다.

  • Office 365 - eDiscovery: 사용자 인증 정보 또는 기타 민감한 정보를 검색하려는 시도를 비롯하여 Office 365 eDiscovery에서 악의적이고 의심스러우며 위험도가 높은 활동을 감지합니다.

  • Office 365 - 이메일: 피싱 시도, 위험한 이메일 설정 변경, 의심스러운 이메일 활동 등 Office 365 이메일에서 악의적이고 의심스러우며 위험도가 높은 활동을 감지합니다.

  • Office 365 - Forms: 피싱 시도, 양식 계정의 상태 업데이트 등 Office 365 Forms에서 악의적이고 의심스러우며 위험도가 높은 활동을 감지합니다.

  • Office 365 - ID: 잠재적인 토큰 도용, 위험한 인증 구성, MFA 공격, 비밀번호 공격, 알려진 해킹 도구 등 ID 및 액세스 관리와 관련된 Office 365의 악의적이고 의심스러우며 위험도가 높은 활동을 감지합니다.

  • Office 365 - Sharepoint 및 OneDrive: Office 365 Sharepoint 및 OneDrive에서 악성, 의심스러운, 위험도가 높은 활동을 감지합니다. 여기에는 멀웨어 업로드, 익명 파일 공유, 사용자 인증 정보 및 금융 데이터 검색이 포함됩니다.

  • Office 365 - Teams: 팀 계정 도용, 녹화 파일 및 스크립트 내보내기 등 Office 365 Teams의 악의적이고 의심스러우며 위험도가 높은 활동을 감지합니다.

Office 365에서 지원되는 기기 및 필수 로그 유형

이러한 규칙 집합은 테스트되었으며, 제품 이름 및 Google SecOps 수집 라벨별로 나열된 다음 데이터 소스에서 지원됩니다.

Okta 규칙 집합의 선별된 감지

이 카테고리의 Okta 규칙 집합은 이벤트 및 컨텍스트 데이터를 분석하여 Okta 환경 내에서 위협을 감지하는 데 도움이 됩니다. 규칙 집합에는 다음이 포함됩니다.

  • Okta: MFA 공격, 무차별 대입 시도, 비밀번호 스프레이, 로그인 이상 등 Okta 플랫폼 내에서 발생하는 다양한 악성 및 의심스러운 활동을 식별합니다.

Okta에서 지원되는 기기 및 필수 로그 유형

이러한 규칙 집합은 테스트되었으며, 제품 이름 및 Google SecOps 수집 라벨별로 나열된 다음 데이터 소스에서 지원됩니다.

규칙 집합에서 반환하는 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목은 규칙 집합 또는 규칙 집합의 특정 규칙에서 이벤트 평가를 제외하는 데 사용되는 기준을 정의합니다. 감지 볼륨을 줄이는 데 도움이 되는 규칙 제외 항목을 하나 이상 만듭니다. 이를 수행하는 방법은 규칙 제외 항목 구성을 참조하세요.

다음 단계

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.