이 페이지는 Cloud Translation API를 통해 번역되었습니다.

위험 분석 빠른 시작 가이드

다음에서 지원:

Google SecOps SIEM

위험 분석 대시보드를 사용하여 비정상적인 동작을 식별하고 항목이 기업에 드리우는 잠재적 위험을 이해하는 방법을 알아보세요. 역할 기반 액세스 제어 (RBAC)를 사용하는 시스템에서는 전역 범위가 있는 사용자만 위험 분석에 액세스할 수 있습니다. 자세한 내용은 사용자 역할을 참고하세요.

위험 분석 대시보드는 다음 섹션으로 구성됩니다.

행동 분석: Google Security Operations 항목 위험 점수 위험 점수에 따라 항목을 나열합니다.
관심 목록: 내부 엔터프라이즈 위험 계산에 따라 항목을 나열합니다.

오른쪽 상단의 위험 계산 기간을 변경하면 위험 분석 대시보드에 표시되는 계산된 위험 점수가 달라집니다. 검색하는 공격 유형에 따라 이 설정을 변경할 수 있습니다. 예를 들어 무차별 대입 공격은 위험 계산 기간을 24시간으로 설정할 때 더 명확하게 드러납니다. 장기 공격을 확인하려면 위험 계산 기간을 7일로 설정하세요.

위험 계산 기간 옆에 있는 날짜 선택기에서 특정 날짜와 시간을 선택하여 이전 위험 점수를 확인할 수 있습니다. 선택한 날짜와 시간에 종료되는 24시간 또는 7일 기간에 대해 계산된 엔티티 위험이 표시됩니다.

시작하기 전에

위험 분석 대시보드로 이동하려면 다음 단계를 따르세요.

탐색 메뉴에서 감지를 클릭합니다.
감지에서 위험 분석을 클릭합니다.

행동 분석

행동 분석은 다음으로 구성됩니다.

행동 분석 페이지는 다음으로 구성됩니다.

요약 측정항목 섹션: Google SecOps 항목 위험 모델링을 기반으로 위험 항목을 조사할 수 있는 위험 분석 대시보드의 최상위 뷰입니다. 최대 10,000개의 항목을 추적할 수 있습니다.
항목: 감지 사용 사례의 측정항목 및 조사 컨텍스트로 항목의 위험을 시간 경과에 따라 추적하는 데 사용되는 기존 위험 점수를 보완하는 표입니다. 엔티티 위험 측정항목이라고도 하는 엔티티는 환경에 있는 요소를 상황에 맞게 표현한 것입니다. 엔티티의 예로는 사용자 계정, 서버, 노트북, 휴대전화가 있습니다. 엔티티 이름을 클릭하여 각 엔티티로 드릴다운할 수 있습니다. 그러면 엔티티 분석 페이지로 이동합니다.

항목에 대한 자세한 내용은 논리적 객체: 이벤트 및 항목을 참고하세요. 위험 점수 계산 방법에 대한 자세한 내용은 위험 점수 계산을 참고하세요.

항목 분석

엔티티 분석 페이지는 오른쪽 상단의 이벤트 범위 창, 결과 타임라인 섹션, 세부 결과 표로 구성됩니다.

위험을 분석할 기간 선택

이벤트 범위 창에서 최대 90일('지난 3개월')의 기간을 선택합니다.
선택에서 선택한 항목의 분석 보기를 클릭합니다. 그러면 선택한 기간 범위 내에 이 항목과 연결된 분석을 보여주는 사이드바가 열립니다. 각 분석에는 기간 범위 내의 모든 분석 값 집계가 표시됩니다.
자세히 보기를 클릭하여 해당 알림 또는 감지 보기를 엽니다. 분석에는 추가 조사를 수행할 수 있는 관련 알림 및 감지 목록이 포함됩니다.

복합 감지 보기

감지 표에는 선택한 기간 내에 발생한 항목의 모든 감지가 표시됩니다. 다음과 같은 경우 알림은 복합 감지입니다.

입력 열에 감지가 소스로 표시됩니다.
감지 유형 열에는 알림 또는 감지 라벨이 옆에 숫자가 표시됩니다 (예: Alert (3)).

이는 원시 이벤트나 엔티티만으로는 알림이 트리거되지 않았으며 감지 또는 감지 체인으로 인해 알림이 트리거되었음을 나타냅니다.

다음 기능을 사용하여 감지 표에서 기본 감지를 확인하고 분석할 수 있습니다.

행을 펼쳐 중첩된 감지, 연결된 이벤트 데이터, 관련 항목 정보를 확인합니다.
열 관리자를 사용하여 표의 열을 선택하고 정렬하여 뷰를 맞춤설정합니다.

자세한 내용은 알림 조사를 참고하세요.

사용 사례

다음은 위험 분석 대시보드의 몇 가지 사용 사례입니다.

사용 사례 1: 다운로드 볼륨이 높음

데이터 다운로드량이 많으면 기밀 정보가 유출될 위험이 있습니다. Google SecOps는 다운로드 볼륨이 높은 항목의 위험 점수를 높게 계산합니다.

사용 사례 2: 의심스러운 로그인 시도 실패 횟수

로그인 시도 실패 횟수가 의심스러울 정도로 많으면 해커나 멀웨어가 사용자 계정에 액세스하려고 시도하고 있음을 나타냅니다. Google SecOps는 로그인 시도 실패 횟수가 의심스러운 엔티티의 고위험 점수를 계산합니다. 하지만 침투 테스트의 일환으로 내부적으로 수행하는 경우 항목 위험 점수를 수정할 수 있습니다.

사용 사례 3: Google을 사칭하는 대화상자 메시지

Chrome 브라우저를 업데이트하라는 Google을 사칭하는 대화상자 메시지는 사용자 계정에 액세스하려고 시도합니다. Google SecOps는 코드에서 이러한 대화상자 메시지가 감지된 항목에 대해 높은 위험 점수를 계산합니다.

다음 단계

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.