알림 및 IoC 보기

다음에서 지원:

알림 및 IoC 페이지에는 기업에 영향을 미치는 모든 알림과 침해 지표 (IoC)가 표시됩니다. 알림 및 IoC 페이지에 액세스하려면 탐색 메뉴에서 감지 > 알림 및 IoC를 클릭합니다.

이 페이지에는 알림 탭과 IOC 일치 탭이 포함되어 있습니다.

  • 알림 탭을 사용하여 기업의 현재 알림을 확인합니다.

    알림은 보안 인프라, 보안 담당자 또는 Google Security Operations 규칙에 의해 생성될 수 있습니다.

    데이터 RBAC가 사용 설정된 시스템에서는 할당된 범위와 연결된 규칙에서 발생한 알림 및 감지만 볼 수 있습니다. 자세한 내용은 데이터 RBAC가 감지에 미치는 영향을 참조하세요.

  • IoC 일치 탭을 사용하여 의심스러운 것으로 표시되어 기업에서 확인된 IoC를 확인합니다.

    Google SecOps는 인프라 및 기타 보안 데이터 소스의 데이터를 지속적으로 수집하고 의심스러운 보안 표시기를 보안 데이터와 자동으로 연결합니다. 일치 항목이 발견되면 (예: 기업 내에서 의심스러운 도메인이 발견됨) Google SecOps에서 이벤트에 IoC 라벨을 지정하고 IoC 일치 항목 페이지에 표시합니다. 자세한 내용은 Google SecOps에서 IoC를 자동으로 매칭하는 방법을 참고하세요.

    데이터 RBAC가 사용 설정된 시스템에서는 액세스 권한이 있는 애셋의 IoC 일치 항목만 볼 수 있습니다. 자세한 내용은 데이터 RBAC가 침해 분석 및 IoC에 미치는 영향을 참고하세요.

    신뢰도 점수, 심각도, 피드 이름, 카테고리와 같은 IoC 세부정보도 IoC 일치 대시보드에서 확인할 수 있습니다.

알림 보기

알림 페이지에는 지정된 날짜 및 시간 범위 내에 기업에서 감지된 알림 목록이 표시됩니다. 이 페이지에서 심각도, 우선순위, 위험 점수, 결과와 같은 알림 정보를 한눈에 볼 수 있습니다. 색상으로 구분된 아이콘과 기호를 사용하면 즉시 주의가 필요한 알림을 빠르게 식별할 수 있습니다.

필터기간 설정 기능을 사용하여 표시되는 알림 목록을 좁힐 수 있습니다.

열 관리자 (이 페이지의 섹션 링크 삽입)를 사용하여 페이지에 표시할 열을 지정합니다. 목록을 오름차순 또는 내림차순으로 정렬할 수도 있습니다.

알림을 펼쳐 이벤트 타임스탬프, 유형, 요약을 확인합니다.

목록에서 알림 이름을 클릭하여 알림 뷰로 피벗하고 알림과 해당 상태에 대한 추가 정보를 확인합니다.

복합 감지로 생성된 알림

알림은 이벤트, 측정항목 또는 엔티티 위험 신호와 결합된 다른 규칙의 출력 (감지)을 사용하는 복합 규칙을 사용하는 복합 감지에 의해 생성될 수 있습니다. 이러한 규칙은 개별 규칙에서 놓칠 수 있는 복잡한 다단계 위협을 감지합니다.

컴포지트 감지를 사용하면 정의된 규칙 상호작용과 트리거를 통해 이벤트를 분석할 수 있습니다. 이렇게 하면 다양한 소스와 공격 단계의 데이터를 상호 연관시켜 정확도를 높이고, 거짓양성을 줄이며, 보안 위협을 포괄적으로 파악할 수 있습니다.

알림 페이지의 입력 열에 알림의 소스가 표시됩니다. 알림이 복합 감지에서 발생한 경우 열에 '감지'가 표시됩니다.

알림을 트리거한 복합 감지를 보려면 알림 페이지에서 다음 중 하나를 수행합니다.

  • 알림을 펼치고 감지 표에서 복합 감지를 확인합니다.
  • 규칙 이름을 클릭하여 감지 페이지를 엽니다.
  • 알림 이름을 클릭하여 알림 세부정보 페이지를 엽니다.

알림 필터링

필터를 사용하여 표시되는 알림 목록의 범위를 좁힐 수 있습니다. 알림 목록에 필터를 추가하려면 다음 단계를 따르세요.

  1. 페이지의 왼쪽 상단에 있는 필터 아이콘 또는 필터 추가를 클릭하여 필터 추가 대화상자를 엽니다.

  2. 다음 정보를 지정합니다.

    • 필드: 필터링할 객체를 입력하거나 필드에 입력을 시작하고 목록에서 선택합니다.
    • 연산자: 값을 처리하는 방법을 나타내려면 = (표시만) 또는 != (필터링)를 입력합니다.
    • : 일치시키거나 필터링할 필드의 체크박스를 선택합니다. 표시되는 목록은 필드 값을 기반으로 합니다.

  3. 적용을 클릭합니다. 필터는 알림 목록 위의 필터 표시줄에 칩으로 표시됩니다. 필요에 따라 필터를 여러 개 추가할 수 있습니다.

필터를 삭제하려면 필터 칩에서 x를 클릭하여 삭제합니다.

IoC 일치 항목 보기

IoC 일치 페이지에는 네트워크에서 감지되었으며 지능형 위협 피드의 알려진 의심스러운 IoC 목록과 일치하는 IoC가 나열됩니다. 유형, 우선순위, 상태, 카테고리, 애셋, 캠페인, 소스, IOC 수집 시간, 최초 발생 시간, 마지막 위치와 같은 IOC에 관한 정보를 볼 수 있습니다. 색상으로 구분된 아이콘과 기호를 사용하면 주의가 필요한 IOC를 빠르게 식별할 수 있습니다.

Google SecOps에서 IoC를 자동으로 매칭하는 방법

Google SecOps는 Mandiant, VirusTotal, Google Cloud Google Cloud 위협 인텔리전스 (GCTI)를 비롯한 Google 위협 인텔리전스 소스에서 선별한 IoC를 자동으로 수집합니다. MISP_IOC와 같은 피드를 통해 자체 IoC 데이터를 수집할 수도 있습니다. 데이터 수집에 대한 자세한 내용은 Google SecOps 데이터 수집을 참고하세요.

데이터가 수집되면 범용 데이터 모델 (UDM) 이벤트 데이터가 알려진 악성 도메인, IP 주소, 파일 해시, URL과 일치하는 IoC를 찾기 위해 지속적으로 분석됩니다. 일치하는 항목이 발견되면 알림이 생성됩니다.

다음 UDM 이벤트 필드는 일치하는 것으로 간주됩니다.

Enterprise Enterprise Plus
about.file
network.dns.answers
network.dns.questions network.dns.questions
principal.administrative_domain
principal.asset
principal.ip
principal.process.file principal.process.file
principal.process.parent_process.file principal.process.parent_process.file
security_result.about.file security_result.about.file
src.file src.file
src.ip
target.asset.ip
target.domain.name
target.file target.file
target.hostname target.hostname
target.ip target.ip
target.process.file target.process.file
target.process.parent_process.file

Google SecOps Enterprise Plus 라이선스가 있고 Applied Threat Intelligence (ATI) 기능이 사용 설정된 경우 IoC는 Mandiant의 지표 신뢰도 점수(IC-Score)에 따라 분석되고 우선순위가 지정됩니다. IC-Score가 80보다 큰 IoC만 자동으로 수집됩니다.

또한 이벤트의 특정 UDM 필드는 YARA-L 규칙을 사용하여 분석하여 일치 항목을 식별하고 알림에 할당할 우선순위 수준 (Active Breach, High 또는 Medium)을 결정합니다. 이러한 필드는 다음과 같습니다.

  • 네트워크
  • direction
  • security_result
  • []action
  • event_count (활성 유출 IP 주소에만 사용됨)

다음 IoC 인텔리전스 소스는 Google SecOps에서 기본적으로 사용할 수 있습니다.

Google SecOps Enterprise 라이선스 Google SecOps Enterprise Plus 라이선스
  • Google Threat Intelligence (GTI) 피드
  • Google Threat Intelligence (GTI)
  • Mandiant Threat Intelligence (선별 및 보강)
  • Mandiant
  • 선별된 탐지
  • VirusTotal
  • 적용된 위협 인텔리전스 (ATI)
  • Mandiant Fusion
  • 선별된 탐지
  • 강화된 공개 출처 정보 (OSINT)

IoC 필터링

필터를 사용하여 표시되는 IoC 목록을 좁힐 수 있습니다. IoC 목록에 필터를 추가하려면 다음 단계를 따르세요.

  1. 페이지의 왼쪽 상단에 있는 필터 아이콘을 클릭하여 필터 대화상자를 엽니다.

  2. 다음 정보를 지정합니다.

    • 논리 연산자: 결합된 조건 중 하나와 일치하려면 Or를 선택하고, 결합된 모든 조건과 일치하려면 And를 선택합니다.
    • - 필터링할 열을 선택합니다.
    • 연산자: 중간 열에서 표시 전용 () 또는 필터링 ()을 선택하여 값을 처리하는 방법을 나타냅니다.
    • : 값을 기준으로 표시하거나 필터링할 값의 체크박스를 선택합니다.

  3. 적용을 클릭합니다. 필터는 IoC 목록 위의 필터 표시줄에 칩으로 표시됩니다. 필요에 따라 필터를 여러 개 추가할 수 있습니다.

심각한 IoC 필터링의 예:

심각도가 매우 높음으로 식별된 IoC를 찾고 있다면 왼쪽 열에서 심각도를 선택하고, 중간 열에서 다음 항목만 표시를 선택하고, 오른쪽 열에서 심각을 선택합니다.

Applied Threat Intelligence IOC 필터링의 예:

적용된 위협 인텔리전스 IOC만 보려면 왼쪽 열에서 소스를 선택하고, 중간 열에서 다음 항목만 표시를 선택하고, 오른쪽 열에서 Mandiant를 선택합니다.

페이지 왼쪽에 있는 필터 플라이아웃 패널을 사용하여 IoC를 필터링할 수도 있습니다. 열 이름을 펼치고 값을 찾은 다음 더보기 아이콘을 클릭하여 표시 전용 또는 필터링을 선택합니다.

필터를 삭제하려면 필터 칩에서 x를 클릭하여 삭제하거나 모두 지우기를 클릭합니다.

알림 및 IoC의 날짜 및 시간 범위 지정

표시할 알림 및 IoC의 날짜 및 시간 범위를 지정하려면 캘린더 아이콘을 클릭하여 날짜 및 시간 범위 설정 창을 엽니다. 범위 탭의 사전 설정된 기간을 사용하여 날짜 및 시간 범위를 지정하거나 이벤트 시간 탭에서 이벤트 발생의 특정 시간을 선택할 수 있습니다.

사전 설정된 기간 사용

사전 설정된 옵션을 사용하여 날짜 및 시간 범위를 지정하려면 범위 탭을 클릭하고 다음 옵션 중 하나를 선택합니다.

  • 오늘
  • 지난 1시간
  • 지난 12시간
  • 지난 1일
  • 지난주
  • 지난 2주
  • 지난달
  • 지난 2개월
  • 맞춤: 캘린더에서 시작일과 종료일을 선택한 다음 시작 시간종료 시간 필드를 클릭하여 시간을 선택합니다.

날짜 및 시간 범위에 이벤트 시간 사용

활동을 기준으로 날짜 및 시간 범위를 지정하려면 활동 시간 탭을 클릭하고 캘린더에서 날짜를 선택한 다음 다음 옵션 중 하나를 선택합니다.

  • 정확한 시간: 이벤트 시간 필드를 클릭하고 이벤트가 발생한 특정 시간을 선택합니다.
  • +/- 1분
  • +/- 3분
  • +/- 5분
  • +/- 10분
  • +/- 15분
  • +/- 1시간
  • +/- 2시간
  • +/- 6시간
  • +/- 12시간
  • +/- 1일
  • +/- 3일
  • +/- 1주

알림 및 IoC 목록 새로고침

오른쪽 상단의 새로고침 시간 메뉴를 사용하여 알림 목록이 새로고침되는 빈도를 선택합니다. 사용할 수 있는 옵션은 다음과 같습니다.

  • 지금 새로고침
  • 자동 새로고침 없음(기본값)
  • 5분마다 새로고침
  • 15분마다 새로고침
  • 1시간마다 새로고침

알림 및 IOC 정렬

표시된 알림과 IoC를 오름차순 또는 내림차순으로 정렬할 수 있습니다. 열 제목을 클릭하여 목록을 정렬합니다.

IoC 세부정보 보기

우선순위, 유형, 소스, IC-Score, 카테고리와 같은 사고에 관한 세부정보를 보려면 IoC를 클릭하여 IoC 세부정보 페이지를 엽니다. 이 페이지에서 다음을 수행할 수 있습니다.

  • IoC 음소거 또는 음소거 해제
  • 이벤트 우선순위 보기
  • 연결 보기

IoC 음소거 또는 음소거 해제

관리자 또는 테스트 작업으로 인해 IoC가 생성된 경우 거짓양성을 방지하기 위해 지표를 숨길 수 있습니다.

  • IoC를 음소거하려면 오른쪽 상단에 있는 음소거를 클릭합니다.
  • 상태를 음소거 해제하려면 오른쪽 상단에서 음소거 해제를 클릭합니다.

이벤트 우선순위 보기

이벤트 탭을 사용하여 IoC가 확인된 이벤트의 우선순위를 확인할 수 있습니다.

이벤트를 클릭하여 우선순위, 근거, 이벤트 세부정보를 표시하는 이벤트 뷰어를 엽니다.

연결 보기

연결 탭을 사용하여 모든 행위자 또는 멀웨어의 연결을 확인하여 유출을 조사하고 알림의 우선순위를 지정할 수 있습니다.

SOAR 알림

Google SecOps 고객의 경우 SOAR 알림이 이 페이지에 표시되며 케이스 ID를 포함합니다. 케이스 ID를 클릭하여 케이스 페이지를 엽니다. 케이스 페이지에서 알림 및 페이지에 대한 정보를 가져올 수 있습니다. 여기에서 알림 및 연결된 케이스에 대한 세부정보를 확인하고 대응 조치를 취할 수 있습니다. 자세한 내용은 케이스 개요를 참조하세요.

Google SecOps 고객의 경우 알림 및 IoC 페이지에서 알림 상태 변경알림 닫기 버튼이 사용 중지됩니다. 알림 상태를 관리하거나 알림을 닫으려면 다음 단계를 따르세요. 1. 케이스 페이지로 이동합니다. 1. 케이스 세부정보 섹션 > 알림 개요에서 케이스로 이동을 클릭하여 케이스에 액세스합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.