대시보드 개요

다음에서 지원:

Google Security Operations SIEM 대시보드를 사용하면 보안 원격 분석, 수집 측정항목, 감지, 알림, IOC를 포함해서 Google Security Operations SIEM에서 데이터를 보고 분석할 수 있습니다. 이러한 대시보드는 Looker 기능을 기반으로 구축됩니다.

Google Security Operations SIEM은 이 문서에서 설명하는 여러 가지 기본 대시보드를 제공합니다. 또한 커스텀 대시보드도 만들 수 있습니다.

기본 대시보드

대시보드 페이지로 이동하려면 왼쪽 탐색 메뉴에서 대시보드를 클릭합니다.

기본 대시보드에는 Google Security Operations SIEM 인스턴스 내에 저장된 사전 정의된 데이터 시각화가 포함됩니다. 이러한 대시보드는 Google Security Operations SIEM 데이터 수집 시스템 상태 파악 또는 기업 내 위협 상태 모니터링과 같은 특정 사용 사례를 위해 설계되었습니다.

각 기본 대시보드에는 특정 기간 동안 데이터를 볼 수 있게 해주는 시간 범위 필터가 포함됩니다. 이는 문제 해결 또는 추세 파악에 도움이 될 수 있습니다. 예를 들어 필터를 사용해서 지난 한 주 또는 일정 시간 범위 동안의 데이터를 볼 수 있습니다.

기본 대시보드는 수정할 수 없습니다. 기본 대시보드의 복사본을 만든 후 특정 사용 사례를 지원하도록 새 대시보드를 수정할 수 있습니다.

Google Security Operations SIEM은 다음과 같은 기본 대시보드를 제공합니다.

주 대시보드

대시보드에는 Google Security Operations SIEM 데이터 수집 시스템의 상태에 대한 정보가 표시됩니다. 여기에는 기업에서 감지된 IOC의 지리적 위치를 강조표시하는 세계 지도도 포함됩니다.

대시보드에서는 다음 시각화를 볼 수 있습니다.

  • 수집된 이벤트: 수집된 총 이벤트 수입니다.
  • 처리량: 특정 기간 동안 수집된 데이터의 볼륨입니다.
  • 알림: 발생한 총 알림 수입니다.
  • 시간 경과에 따른 이벤트: 일정 기간 동안 발생한 이벤트를 표시하는 열 차트입니다.
  • 전역 위협 맵 - IOC IP 일치: IOC 일치 이벤트가 발생한 위치입니다.

대시보드 미리보기

Google Security Operations의 미리보기 대시보드 기능을 사용하여 다양한 데이터 소스에 시각화를 빌드할 수 있습니다. Google Security Operations 대시보드는 YARA-L 2.0을 사용하여 채워지는 다양한 차트로 구성됩니다.

Google Security Operations 미리보기 대시보드의 데이터 소스

다음 데이터 소스는 다음과 같은 YARA-L 접두사로 미리보기 대시보드에서 사용할 수 있습니다.

Google Security Operations 미리보기 대시보드용 YARA-L 2.0 문법

YARA-L 2.0은 미리보기 대시보드에서 사용할 때 다음과 같은 고유한 속성을 갖습니다.

  • 대시보드에서는 항목 그래프, 처리 측정항목, 규칙 세트, 감지 등 추가 데이터 소스를 사용할 수 있습니다. 이러한 데이터 소스는 아직 YARA-L 규칙 및 UDM 검색에서 사용할 수 없습니다.

  • Google Security Operations 미리보기 대시보드는 YARA-L 문법을 사용합니다. 자세한 내용은 Google Security Operations 미리보기 대시보드용 YARA-L 2.0 함수 및 통계 측정항목을 포함하는 집계 함수를 참고하세요. UDM 검색 (예: principal.hostname = "john")은 Google Security Operations 미리보기 대시보드에서 작동하지 않습니다.

  • YARA-L 규칙의 이벤트 섹션은 암시되며 쿼리에서 선언할 필요가 없습니다.

  • YARA-L 규칙의 조건 섹션은 대시보드에 사용되지 않습니다.

Google Security Operations 미리보기 대시보드 시작하기

새 대시보드 만들기

새 대시보드를 만들려면 다음 단계를 따르세요.

  1. 대시보드 미리보기 페이지에서 대시보드 만들기를 클릭합니다. 대시보드 만들기 창이 나타납니다.

  2. 대시보드의 이름과 설명을 입력합니다.

  3. 기존 대시보드로 시작 목록에서 빈 대시보드를 선택합니다. 기존 대시보드를 복사하여 시작할 수도 있습니다.

  4. 대시보드의 액세스 권한을 비공개 또는 공유로 설정합니다. 비공개 대시보드는 나만 볼 수 있지만 공유 대시보드는 조직 내의 모든 사용자가 볼 수 있습니다.

  5. 만들기를 클릭하여 새 대시보드를 만듭니다.

차트 추가

대시보드는 YARA-L을 사용하여 데이터로 채워진 차트로 구성됩니다. 대시보드에 차트를 추가하려면 다음 단계를 따르세요.

  1. 대시보드 수정 페이지에서 차트 추가를 클릭합니다.

  2. 검색 섹션에 YARA-L 쿼리를 입력하여 데이터를 탐색하고 변환합니다. 다음 YARA-L 쿼리는 감지의 날짜와 심각도 수준을 검색하여 심각도가 알 수 없는 감지를 필터링하고 각 날짜의 고유한 감지를 계산합니다. 감지는 날짜를 기준으로 오름차순으로 정렬됩니다.

    $date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc

  3. 지정된 기간에 대해 절대 또는 상대를 선택합니다.

  4. 쿼리를 입력한 후 검색 실행을 클릭합니다. 결과는 기본 차트 유형인 표 형식으로 표시됩니다.

  5. 차트 세부정보에 차트의 이름을 입력합니다.

  6. 표 형식의 검색 결과 데이터를 막대 그래프로 전환하려면 차트 유형 > 막대 그래프를 선택합니다.

  7. 데이터 설정에서 X축과 Y축의 데이터 유형 및 필드 값을 입력합니다. 예시 YARA-L 규칙을 기반으로 하려면 다음 값을 입력하면 됩니다.

    • X축 필드: date
    • Y축 필드: detection_count

  8. 축 라벨에 X축과 Y축의 라벨을 입력합니다.

  9. 그룹화에서 그룹화됨을 선택합니다.

  10. 시리즈에서 그룹화할 필드를 심각도로 설정합니다. 이렇게 하면 심각도별로 그룹화되도록 차트가 변경됩니다.

  11. 결과를 검토한 후 대시보드에 추가를 클릭합니다.

필터 추가하기

필터를 사용하여 특정 필드를 기반으로 사용 가능한 데이터를 수정할 수 있으며, 이는 쿼리에서 해당 필드를 사용하는 차트에만 영향을 미칩니다.

필터를 추가하려면 다음 단계를 따르세요.

  1. 기본 대시보드 페이지에서 연필 아이콘 을 클릭하여 대시보드를 수정합니다.

  2. 수정 대시보드 페이지에서 필터 아이콘 을 클릭하여 필터를 추가합니다.

  3. 필터 관리 창에서 더하기 아이콘 을 클릭하여 새 필터를 구성합니다.

  4. 필터링할 필드 필드에 데이터를 필터링할 필드를 입력합니다. 예를 들면 detection.collection_elements.references.event.principal.hostname입니다.

  5. 필터 이름 필드에 필터의 이름을 입력합니다.

  6. 필터 적용 대상 필드에서 필터를 적용할 차트를 선택합니다.

  7. 선택사항: 필터의 기본값을 설정합니다.

  8. 완료를 클릭하여 필터를 추가하고 필터 관리 창을 닫습니다.

필터 적용

차트에 필터를 적용하려면 다음 단계를 따르세요.

  1. 대시보드 보기에서 필터 아이콘 을 클릭하여 대시보드 필터를 확인합니다.

  2. 대시보드 필터 창에서 만든 필터를 선택합니다.

  3. 필터링할 필드의 값을 입력합니다.

  4. 적용을 클릭합니다. 필터가 적용된 차트가 필터링된 결과를 반영하도록 업데이트됩니다.

전체 시간 필터 추가하기

전역 시간 필터를 적용하여 모든 차트에서 데이터를 볼 수 있는 기간을 선택할 수 있습니다. 전역 시간 필터는 모든 차트에 기본적으로 사용할 수 있으며 모든 데이터 소스에서 시간을 처리할 수 있습니다. 개별 차트에 지정된 기간 내에서만 필터링하는 다른 시간 필터 (예: metadata.event_timestmap 필드에 필터 만들기)와 달리 전역 시간 필터는 적용 시 개별 차트에서 선택한 기간보다 우선 적용됩니다.

전역 시간 필터를 추가하려면 다음 단계를 따르세요.

  1. 기본 대시보드 페이지에서 연필 아이콘 을 클릭하여 대시보드를 수정합니다.

  2. 수정 대시보드 페이지에서 필터 아이콘 을 클릭하여 필터를 추가합니다.

  3. 필터 관리 창의 필터 목록에서 전 세계 시간 필터를 선택합니다.

  4. 전환 버튼을 클릭하여 전 세계 시간 필터가 사용 설정되어 있는지 확인합니다.

  5. 필드에 적용에서 전역 시간 필터를 적용해야 하는 차트를 선택합니다.

  6. Set default values(기본값 설정) 입력란에 데이터가 절대 또는 상대적으로 표시되는 기간을 설정합니다.

  7. 완료를 클릭하여 필터를 추가하고 필터 관리 창을 닫습니다.

클라우드 감지 및 대응 개요 대시보드

클라우드 감지 및 대응 대시보드는 클라우드 환경의 보안 상태를 모니터링하고 잠재적 위협을 조사할 수 있게 도와줍니다. 대시보드에는 데이터 소스의 볼륨, 규칙 집합, 알림, 기타 정보를 파악하는 데 도움이 되는 시각화가 표시됩니다.

시간 필터를 사용하면 기간별로 데이터를 필터링할 수 있습니다.

GCP 로그 유형 필터를 사용하면 Google Cloud 로그 유형별로 데이터를 필터링할 수 있습니다.

클라우드 감지 및 대응 개요 대시보드에서 다음 시각화를 볼 수 있습니다.

  • 사용 설정된 CDIR 규칙 집합: Google Security Operations SIEM 사용자에 대해 GCTI에서 제공된 총 규칙 집합으로부터 클라우드 환경에서 사용 설정된 Google Security Operations SIEM 규칙 집합의 비율을 표시합니다. GCTI는 여러 개의 사전 패키징되고 조정된 규칙을 제공합니다. 이러한 규칙 집합을 사용 설정 또는 사용 중지할 수 있습니다.

  • 포함된 GCP 데이터 소스: 사용 가능한 총 Google Cloud 데이터 소스 중에서 포함된 데이터 소스의 비율을 표시합니다. 예를 들어 40개의 로그 유형을 사용해서 데이터를 수집할 수 있지만 20개만 데이터를 전송할 경우 타일에 50%가 표시됩니다.

  • CDIR 알림: GCTI 규칙 집합 또는 클라우드 위협 내에서 규칙으로부터 발생하는 알림 수를 표시합니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.

  • 최근 알림: 심각도 및 위험 점수와 함께 최근의 알림을 표시합니다. 이벤트 타임스탬프 시간 열을 사용해서 테이블을 정렬하고 각 알림으로 이동하여 세부정보를 확인할 수 있습니다. Security Command Center에 의해 향상된 집계된 보안 발견 항목의 수를 제공합니다. 이러한 보안 발견 항목은 GCTI에서 조정된 감지 규칙 집합에 따라 생성되고 발견 항목 유형에 따라 분류됩니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.

  • 시간 경과에 따른 심각도별 알림: 시간 경과에 따른 심각도별 총 알림 추세를 표시합니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.

  • 감지 범위: Google Security Operations SIEM 규칙 집합과 상태, 총 감지, 최근 감지 날짜에 대한 정보를 제공합니다. 시간 필터를 사용해서 이 데이터가 표시되는 일 수를 설정할 수 있습니다.

  • 클라우드 데이터 범위: 모든 사용 가능한 Google Cloud 서비스, 각 서비스를 포함하는 파서, 첫 번째 발견된 이벤트, 마지막 발견된 이벤트, 총 처리량에 대한 정보를 제공합니다.

CDIR 규칙 집합에 대한 자세한 내용은 클라우드 위협 카테고리 개요를 참조하세요.

테이블 다음에 다음 시간 간격에 따라 수집 추세를 보여주는 연관된 데이터와 모든 Google Cloud 서비스에 대한 그래프가 표시됩니다.

  • 지난 24시간
  • 지난 30일
  • 지난 6개월

컨텍스트 인식 감지 - 위험 대시보드

컨텍스트 인식 감지 - 위험 대시보드는 기업 환경에서 애셋 및 사용자의 현재 위협 상태에 대한 통계 정보를 제공합니다. 규칙 감지 탐색 인터페이스의 필드를 기반으로 빌드됩니다.

심각도 및 위험 점수 값은 각 규칙에 정의된 변수입니다. 예시는 출력 섹션 구문을 참조하세요. 각 패널에서 심각도 및 위험 점수에 따라 데이터를 정렬하고 가장 위험한 사용자 및 애셋을 파악합니다.

컨텍스트 인식 감지 - 위험 대시보드에서 다음 시각화를 확인할 수 있습니다.

  • 위험 상태의 애셋 및 기기: 메타 > 심각도에서 규칙을 설정한 심각도를 기준으로 상위 10개 애셋을 나열합니다. 메타 섹션 구문을 참조하세요. 심각도 수준은 매우 높음, 심각, 높음, , 보통, 낮음입니다. 호스트 이름 값이 레코드에 없으면 IP 주소를 표시합니다.
  • 위험 상태의 사용자: 심각도를 기준으로 상위 10명의 사용자를 나열합니다. 심각도 수준은 매우 높음, 심각, 높음, , 보통, 낮음입니다. 레코드에 사용자 이름 값이 없으면 이메일 ID를 표시합니다.
  • 집계 위험: 각 날짜에 대해 총 집계된 위험 점수를 표시합니다.
  • 감지 결과: 감지 엔진 규칙으로 반환된 감지에 대한 세부정보를 표시합니다. 테이블에는 규칙 이름, 감지 ID, 위험 점수, 심각도가 포함됩니다.

데이터 수집 및 상태 대시보드

데이터 수집 및 상태 대시보드는 Google Security Operations SIEM 테넌트에 수집되는 데이터의 유형, 볼륨, 상태에 대한 정보를 제공합니다. 이 대시보드를 사용해서 해당 환경의 이상치를 모니터링할 수 있습니다.

이 대시보드는 수집된 로그의 양, 수집 오류, 기타 관련 정보를 파악하는 데 도움이 되는 시각화를 제공합니다. 대시보드의 데이터는 15분마다 새로고침되므로 최신 정보를 확인하려면 최대 15분 정도 기다려야 할 수 있습니다.

데이터 수집 및 상태 대시보드에서 다음 시각화를 볼 수 있습니다.

  • 수집된 이벤트 수: 수집된 이벤트의 총 개수입니다.
  • 수집 오류 수: 수집 중 발생한 총 오류 수입니다.
  • 파싱 오류 수: 파싱 중에 발생한 총 오류 수입니다.
  • 유효성 검사 오류 수: 유효성 검사 중에 발생한 총 오류 수입니다.
  • 총 오류 수: 발생한 총 오류 수입니다.
  • 이벤트 개수별 로그 유형 분포: 각 로그 유형의 이벤트 수를 기준으로 로그 유형 분포를 표시합니다.
  • 처리량별 로그 유형 분포: 처리량을 기준으로 로그 유형 분포를 표시합니다.
  • 수집 - 상태별 이벤트: 상태를 기준으로 이벤트 수를 표시합니다.
  • 수집 - 로그 유형별 이벤트: 상태 및 로그 유형을 기준으로 이벤트 수를 표시합니다.
  • 최근에 수집된 이벤트: 각 로그 유형에 대해 최근에 수집된 이벤트를 표시합니다.
  • 일일 로그 정보: 각 로그 유형에 대한 일일 로그 수를 표시합니다.
  • 이벤트 수와 크기 비교: 일정 기간 동안 이벤트 수와 크기를 비교합니다.
  • 수집 처리량: 일정 기간 동안 수집 처리량을 표시합니다.

IOC 일치 대시보드

침해 지표(IO) 일치 대시보드에서는 기업 환경의 IOC 항목을 시각적으로 파악할 수 있습니다.

IOC 일치 대시보드에서는 다음과 같은 시각화를 확인할 수 있습니다.

  • 시간 경과에 따른 카테고리별 IOC 일치: 해당 카테고리를 기준으로 IOC 일치 수를 표시합니다.
  • 상위 10개 도메인 IOC 지표: 개수와 함께 상위 10개 도메인 IOC 지표를 나열합니다.
  • 상위 10개 IP IOC 지표: 개수와 함께 상위 10개 IP 주소 IOC 지표를 나열합니다.
  • IOC 일치별 상위 10개 애셋: 개수와 함께 IOC 일치별 상위 10개 애셋을 나열합니다.
  • 카테고리, 유형, 개수별 상위 10개 IOC 일치: 개수와 함께 카테고리 및 유형별 상위 10개 IOC 일치를 나열합니다.
  • 상위 10개 IOC 값: 개수와 함께 상위 10개 IOC 값을 나열합니다.
  • 드물게 표시되는 상위 10개 값: 개수와 함께 드물게 발생하는 상위 10개 IOC 일치를 나열합니다.

규칙 감지 대시보드

규칙 감지 대시보드는 감지 엔진 규칙으로 반환된 감지 항목에 대한 통계를 제공합니다. 감지 항목을 수신하려면 규칙을 사용 설정해야 합니다. 자세한 내용은 실시간 데이터에 대한 규칙 실행을 참조하세요.

규칙 감지 대시보드에서 다음 시각화를 볼 수 있습니다.

  • 시간 경과에 따른 규칙 감지: 일정 시간 동안 규칙 감지 수를 표시합니다.
  • 심각도별 규칙 감지: 규칙 감지의 심각도를 표시합니다.
  • 시간 경과에 따른 심각도별 규칙 감지: 시간 경과에 따른 심각도별 일일 감지 수를 표시합니다.
  • 감지별 최대 10개 규칙 이름: 최대 감지 수를 반환하는 상위 10개 규칙을 나열합니다.
  • 시간 경과에 따른 이름별 규칙 감지: 매일 감지를 반환한 규칙과 반환된 감지 수를 표시합니다.
  • 규칙 감지별 상위 10명의 사용자: 감지를 트리거한 이벤트에 표시된 상위 10명의 사용자 식별자를 나열합니다.
  • 규칙 감지별 상위 10개 애셋 이름: 감지를 트리거한 이벤트에 표시된 상위 10개 애셋 이름을 나열합니다(예: 호스트 이름).
  • 규칙 감지별 상위 10개 IP: 감지를 트리거한 이벤트에 표시된 상위 10개 IP 주소를 나열합니다.

사용자 로그인 개요 대시보드

사용자 로그인 개요 대시보드는 기업 환경에 로그인하는 사용자에 대한 통계를 제공합니다. 이 정보는 악의적인 행위자가 기업에 액세스하려는 시도를 추적하는 데 유용할 수 있습니다.

예를 들어 사무소가 없는 국가에서 기업 환경에 액세스하려는 특정 사용자를 식별하거나 회계 애플리케이션에 반복적으로 액세스를 시도하는 특정 사용자를 찾아낼 수 있습니다.

사용자 로그인 개요 대시보드에서 다음 시각화를 볼 수 있습니다.

  • 성공한 로그인 횟수: 성공한 총 로그인 횟수입니다.
  • 실패한 로그인 횟수: 실패한 총 로그인 횟수입니다.
  • 상태별 로그인: 성공 및 실패한 로그인을 분할해서 보여줍니다.
  • 시간 경과에 따른 상태별 로그인: 시간 범위에 따라 성공 및 실패한 로그인을 분할해서 보여줍니다.
  • 로그인별 상위 10개 애플리케이션: 로그인 수를 기준으로 빈도수가 높은 상위 10개 애플리케이션을 분할해서 보여줍니다.
  • 애플리케이션별 로그인: 각 애플리케이션의 로그인 상태 수를 표시합니다. 각 애플리케이션의 수는 security_result.action 필드에 정의한 로그 데이터를 기준으로 채워집니다. 이벤트 열거 유형을 참조하세요.
  • 로그인별 상위 10개 국가: 사용자가 로그인한 상위 10개 국가 수를 표시합니다.
  • 국가별 로그인: 사용자가 로그인한 모든 국가 수를 표시합니다.
  • IP별 상위 10개 로그인: 사용자가 로그인한 상위 10개 IP 주소를 표시합니다.
  • 로그인 위치 맵: 사용자가 로그인한 IP 주소의 위치를 표시합니다.
  • 로그인 상태별 상위 10명의 사용자: 각 사용자의 로그인 상태 수를 표시합니다. 각 애플리케이션의 수는 security_result.action 필드에 정의한 로그 데이터를 기준으로 채워집니다. 이벤트 열거 유형을 참조하세요.

다음 단계