엔티티 및 알림 조사

다음에서 지원:

이 문서에서는 Google Security Operations의 탐색 페이지를 사용하여 케이스 관련 항목과 알림을 조사하는 방법을 설명합니다. 탐색 페이지는 엔티티 관계와 알림 활동을 시각적으로 표현하여 의심스러운 이벤트의 컨텍스트, 시퀀스, 영향을 파악하는 데 도움이 됩니다. 이 문서에서는 시각적 분석을 기반으로 엔티티 유형을 해석하고, 상관관계를 살펴보고, 후속 조치를 수행하는 방법도 설명합니다.

탐색 페이지를 사용하여 케이스와 연결된 항목 및 알림을 살펴볼 수 있습니다. 페이지 중앙에는 알림과 항목이 서로 어떻게 관련되어 있는지 보여주는 시각적 표현(시각적 패밀리라고 함)이 표시됩니다.

이 뷰를 사용하면 다음 작업을 할 수 있습니다.

  • 엔티티와 알림 간의 인과관계 이해
  • 이벤트의 시간순서 확인
  • 의심스러운 활동 이벤트 간의 연결 식별

시각적 패밀리 요소 식별

시각적 패밀리에는 두 가지 유형의 노드가 포함됩니다.

  • 항목: 육각형으로 표시됨
  • 아티팩트: 원으로 표시됨

색상은 의미를 전달하는 데 사용됩니다.

  • 파란색 육각형: 내부 항목
  • 녹색 원: 내부 아티팩트
  • 빨간색: 의심스러운 항목을 나타냅니다.

내부 및 외부 항목 식별

엔티티는 두 가지 스타일로 표시될 수 있습니다.

  • 색상으로 채워진 도형은 내부 항목을 나타냅니다.
  • 윤곽선만 있는 도형은 외부 항목을 나타냅니다.

예를 들어 알려진 내부 네트워크에 속하는 IP 주소는 내부임을 나타내는 색상으로 채워진 육각형으로 표시됩니다. 반대로 네트워크 외부의 IP는 외부임을 나타내는 윤곽선이 있는 육각형으로 표시됩니다.

시각적 패밀리에서 항목 관계 이해

탐색 페이지에는 시각적 단서와 연결을 사용하여 항목과 아티팩트가 서로 어떻게 관련되어 있는지 표시됩니다. 다양한 유형의 항목과 아티팩트를 식별하려면 도움말 도움말을 클릭합니다. 그러면 시각화에 사용된 각 도형과 색상을 정의하는 엔티티 범례가 열립니다.

관계 유형

항목과 아티팩트는 관계를 나타내는 선으로 연결될 수 있습니다. 관계에는 두 가지 유형이 있습니다.

  • 작업: 화살표로 표시되며 직접적인 작업 (예: 이메일 전송)을 나타냅니다.
  • 연결: 점선으로 표시되며 일반적인 연결(예: 기기 호스트 이름에 연결된 사용자)을 보여줍니다.

예를 들면 다음과 같습니다.

  • 한 사용자가 다른 사용자에게 이메일을 보내는 경우 화살표로 두 사용자 엔티티를 연결할 수 있습니다.
  • 점선은 사용자가 액세스한 호스트 항목과 사용자 항목을 연결할 수 있습니다.

시각적 계열 및 매핑 규칙

엔티티와 아티팩트는 매핑 규칙에서 파생되며 관계 (선으로 연결됨)는 시각적 패밀리에 의해 정의됩니다.

시각적 패밀리가 구성되지 않은 경우에도 엔티티와 아티팩트는 중앙 작업공간에 표시됩니다. 하지만 두 노드 사이에 연결선이 표시되지 않습니다.

매핑 및 시각적 계열 구성

이벤트 구성 페이지에서 매핑 규칙을 구성하거나 시각적 패밀리를 할당하려면 Google SecOps 플랫폼의 다음 위치 중 하나에서 설정 설정을 클릭하세요.

매핑을 구성하고 시각적 계열을 할당하는 방법에 관한 자세한 내용은 매핑 구성 및 시각적 계열 할당을 참고하세요.

탐색 페이지 사용

엔티티와 알림을 시각적으로 분석하려면 케이스를 열고 케이스 페이지에서 탐색을 클릭합니다. 탐색 페이지에는 다음 워크스페이스 요소가 포함되어 있습니다.

  • 왼쪽 창: 선택한 케이스와 연결된 알림 및 해당 타임스탬프를 표시합니다.
  • 중간 창: 상호 연결된 항목의 그래프, 그래픽 알림 타임라인, 재생 컨트롤이 표시됩니다.
  • 측면 드로어: 원시 보강 데이터를 비롯해 선택한 알림 또는 항목의 세부정보를 표시합니다 (사용 가능한 경우). 알림 또는 이벤트를 선택하면 측면 패널에 관련 정보가 표시됩니다.
    Google SecOps 사용자는 이 드로어 하단에 탐색 버튼이 표시됩니다. 전용 페이지에서 알림 조사를 계속하려면 이 버튼을 클릭하세요. 자세한 내용은 조사 보기를 참고하세요. 
  • 페이지 하단: 이벤트를 재생하는 동영상 컨트롤 버튼과 시각적 시간 범위가 표시됩니다. 추가추가 삭제삭제를 사용하여 시간 범위를 추가로 조작할 수 있습니다. play_arrow 이벤트 재생을 클릭하여 그래프의 이벤트를 시간순으로 살펴봅니다.

왼쪽 창에서 알림을 클릭하면 중간 창에 관련 항목이 강조 표시됩니다. 이 알림을 나타내는 노드가 그래프의 다른 노드(알림)보다 크게 표시됩니다. 노드 위로 포인터를 가져가면 각 노드의 알림 이름이 표시됩니다. 선택한 알림과 관련이 없는 항목은 흐리게 표시됩니다 (사용할 수 없음).

탐색 페이지에서 다음 옵션을 사용할 수 있습니다.

옵션 설명
exploreentities1 화면에 맞춤: 표시되는 전체 영역에 맞게 그래프를 자동으로 맞춥니다.
exploreentities2 원형 레이아웃: 기본 그래프 레이아웃입니다. 다른 옵션을 보려면 그래프 레이아웃 변경을 클릭합니다.
exploreentities3 Play Event: 케이스의 모든 알림을 순서대로 재생합니다. 각 단계와 관련된 항목을 강조 표시합니다. 그래프에는 알림 흐름이 표시되며 재생된 각 알림이 더 큰 노드로 강조 표시됩니다.
exploreentities4 다음 이벤트: 순서대로 다음 알림을 재생합니다. 목록의 상단에서 시작합니다.
exploreentities5 이전 이벤트: 이전 알림으로 돌아갑니다. 첫 번째 알림이 재생될 때까지 사용 중지됩니다.
exploreentities6 빨리 감기되감기: 알림을 각각 시간순 (오름차순) 또는 시간 역순 (내림차순)으로 3배속으로 재생합니다.
exploreentities7 기간 슬라이더: X축에서 표시되는 기간을 확대하거나 좁힙니다.
exploreentities8 그러면 항목 범례가 열립니다.

조사 후 수동 조치 취하기

시각적 타임라인을 검토한 후 추가 조사를 위해 추가 수동 조치를 취할 수 있습니다. 예를 들어 IP 주소를 스캔하여 알려진 위협을 확인하거나 데이터 유출과 같은 다운스트림 영향을 조사할 수 있습니다.

일반적인 후속 조치는 다음과 같습니다.

  • 컴퓨터 격리
  • 감염된 시스템 확인 및 검사
  • 의심스러운 이메일 조사하기
  • 누락되거나 유출된 데이터를 식별합니다.

Google SecOps에서 지원되는 항목 유형

이 섹션에서는 보안 조사, 분석, 보강을 위해 Google Security Operations 플랫폼 내에서 활용할 수 있는 지원되는 엔티티 유형 목록을 제공합니다.

0: 'SourceHostName'
1: 'SourceAddress'
2: 'SourceUserName'
3: 'SourceProcessName'
4: 'SourceMacAddress'
5: 'DestinationHostName'
6: 'DestinationAddress'
7: 'DestinationUserName'
8: 'DestinationProcessName'
9: 'DestinationMacAddress'
10: 'DestinationURL'
11: 'Process'
12: 'FileName'
13: 'FileHash'
14: 'EmailSubject'
15: 'ThreatSignature'
16: 'USB'
17: 'Deployment'
18: 'CreditCard'
19: 'PhoneNumber'
20: 'CVE'
21: 'ThreatActor'
22: 'ThreatCampaign'
23: 'GenericEntity'
24: 'ParentProcess'
25: 'ParentHash'
26: 'ChildProcess'
27: 'ChildHash'
28: 'SourceDomain'
29: 'DestinationDomain'
30: 'IPSET'
31: 'Cluster'
32: 'Application'
33: 'Database'
34: 'Pod'
35: 'Container'
36: 'Service'

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.