Security Command Center 데이터 내보내기

이 페이지에서는 애셋, 발견 항목, 보안 표시 등 Security Command Center 데이터를 내보내는 두 가지 방법을 설명합니다.

Google Cloud 콘솔, Google Cloud CLI, Security Command Center API를 사용하여 Security Command Center 데이터를 내보낼 수 있습니다.

또한 발견 항목을 BigQuery로 스트리밍할 수 있습니다. 자세한 내용은 분석을 위해 BigQuery에 발견 항목 스트리밍을 참조하세요.

일회성 내보내기

일회성 내보내기를 사용하면 현재 및 이전 발견 항목과 애셋을 직접 전송하고 다운로드할 수 있습니다.

발견 항목의 경우 Google Cloud 콘솔을 사용해서 JSON, JSONL, CSV 형식으로 Cloud Storage 버킷에 데이터를 전송할 수 있습니다. 또한 제한된 개수의 발견 항목을 CSV 형식으로 워크스테이션에 다운로드할 수 있습니다.

애셋의 경우 Google Cloud 콘솔에서 로컬 워크스테이션으로 데이터를 CSV 파일로 다운로드할 수 있습니다.

권한

일회성 내보내기를 수행하려면 다음이 필요합니다.

  • Identity and Access Management(IAM) 역할 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer) 또는 다음 권한이 있는 모든 역할

    • resourcemanager.organizations.get(Security Command Center의 조직 수준 활성화에만 필요)
    • resourcemanager.projects.get(Security Command Center의 프로젝트 수준 활성화에 필요)
    • securitycenter.assets.group
    • securitycenter.assets.list
    • securitycenter.findings.group
    • securitycenter.findings.list
    • securitycenter.sources.get
    • securitycenter.sources.list
    • securitycenter.userinterfacemetadata.get
  • Cloud Storage 버킷에 데이터를 저장할 수 있는 스토리지 관리자 역할

Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

데이터 상주 및 일회성 내보내기

Cloud Storage로 일회성 내보내기의 필터에는 데이터 상주 제어가 적용되는 데이터를 포함할 수 없습니다.

발견 항목 필터에 제어 데이터를 포함하는 속성을 지정하면 내보내기를 시도할 때 Security Command Center에서 오류 메시지가 반환됩니다.

Google Cloud 콘솔을 사용하여 데이터 내보내기

Google Cloud 콘솔을 사용하여 다음을 수행할 수 있습니다.

Cloud Storage 버킷으로 발견 항목 내보내기

이 섹션에서는 Security Command Center 데이터를 Cloud Storage 버킷으로 내보내는 방법을 설명합니다. Google Cloud 콘솔의 발견 항목 페이지에서 내보내기를 클릭하면 Security Command Center가 사용자 인증 정보 또는 Cloud Storage 버킷에 쓸 수 있는 권한을 자동으로 가져옵니다.

발견 항목 내보내기는 개별 작업으로 수행됩니다. JSON 파일, JSONL 파일, CSV 파일을 기존 Cloud Storage 버킷으로 내보내거나 내보내기 프로세스 중 버킷을 만들 수 있습니다. 현재 발견 항목을 모두 내보낼 수도 있고, 내보내기 전에 원하는 필터를 선택할 수도 있습니다.

보관 정책이 설정된 Cloud Storage 버킷으로 발견 항목을 내보낼 수 없습니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 툴바에서 프로젝트 선택기를 클릭하고 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 발견 항목 쿼리에 필터를 적용하여 내보내려는 발견 항목을 선택합니다. 필터 만들기에 대한 자세한 내용은 특정 발견 항목 찾기 및 보기를 참고하세요.

  4. 필터 만들기가 완료되면 내보내기를 클릭한 다음 일회성에서 Cloud Storage를 클릭합니다.

  5. 내보내기 페이지에서 내보내기를 구성합니다.

    1. 내보내기 대상 섹션에서 다음 필드를 지정합니다.
      1. 프로젝트 이름 필드에 Cloud Storage 버킷이 포함된 프로젝트를 지정합니다.
      2. 프로젝트를 지정한 후에만 표시되는 내보내기 경로 필드에서 찾아보기를 클릭합니다.
      3. 객체 선택 패널에서 기존 Cloud Storage 버킷을 선택하거나 스토리지 버킷을 만듭니다.
      4. 버킷을 선택하거나 만든 후 파일 이름에서 내보내기 파일의 이름을 입력합니다.
      5. 선택을 클릭합니다.
    2. 내보내기 기준 섹션에서 다음 필드를 지정합니다.
      1. 결과 그룹화 기준을 클릭하고 내보내기 데이터를 그룹화할 방법을 선택합니다.
      2. 형식 필드를 클릭하고 JSON, JSONL, CSV를 선택합니다.
      3. 기간 필드를 클릭하고 발견 항목을 내보내려는 기간을 선택합니다.
    3. 발견 항목 쿼리 섹션에서 쿼리가 예상한 대로 표시되는지 확인합니다.
    4. 쿼리 아래에서 일치하는 발견 항목의 개수 및 유형이 예상한 대로인지 확인합니다.
    5. 내보내기를 클릭합니다.

    버킷의 기존 파일을 선택한 경우 덮어쓰기 확인 대화상자가 표시됩니다.

    • 기존 파일을 덮어쓰려면 확인을 클릭합니다.
    • 작성하고 있는 파일을 변경하려면 취소를 클릭한 후 내보내기 경로 상자에서 찾아보기를 클릭하고 다른 파일을 선택하거나 만듭니다.

구성된 데이터는 지정된 Cloud Storage 버킷에 저장됩니다.

Cloud Storage 버킷에서 내보낸 데이터 다운로드

내보낸 JSON, JSONL, CSV 데이터를 다운로드하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 스토리지 브라우저 페이지로 이동합니다.

    스토리지 브라우저로 이동

  2. 프로젝트를 선택한 후 데이터를 내보낸 버킷을 클릭합니다.

  3. 내보낸 파일 옆에 있는 체크박스를 선택한 다음 다운로드를 클릭합니다.

  4. 파일 저장 대화상자에서 파일을 저장할 위치를 선택한 후 저장을 클릭합니다.

지정한 위치에 JSON, JSONL, CSV 파일이 다운로드됩니다.

CSV 파일로 발견 항목 내보내기

내보내기를 구성하려면 카테고리, 심각도, 기타 속성을 기준으로 발견 항목을 필터링할 수 있습니다. 필터와 일치하는 모든 발견 항목이 CSV 파일에 포함됩니다.

발견 항목을 최대 1,000개까지 워크스테이션에 직접 다운로드할 수 있습니다. 발견 수가 1,000개를 초과하면 결과 수를 줄이기 위해 쿼리를 미세 조정하라는 메시지가 표시됩니다. 또는 데이터를 Cloud Storage 버킷으로 내보낼 수도 있습니다.

발견 항목 레코드는 기본 열 집합으로 내보내지며 이 열 집합은 콘솔에 표시되는 열과 일치하지 않을 수도 있습니다. 즉, 열을 숨기거나 표시해도 내보내는 열이 변경되지 않습니다. 마찬가지로 Google Cloud 콘솔에서 페이지당 표시되는 행 수를 변경해도 내보내는 콘텐츠에 영향을 주지 않습니다.

발견 항목을 CSV 파일로 내보내는 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭하세요.

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 선택사항: 내보내려고 선택한 발견 항목을 세분화하려면 필터를 적용합니다.
  4. 내보내기 > CSV를 클릭합니다. CSV 파일이 로컬 워크스테이션에 다운로드됩니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 선택사항: 내보내려고 선택한 발견 항목을 세분화하려면 필터를 적용합니다.
  3. 내보내기 > CSV를 클릭합니다. CSV 파일이 로컬 워크스테이션에 다운로드됩니다.

CSV 파일로 애셋 내보내기

Google Cloud 콘솔의 애셋 페이지에서 CSV 파일로 애셋 데이터를 다운로드할 수 있습니다.

CSV 파일에 애셋 데이터를 다운로드하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

    애셋으로 이동

  2. 툴바에서 프로젝트 선택기를 클릭하고 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 애셋 결과 패널의 빠른 필터 패널 또는 필터 필드를 사용하여 내보내려는 애셋을 선택합니다. 애셋 필터링에 대한 자세한 내용은 애셋 필터링을 참조하세요.

  4. 표시된 애셋 위에서 내보내기를 클릭한 후 CSV 다운로드를 클릭합니다. 결과 패널의 애셋 데이터가 워크스테이션에 다운로드됩니다.

API 메서드를 사용하여 데이터 내보내기

Security Command Center API를 사용하여 애셋, 발견 항목, 보안 표시를 Cloud Storage 버킷 또는 로컬 워크스테이션으로 내보낼 수 있습니다.

API 메서드를 사용하여 애셋 데이터 내보내기

애셋 데이터를 내보내거나 나열하려면 Cloud 애셋 인벤토리 API를 사용합니다. 자세한 내용은 애셋 기록 및 메타데이터 내보내기를 참조하세요.

Security Command Center API의 애셋 메서드 및 필드는 지원 중단되었으며 2024년 6월 26일 이후에 삭제됩니다.

삭제되기 전까지, 2023년 6월 26일 이전에 Security Command Center를 활성화한 사용자는 Security Command Center API의 애셋 메서드를 사용해서 애셋 데이터를 나열하고 내보낼 수 있지만 이러한 메서드는 Security Command Center에서 지원되는 애셋만 지원합니다.

지원 중단된 애셋 API 메서드 사용에 대한 자세한 내용은 애셋 나열을 참조하세요.

Security Command Center API를 사용하여 발견 항목 데이터 내보내기

Security Command Center API로 발견 항목을 내보내려면 보안 발견 항목 나열 가이드에 따라 API 응답을 다운로드하거나 내보냅니다.

발견 항목을 나열하려면 연결된 보안 표시와 함께 다음 API 메서드를 사용할 수 있습니다.

이러한 메서드는 발견 항목과 JSON 형식의 속성 및 연결된 마크의 전체 세트를 반환합니다. 애플리케이션에서 데이터를 다른 형식으로 지정해야 할 경우 커스텀 코드를 작성하여 JSON 출력을 변환해야 합니다.

groupBy 필드에 값을 지정하면 다음 메서드를 사용하여 지정한 속성별로 그룹화된 조직, 폴더 또는 프로젝트의 발견 항목을 나열할 수 있습니다.

gcloud CLI를 사용하여 발견 항목 내보내기

Cloud Shell에서 Google Cloud CLI 명령어를 사용하여 발견항목을 Cloud Storage 버킷으로 내보내려면 다음 단계를 수행합니다.

  1. Cloud Shell을 엽니다.

    Cloud Shell로 이동

  2. 발견 항목을 파일에 쓰려면 발견 항목 나열에 사용되는 gcloud CLI 명령어에 출력 문자열을 추가합니다.

    예를 들어 다음 명령어는 나열된 결과를 FINDINGS.txt라는 텍스트 파일에 저장합니다.

    gcloud scc findings list PARENT_ID \
        --source=SOURCE_ID \
        --location=LOCATION \
        --filter="FILTER" > FINDINGS.txt

    다음을 바꿉니다.

    • FILTER: 필터 표현식과 일치하는 항목으로 출력되는 발견 항목 목록을 제한하는 선택적 표현식입니다.

    • PARENT_ID: 다음 상위 리소스의 ID입니다.

      • organizations/ORGANIZATION_ID 또는 ORGANIZATION_ID로 지정된 조직
      • folders/FOLDER_ID로 지정된 폴더
      • projects/PROJECT_ID로 지정된 프로젝트
    • SOURCE_ID: 발견 항목 제공업체의 소스 ID입니다. 소스 ID를 찾으려면 소스 ID 가져오기를 참조하세요.

    • FINDINGS.txt: 발견 항목 목록을 저장할 대상 파일의 이름 및 확장자입니다.

  3. FINDINGS.txt를 Cloud Storage 버킷에 복사합니다.

    gcloud storage cp FINDINGS.txt gs://BUCKET_NAME

    BUCKET_NAME을 버킷 이름으로 바꿉니다.

  4. Cloud Storage 버킷 대신 FINDINGS.txt를 로컬 워크스테이션에 저장하려면 다음 명령어를 실행하세요.

    cloudshell download FINDINGS.txt

지속적 내보내기

지속적 내보내기 기능은 Security Command Center 발견 항목을 Pub/Sub로 자동으로 내보내는 프로세스를 간소화합니다. 새 발견 항목이 생성되면 거의 실시간으로 지정된 Pub/Sub 주제로 자동 내보내기하여 기존 워크플로에 통합할 수 있습니다.

Pub/Sub에 대한 자세한 내용은 Pub/Sub란 무엇인가요?를 참조하세요.

Security Command Center에서 BigQuery로 내보내기

Security Command Center에서 발견 항목의 속성이 업데이트되면 발견 항목의 스냅샷이 생성되고 Security Command Center에서 이 스냅샷을 BigQuery로 전송하려고 시도합니다.

  • 스냅샷의 발견 항목 속성이 BigQueryExport에 정의된 내보내기 필터와 일치하는 경우 스냅샷이 BigQuery로 전송되어 BigQuery에서 발견 항목의 현재 레코드가 됩니다.

  • 발견 항목의 속성이 필터와 일치하지 않으면 스냅샷이 BigQuery로 전송되지 않습니다. 발견 항목의 이전 스냅샷이 BigQuery에 있는 경우 스냅샷에 Security Command Center에서 발생한 속성 업데이트가 반영되지 않더라도 이전 스냅샷이 BigQuery에서 발견 항목의 현재 레코드가 됩니다.

예를 들어 BigQuery 내보내기 필터에 활성 상태가 포함된 경우 활성 상태로 새 발견 항목이 발행되고 발견 항목의 스냅샷이 BigQuery로 성공적으로 내보내집니다.

나중에 Security Command Center에서 해당 발견 항목의 상태가 비활성으로 업데이트됩니다. 업데이트로 인해 BigQuery로 새 발견 항목 스냅샷의 내보내기가 트리거되지만 상태 값이 더 이상 필터와 일치하지 않으므로 필터가 발견 항목 스냅샷의 내보내기를 차단합니다.

따라서 BigQuery의 발견 항목 스냅샷은 여전히 활성 상태이지만 Security Command Center의 동일한 발견 항목은 비활성 상태입니다.

또한 Security Command Center의 활성 발견 항목 수와 BigQuery의 활성 발견 항목 수 간에 불일치가 발생하기도 합니다. BigQuery의 수가 Security Command Center의 수보다 거의 항상 더 많습니다.

예를 들어 내보내기 필터가 활성 상태를 지정하고 활성 상태로 발견 항목 100개가 생성되면 100개 모두 BigQuery로 내보내집니다. 나중에 Security Command Center에서 이러한 발견 항목 중 50개가 비활성으로 업데이트되면 상태 값이 더 이상 필터와 일치하지 않으므로 필터가 업데이트로 트리거된 내보내기를 차단합니다. 따라서 BigQuery에서는 발견 항목 100개가 모두 활성 상태이지만 Security Command Center에서는 50개만 활성 상태로 유지됩니다.

지속적 내보내기와 발견 항목 알림 비교

Security Command Center를 사용하면 Security Command Center API를 사용하여 Pub/Sub에 대한 발견 항목 알림을 설정할 수 있습니다. API를 사용하려면 Google Cloud CLI를 사용하여 Pub/Sub 주제를 설정하고 발견 항목 필터를 만들고 알림을 보낼 구성 설정이 포함된 NotificationConfigs 파일을 만들어야 합니다. 지속적 내보내기는 동일한 기능을 제공하지만 Google Cloud 콘솔을 사용하므로 내보내기 생성이 간소화됩니다.

권한

지속적 내보내기를 만들고 관리하려면 다음 역할 중 하나가 필요합니다.

  • roles/securitycenter.adminEditor
  • roles/securitycenter.adminViewer

또한 다음 권한이 있는 역할을 이용할 수 있습니다.

  • Pub/Sub 주제를 열람하거나 게시:

    • pubsub.topics.publish
    • pubsub.topics.list
  • 지속적 내보내기 페이지 열람:

    • securitycenter.notificationconfig.get
    • securitycenter.notificationconfig.list
  • 지속적 내보내기 관리:

    • securitycenter.notificationconfig.create
    • securitycenter.notificationconfig.update
    • securitycenter.notificationconfig.delete

Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

데이터 상주 및 지속적 내보내기

Security Command Center에 대해 데이터 상주가 사용 설정된 경우 Pub/Sub(notificationConfig 리소스)로 지속적 내보내기를 정의하는 구성에 데이터 상주 제어가 적용되고 선택한 Security Command Center 위치에 저장됩니다.

Security Command Center 위치의 발견 항목을 Pub/Sub로 내보내려면 발견 항목과 동일한 Security Command Center 위치에 지속적 내보내기를 구성해야 합니다.

지속적 내보내기에 사용된 필터는 상주 제어가 적용되는 데이터를 포함할 수 있기 때문에 이를 만들기 전에 올바른 위치를 지정해야 합니다. Security Command Center는 내보내기를 만드는 위치를 제한하지 않습니다.

지속적 내보내기는 생성되는 위치에만 저장되며 다른 위치에서 보거나 수정할 수 없습니다.

지속적 내보내기를 만든 후에는 해당 위치를 변경할 수 없습니다. 위치를 변경하려면 지속적 내보내기를 삭제하고 새 위치에 다시 만들어야 합니다.

API 호출을 사용해서 지속적 내보내기를 검색하려면 notificationConfig의 전체 리소스 이름에 위치를 지정해야 합니다. 예를 들면 다음과 같습니다.

GET https://securitycenter.googleapis.com/v2/organizations/123/locations/eu/notificationConfigs/my-pubsub-export-01

마찬가지로 gcloud CLI를 사용하여 지속적 내보내기를 가져오려면 --location 플래그를 사용하여 위치를 지정해야 합니다. 예를 들면 다음과 같습니다.

gcloud scc notifications describe myContinuousExport --organization=123 \
    --location=us

Pub/Sub로 지속적 내보내기 만들기

지속적 내보내기를 사용하면 모든 향후 결과를 Pub/Sub로 자동으로 내보내거나 필터를 만들어 특정 기준을 충족하는 향후 결과를 내보낼 수 있습니다. 사용자는 카테고리, 소스, 애셋 유형, 보안 표시, 심각도, 상태, 기타 변수를 기준으로 결과를 필터링할 수 있습니다.

Pub/Sub용 새 지속적 내보내기를 만들면 Google Cloud 콘솔, gcloud CLI, v2 Security Command Center API 또는 Security Command Center용 v2 클라이언트 라이브러리로 이를 관리할 수 있습니다.

조직은 최대 500개까지 지속적 내보내기를 만들 수 있습니다.

Pub/Sub의 내보내기를 만들려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 툴바에서 프로젝트 선택기를 클릭하고 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 선택사항: Security Command Center에 데이터 상주가 사용 설정된 경우 필요에 따라 데이터 위치를 변경합니다.

    데이터 위치를 변경하려면 작업 모음에서 위치 선택기를 클릭합니다.

    위치 목록이 표시됩니다. 새 위치를 선택합니다.

  4. 발견 항목 쿼리 결과 필드에서 다음 방법 중 하나에 따라 내보낼 발견 항목을 선택합니다.

    • 필터 추가를 클릭하여 내보내려는 발견 항목의 속성을 선택합니다.

      필터 선택 대화상자에서는 지원되는 발견 항목 속성 및 값을 선택할 수 있습니다.

      1. 발견 항목 속성 검색 상자에서 발견 항목 속성을 선택하거나 해당 이름을 입력합니다. 사용 가능한 하위 속성 목록이 표시됩니다.
      2. 하위 속성을 선택합니다. 선택한 하위 속성, 쿼리 연산자, 하나 이상의 하위 속성 값을 사용하여 쿼리 문을 작성할 수 있는 선택 필드가 표시됩니다.
      3. 패널에서 연산자와 하나 이상의 하위 속성 값을 선택합니다. 쿼리 연산자와 연산자가 사용하는 함수에 대한 자세한 내용은 필터 추가 메뉴의 쿼리 연산자를 참고하세요.
      4. 적용을 클릭합니다.

        대화상자가 닫히고 쿼리가 업데이트됩니다.

      5. 발견 항목 쿼리에 원하는 모든 속성이 포함될 때까지 반복합니다.
    • 쿼리 편집기에서 발견 항목 쿼리를 수동으로 코딩합니다. 표준 SQL 연산자인 AND, OR, 같음(=), 포함(:), 부정(-)을 사용하여 내보내려는 발견 항목의 값과 발견 항목 속성을 지정할 수 있습니다.

      쿼리를 입력하면 필터 이름과 함수를 선택할 수 있는 자동 완성 메뉴가 나타납니다.

      예를 들어 다음 쿼리는 prod-project에서 낮은 심각도 및 중간 심각도의 anomalous IAM grant 발견 항목을 음소거하고 이름에 compute 하위 문자열이 포함된 리소스 유형을 제외합니다.

      severity="LOW" OR severity="MEDIUM" AND category="Persistence:
      IAM Anomalous Grant" AND resource.project_display_name="prod-project"
      AND -resource.type:"compute"
      

      발견 항목 필터링에 대한 추가 예시는 필터링 알림을 참조하세요.

  5. 결과 쿼리에서 정확성을 검토합니다. 변경이 필요하면 필요에 따라 속성 및 필터 값을 삭제 또는 추가합니다.

  6. 일치하는 발견 항목 새로고침을 클릭합니다. 테이블에 쿼리와 일치하는 발견 항목이 표시됩니다. 발견 항목 쿼리에 대한 자세한 내용은 Google Cloud 콘솔에서 발견 항목 쿼리 수정을 참조하세요.

  7. 내보내기를 클릭한 다음 지속적에서 Pub/Sub를 클릭합니다.

  8. 필터가 올바른지 검토하고, 필요하면 발견 항목 페이지로 돌아가서 수정합니다.

  9. 지속적 내보내기 이름 아래에 내보내기 이름을 입력합니다.

  10. 지속적 내보내기 설명 아래에 내보내기에 대한 설명을 입력합니다.

  11. 내보내기 대상에서 내보낼 프로젝트를 선택합니다. 이 페이지에서는 프로젝트를 만들 수 없습니다. 새 프로젝트를 만들려면 프로젝트 만들기를 참조하세요.

  12. Pub/Sub 주제에서 발견 항목을 내보내려는 주제를 선택합니다. 주제를 만들려면 다음 안내를 따르세요.

    1. 주제 만들기를 선택합니다.
    2. 주제 ID를 입력한 후 필요에 따라 다른 옵션을 선택합니다.

      1. 스키마 만들기 및 관리에 대해 알아봅니다.
      2. Pub/Sub의 고객 관리 암호화 키(CMEK) 사용에 대해 알아봅니다.
    3. 주제 만들기를 클릭합니다.

  13. 저장을 클릭합니다. 확인 메시지가 표시되고 발견 항목 페이지로 돌아갑니다.

  14. 가이드에 따라 Pub/Sub 주제에 대해 구독을 만듭니다.

Pub/Sub 내보내기 구성이 완료되었습니다. 알림을 게시하려면 service-org-ORGANIZATION_ID@gcp-sa-scc-notification.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다. 이 서비스 계정에는 조직 수준에서 roles/securitycenter.notificationServiceAgent 역할이 자동으로 부여됩니다. 알림이 작동하려면 서비스 계정 역할이 필요합니다.

지속적 내보내기 테스트

내보내기가 작동하는지 확인하려면 다음 단계별 안내를 수행하여 활성 및 비활성 상태 발견 항목 사이를 전환합니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 쿼리 수정 버튼을 클릭합니다. 쿼리 편집기가 열립니다.

  3. 활성 및 비활성 발견 항목이 모두 표시되도록 쿼리를 수정합니다. 다음 쿼리는 음소거된 것을 제외하고 모든 발견 항목을 표시하도록 state 속성을 생략합니다.

    NOT mute="MUTED"
    1. 필요한 경우 쿼리 편집기를 사용하여 테스트 중인 내보내기 필터와 일치하는 필터 변수를 다시 입력합니다.
    2. 발견 항목을 선택한 다음 활성 상태 변경 > 비활성을 클릭합니다.
    3. 비활성으로 표시한 발견 항목을 다시 선택하고 활성 상태 변경 > 활성을 클릭합니다. 새로 활성화된 발견 항목에 대한 알림이 전송됩니다.
    4. Google Cloud 콘솔에서 Pub/Sub 페이지로 이동합니다.

    Pub/Sub로 이동

    1. 주제 목록에서 주제 이름을 클릭하세요.
    2. 메시지 탭으로 이동하여 목록에서 구독을 선택하면 발견 항목 알림이 표시됩니다.
    3. 선택사항: 가져오기를 클릭하여 메시지를 새로고침합니다.

지속적 내보내기 관리

내보내기를 보거나 열람, 수정, 삭제하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center 설정 페이지로 이동합니다.

    설정으로 이동

  2. 툴바에서 프로젝트 선택기를 클릭하고 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 선택사항: Security Command Center에 데이터 상주가 사용 설정된 경우 필요에 따라 데이터 위치를 변경합니다.

    데이터 위치를 변경하려면 작업 모음에서 위치 선택기를 클릭합니다.

    위치 목록이 표시됩니다. 새 위치를 선택합니다.

  4. 지속적 내보내기를 선택합니다. 그러면 프로젝트, 폴더, 조직의 지속적 내보내기 목록이 표시됩니다.

Google Cloud 콘솔에서 일부 지속적 내보내기에는 v1 Security Command Center API로 생성되었음을 나타내는 기존 라벨이 표시될 수 있습니다. Google Cloud 콘솔, gcloud CLI, v1 Security Command Center API 또는 Security Command Center용 v1 클라이언트 라이브러리를 사용하여 이러한 지속적인 내보내기를 관리할 수 있습니다.

gcloud CLI로 이러한 지속적인 내보내기를 관리하려면 gcloud CLI 명령어를 실행할 때 위치를 지정해서는 안 됩니다.

설정지속적 내보내기 페이지에서 지속적 내보내기에 대해 만들기, 보기, 수정, 삭제를 수행할 수 있습니다.

내보내기 필터와 일치하는 결과를 열람하려면 다음을 수행합니다.

지속적 내보내기 페이지에서 내보내기 이름 옆에 있는 더보기 를 클릭한 다음 관련 필터 보기를 클릭합니다.

발견 항목 페이지에 내보내기 필터와 일치하는 발견 항목이 로드됩니다.

지속적 내보내기 수정

  1. 지속적 내보내기 페이지에서 보거나 수정할 내보내기의 이름을 클릭하거나 더보기 를 클릭합니다.
  2. 수정을 선택합니다.
  3. 새 설명을 입력하고, 내보내기를 저장할 프로젝트를 변경하거나, 새 Pub/Sub 주제를 입력합니다.
  4. 완료되면 저장을 클릭합니다.

지속적 내보내기 삭제

  1. 지속적 내보내기 페이지에서 삭제할 내보내기 이름을 클릭합니다.
  2. 삭제를 클릭합니다.
  3. 대화상자에서 삭제를 클릭합니다. 내보내기가 삭제됩니다.

다음 단계

발견 항목 알림 자세히 알아보기