감지 서비스

이 페이지에는 Security Command Center에서 클라우드 환경의 보안 문제를 감지하는 데 사용하는 감지 서비스(보안 소스라고도 함) 목록이 포함되어 있습니다.

이러한 서비스는 문제를 감지하면 보안 문제를 식별하고 우선 순위를 지정하여 문제를 해결하는 데 필요한 정보를 제공하는 기록인 발견 항목을 생성합니다.

Google Cloud 콘솔에서 발견 항목을 보고 발견 항목 유형, 리소스 유형, 특정 애셋 필터링과 같은 다양한 방법으로 필터링할 수 있습니다. 각 보안 소스는 발견 항목을 조직화하는 데 도움이 되는 필터를 더 많이 제공할 수 있습니다.

Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.

취약점 감지 서비스

취약점 감지 서비스에는 클라우드 환경에서 소프트웨어 취약점, 구성 오류, 상황 위반을 감지하는 기본 제공 및 통합 서비스가 포함됩니다. 이러한 유형의 보안 문제를 총체적으로 취약점이라고 합니다.

GKE 보안 상황 대시보드

GKE 보안 상황 대시보드는 Google Cloud 콘솔에서 GKE 클러스터의 잠재적 보안 문제에 대해 독자적이고 활용 가능한 발견 항목을 제공하는 페이지입니다.

다음 GKE 보안 상황 대시보드 기능을 사용 설정하면 Security Command Center 표준 등급 또는 프리미엄 등급에 발견 항목이 표시됩니다.

GKE 보안 상황 대시보드 기능 Security Command Center 발견 항목 클래스
워크로드 구성 감사 MISCONFIGURATION
VULNERABILITY

발견 항목은 보안 문제에 관한 정보를 표시하고 워크로드 또는 클러스터에서 문제 해결을 위한 권장사항을 제공합니다.

콘솔에서 GKE 보안 상황 대시보드 발견 항목 보기

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 GKE 보안 상황을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. GKE 보안 상황을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

IAM 추천자

IAM 추천자는 주 구성원에게 필요하지 않은 IAM 권한이 포함된 경우 주 구성원에서 IAM 역할을 삭제하거나 대체하여 보안을 개선하기 위해 수행할 수 있는 권장사항을 제공합니다.

IAM 추천자는 Security Command Center를 활성화할 때 자동으로 사용 설정됩니다.

IAM 추천자 발견 항목 사용 설정 또는 사용 중지

Security Command Center에서 IAM 추천자 발견 항목을 사용 설정 또는 사용 중지하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔의 Security Command Center 설정 페이지에 있는 통합 서비스 탭으로 이동합니다.

    설정으로 이동

  2. 필요한 경우 IAM 추천 도구 항목까지 아래로 스크롤합니다.

  3. 항목 오른쪽에서 사용 설정 또는 사용 중지를 선택합니다.

IAM 추천자의 발견사항은 취약점으로 분류됩니다.

IAM 추천자 발견 항목을 해결하려면 다음 섹션을 펼쳐 IAM 추천자 발견 항목 표를 확인하세요. 각 발견 항목의 해결 단계는 표 항목에 포함됩니다.

콘솔에서 IAM 추천자 발견 항목 보기

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 IAM 추천자를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. IAM 추천자를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

또한 Google Cloud 콘솔에서 IAM 추천자 쿼리 사전 설정을 선택하여 취약점 페이지에서 IAM 추천자 발견 항목을 볼 수 있습니다.

Mandiant Attack Surface Management

Mandiant는 일선 위협 인텔리전스 부문의 세계적인 선두업체입니다. Mandiant Attack Surface Management는 외부 공격 표면의 취약점과 잘못된 구성을 식별하여 최신 사이버 공격에 대응할 수 있도록 지원합니다.

Security Command Center Enterprise 등급을 활성화하면 Mandiant Attack Surface Management가 자동으로 사용 설정되며 발견 항목이 Google Cloud 콘솔에서 제공됩니다.

독립형 Mandiant Attack Surface Management 제품이 Security Command Center 내의 Mandiant Attack Surface Management 통합과 어떻게 다른지에 대한 자세한 내용은 Mandiant 문서 포털의 ASM 및 Security Command Center를 참조하세요. 이 링크에는 Mandiant 인증이 필요합니다.

콘솔에서 Mandiant Attack Surface Management 발견 항목 검토

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Mandiant Attack Surface Management를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. Mandiant Attack Surface Management를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

정책 컨트롤러

정책 컨트롤러를 사용 설정하면 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다. 정책은 가드레일 역할을 하며 클러스터와 Fleet의 권장사항, 보안, 규정 준수 관리에 도움이 됩니다.

정책 컨트롤러를 설치하고 CIS Kubernetes 벤치마크 v1.5.1이나 PCI-DSS v3.2.1 정책 컨트롤러 번들 또는 둘 다를 사용 설정하면 정책 컨트롤러가 Security Command Center에 클러스터 위반을 Misconfiguration 클래스 발견 항목으로 자동으로 작성합니다. Security Command Center 발견 항목의 발견 항목 설명 및 다음 단계는 해당하는 정책 컨트롤러 번들의 제약 조건 설명 및 해결 단계와 동일합니다.

정책 컨트롤러 발견 항목은 다음 정책 컨트롤러 번들에서 가져옵니다.

정책 컨트롤러 발견 항목을 찾고 해결하려면 정책 컨트롤러 발견 항목 해결을 참조하세요.

Risk Engine

Security Command Center 위험 엔진은 클라우드 배포의 위험 노출을 평가하고 취약점 발견 항목 및 고가치 리소스에 공격 노출 점수를 할당하며 잠재적 공격자가 고가치 리소스에 도달할 수 있는 경로를 다이어그램으로 보여줍니다.

Security Command Center Enterprise 등급에서 Risk Engine은 특정 패턴에서 함께 발생할 경우 완강한 공격자가 이를 이용해 하나 이상의 고가치 리소스에 도달하여 손상시킬 수 있는 경로를 생성하는 보안 문제 그룹을 감지합니다.

위험 엔진에서 이러한 조합 중 하나를 감지하면 TOXIC_COMBINATION 클래스 발견 항목이 생성됩니다. 발견 항목에서 위험 엔진이 발견 항목의 소스로 표시됩니다.

자세한 내용은 유해한 조합 개요를 참조하세요.

Security Health Analytics

Security Health Analytics는 일반적인 구성 오류를 감지하기 위해 클라우드 리소스의 관리형 스캔을 제공하는 Security Command Center의 기본 제공 감지 서비스입니다.

구성 오류가 감지되면 Security Health Analytics에서 발견 항목을 생성합니다. 대부분의 Security Health Analytics 발견 항목은 규정 준수를 평가할 수 있도록 보안 표준 제어에 매핑됩니다.

Security Health Analytics는 Google Cloud에서 리소스를 스캔합니다. Enterprise 등급을 사용하고 다른 클라우드 플랫폼에 연결을 설정하면 Security Health Analytics가 해당 클라우드 플랫폼에서 리소스를 스캔할 수도 있습니다.

사용 중인 Security Command Center 서비스 등급에 따라 사용 가능한 감지기가 다릅니다.

Security Health Analytics는 Security Command Center를 활성화할 때 자동으로 사용 설정됩니다.

자세한 내용은 다음을 참고하세요.

보안 상황 서비스

보안 상황 서비스는 Google Cloud에서 전체 보안 상태를 정의, 평가, 모니터링할 수 있게 해주는 Security Command Center 프리미엄 등급의 기본 제공 서비스입니다. 해당 환경이 보안 상황에 정의한 정책과 일치하는 정도에 대한 정보를 제공합니다.

보안 상황 서비스는 GKE 보안 상황 대시보드와 관련되지 않으며, GKE 클러스터의 발견 항목만 표시합니다.

Sensitive Data Protection

Sensitive Data Protection은 완전 관리형 Google Cloud 서비스로서 민감한 정보를 검색, 분류, 보호할 수 있게 해줍니다. Sensitive Data Protection을 사용하여 다음과 같은 민감한 정보 또는 개인 식별 정보(PII)를 저장하는지 확인할 수 있습니다.

  • 사람 이름
  • 신용카드 번호
  • 국가 또는 주 신분증 번호
  • 건강 보험 ID 번호
  • 보안 비밀

Sensitive Data Protection에서 검색하는 민감한 정보의 유형을 infoType이라고 합니다.

Security Command Center로 결과를 전송하도록 Sensitive Data Protection 작업을 구성하면 Sensitive Data Protection 섹션 외에도 Google Cloud 콘솔의 Security Command Center 섹션에서 직접 발견 항목을 볼 수 있습니다.

Sensitive Data Protection 검색 서비스의 취약점 발견 항목

Sensitive Data Protection 검색 서비스를 사용하면 보호되지 않는 매우 민감한 정보를 저장하고 있는지 확인할 수 있습니다.

카테고리 요약

Public sensitive data

API의 카테고리 이름:

PUBLIC_SENSITIVE_DATA

발견 항목 설명: 지정된 리소스에 모든 사용자가 인터넷에서 액세스할 수 있는 매우 민감한 정보가 있습니다.

지원되는 애셋:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 버킷

해결:

Google Cloud 데이터의 경우 데이터 애셋의 IAM 정책에서 allUsersallAuthenticatedUsers를 삭제합니다.

Amazon S3 데이터의 경우 공개 액세스 차단 설정을 구성하거나 객체의 ACL을 업데이트하여 공개 읽기 액세스를 거부합니다.

규정 준수 표준: 매핑되지 않음

Secrets in environment variables

API의 카테고리 이름:

SECRETS_IN_ENVIRONMENT_VARIABLES

발견 항목 설명: 환경 변수에 비밀번호, 인증 토큰, Google Cloud 사용자 인증 정보와 같은 보안 비밀이 있습니다.

이 감지기를 사용 설정하려면 Sensitive Data Protection 문서의 Security Command Center에 환경 변수의 보안 비밀 보고를 참조하세요.

지원되는 애셋:

해결:

Cloud Run Functions 환경 변수의 경우 환경 변수에서 보안 비밀을 삭제하고 대신 Secret Manager에 저장합니다.

Cloud Run 서비스 버전 환경 변수의 경우 모든 트래픽을 버전 외부로 이동한 후 버전을 삭제합니다.

규정 준수 표준:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

API의 카테고리 이름:

SECRETS_IN_STORAGE

발견 항목 설명: 지정된 리소스에 비밀번호, 인증 토큰, 클라우드 사용자 인증 정보와 같은 보안 비밀이 있습니다.

지원되는 애셋:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 버킷

해결:

  1. Google Cloud 데이터의 경우 Sensitive Data Protection을 사용하여 지정된 리소스에 심층 검사 스캔을 실행하여 영향을 받는 모든 리소스를 식별합니다. Cloud SQL 데이터의 경우 데이터를 Cloud Storage 버킷의 CSV 또는 AVRO 파일로 내보내고 버킷 심층 검사 스캔을 실행합니다.

    Amazon S3 데이터의 경우 지정된 버킷을 수동으로 검사합니다.

  2. 감지된 보안 비밀을 삭제합니다.
  3. 사용자 인증 정보를 재설정하는 것이 좋습니다.
  4. Google Cloud 데이터의 경우 감지된 보안 비밀을 대신 Secret Manager에 저장하는 것이 좋습니다.

규정 준수 표준: 매핑되지 않음

Sensitive Data Protection의 관찰 발견 항목

이 섹션에서는 Sensitive Data Protection이 Security Command Center에서 생성하는 관찰 발견 항목에 대해 설명합니다.

검색 서비스의 관찰 발견 항목

Sensitive Data Protection 검색 서비스는 데이터에 특정 infoType이 포함되어 있는지 여부와 조직, 폴더, 프로젝트에서 상주하는 위치를 확인하는 데 도움이 됩니다. Security Command Center에서 다음과 같은 관찰 발견 항목 카테고리를 생성합니다.

Data sensitivity
특정 데이터 애셋의 데이터 민감도 수준을 나타냅니다. PII 또는 추가 제어나 관리가 필요할 수 있는 기타 요소가 포함된 데이터는 민감한 정보입니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection으로 계산한 민감도 수준입니다.
Data risk
현재 상태의 데이터와 관련된 위험입니다. 데이터 위험을 계산할 때 Sensitive Data Protection은 데이터 애셋에 있는 데이터의 민감도 수준과 해당 데이터를 보호하기 위한 액세스 제어의 존재 여부를 고려합니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection이 계산한 데이터 위험 수준입니다.

Sensitive Data Protection에서 데이터 프로필을 생성한 시간부터 연결된 관련 발견 항목이 Security Command Center에 표시되는 데 최대 6시간이 걸릴 수 있습니다.

데이터 프로필 결과를 Security Command Center로 전송하는 방법은 다음을 참조하세요.

Sensitive Data Protection 검사 서비스의 관찰 발견 항목

Sensitive Data Protection 검사 작업은 Cloud Storage 버킷 또는 BigQuery 테이블과 같은 스토리지 시스템 내에서 특정 infoType에 해당하는 각 데이터 인스턴스를 식별합니다. 예를 들어 Cloud Storage 버킷에서 CREDIT_CARD_NUMBER infoType 감지기와 일치하는 모든 문자열을 검색하는 검사 작업을 실행할 수 있습니다.

각 infoType 감지기에서 일치하는 항목이 하나 이상 있으면 Sensitive Data Protection은 Security Command Center에 상응하는 발견 항목을 생성합니다. 발견 항목 카테고리는 일치한 infoType 감지기의 이름입니다(예: Credit card number). 결과에는 리소스의 텍스트 또는 이미지에서 감지된 일치하는 문자열의 수가 포함됩니다.

보안상의 이유로 감지된 실제 문자열은 발견 항목에 포함되지 않습니다. 예를 들어 Credit card number 발견 항목은 발견된 신용카드 번호의 수를 표시하지만 실제 신용카드 번호는 표시되지 않습니다.

Sensitive Data Protection에는 150개 이상의 infoType 감지기가 기본 제공되므로 가능한 모든 Security Command Center 발견 항목 카테고리가 나열되어 있는 것은 아닙니다. infoType 감지기의 전체 목록은 InfoType 감지기 참조를 참고하세요.

검사 작업 결과를 Security Command Center로 전송하는 방법은 Sensitive Data Protection 검사 작업 결과를 Security Command Center로 보내기를 참조하세요.

콘솔에서 Sensitive Data Protection 발견 항목 검토

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 민감한 정보 보호를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. Sensitive Data Protection을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

VM Manager

VM Manager는 Compute Engine에서 Windows 및 Linux를 실행하는 대규모 가상 머신(VM) 그룹의 운영체제 관리에 사용할 수 있는 도구 모음입니다.

Security Command Center 프리미엄의 프로젝트 수준 활성화에 VM Manager를 사용하려면 상위 조직에서 Security Command Center 표준을 활성화하세요.

Security Command Center 프리미엄 등급으로 VM Manager를 사용 설정한 경우 VM Manager는 미리보기에 있는 취약점 보고서highcritical 발견 항목을 Security Command Center에 자동으로 작성합니다. 이 보고서는 Common Vulnerabilities and Exposures(CVE) 등 VM에 설치된 운영체제(OS)의 취약점을 식별합니다.

Security Command Center 표준에 대해 사용 가능한 취약점 보고서가 없습니다.

발견 항목은 미리보기 버전인 VM Manager의 패치 규정 준수 기능을 사용하는 프로세스를 간소화해 줍니다. 이 기능을 사용하면 모든 프로젝트에서 조직 수준으로 패치를 관리할 수 있습니다. VM Manager는 단일 프로젝트 수준의 패치 관리를 지원합니다.

VM Manager 발견 항목을 해결하려면 VM Manager 발견 항목 해결을 참조하세요.

취약점 보고서가 Security Command Center에 작성되지 않도록 하려면 VM Manager 발견 항목 숨기기를 참고하세요.

이 유형의 모든 취약점은 지원되는 Compute Engine VM에 설치된 운영체제 패키지와 관련이 있습니다.

감지기 요약 애셋 검사 설정

OS vulnerability

API의 카테고리 이름: OS_VULNERABILITY

발견 항목 설명: VM Manager가 Compute Engine VM에 설치된 운영체제(OS) 패키지의 취약점을 감지했습니다.

가격 책정 등급: 프리미엄

지원되는 애셋

compute.googleapis.com/Instance

이 발견 항목 수정

VM Manager의 취약점 보고서Common Vulnerabilities and Exposures(CVE) 등 Compute Engine VM용으로 설치된 운영체제 패키지의 취약점을 자세히 설명합니다.

지원되는 운영체제의 전체 목록은 운영체제 세부정보를 참조하세요.

발견 항목은 취약점이 감지된 후 바로 Security Command Center에 표시됩니다. VM Manager의 취약점 보고서는 다음과 같이 생성됩니다.

  • 패키지가 VM 운영체제에 설치되거나 업데이트되면 Security Command Center에서 VM에 대한 Common Vulnerabilities and Exposures(CVE) 정보가 변경 2시간 후 표시될 수 있습니다.
  • 운영체제에 대한 새로운 보안 권고가 게시되면 일반적으로 운영체제 공급업체가 권고를 게시한 후 24시간 내에 업데이트된 CVE가 제공됩니다.

AWS용 취약점 평가

Amazon Web Services(AWS)의 취약점 평가 서비스는 AWS 클라우드 플랫폼의 EC2 가상 머신(VM)에서 실행 중인 워크로드의 소프트웨어 취약점을 감지합니다.

감지된 각 취약점에 대해 AWS용 취약점 평가는 Security Command Center의 Software vulnerability 발견 항목 카테고리에 Vulnerability 클래스 발견 항목을 생성합니다.

AWS용 취약점 평가 서비스는 실행 중인 EC2 머신 인스턴스의 스냅샷을 스캔하므로 프로덕션 워크로드는 영향을 받지 않습니다. 스캔 타겟에 에이전트가 설치되어 있지 않으므로 이 스캔 방법을 에이전트리스 디스크 스캔이라고 합니다.

자세한 내용은 다음을 참조하세요.

Web Security Scanner

Web Security Scanner는 공개 App Engine, GKE, Compute Engine 서비스 웹 애플리케이션을 위한 관리형 커스텀 웹 취약점 스캔을 제공합니다.

관리형 스캔

Web Security Scanner 관리형 스캔은 Security Command Center에서 구성하고 관리합니다. 관리형 스캔은 매주 자동으로 실행되며 공개 웹 엔드포인트를 감지하고 스캔합니다. 이러한 스캔은 인증을 사용하지 않으며 GET 전용 요청을 전송하므로 실시간 웹사이트에서 양식을 제출하지 않습니다.

관리형 스캔은 커스텀 스캔과 별도로 실행됩니다.

Security Command Center가 조직 수준에서 활성화된 경우 관리형 스캔을 사용하면 개별 프로젝트팀을 구성할 필요 없이 조직 내 프로젝트에 대한 기본 웹 애플리케이션 취약점 감지를 중앙에서 관리할 수 있습니다. 발견 항목이 발견되면 해당 팀과 협력하여 더욱 포괄적인 커스텀 스캔을 설정할 수 있습니다.

Web Security Scanner를 서비스로 사용 설정하면 Security Command Center 취약점 페이지 및 관련 보고서에서 관리형 스캔 발견 항목을 자동으로 사용할 수 있습니다. Web Security Scanner 관리형 스캔을 사용 설정하는 방법은 Security Command Center 서비스 구성을 참조하세요.

관리형 스캔은 기본 포트(HTTP 연결의 경우 80, HTTPS 연결의 경우 443)를 사용하는 애플리케이션만 지원합니다. 애플리케이션에서 기본이 아닌 포트를 사용하는 경우 커스텀 스캔을 대신 수행합니다.

커스텀 스캔

Web Security Scanner 커스텀 스캔은 오래된 라이브러리, 교차 사이트 스크립팅 또는 혼합 콘텐츠 사용과 같은 애플리케이션 취약점 발견 항목에 대한 세부적인 정보를 제공합니다.

프로젝트 수준에서 커스텀 스캔을 정의합니다.

Web Security Scanner 커스텀 스캔 설정 가이드를 완료하면 Security Command Center에서 커스텀 스캔 발견 항목을 확인할 수 있습니다.

감지기 및 규정 준수

Web Security Scanner는 OWASP 상위 10개에서 카테고리를 지원합니다. 이 문서는 가장 중요한 웹 애플리케이션 보안 위험 10가지의 순위를 매기고 웹 애플리케이션 보안 프로젝트(OWASP)를 엽니다. OWASP 위험 완화에 대한 자세한 내용은 Google Cloud의 OWASP 상위 10개 완화 옵션을 참조하세요.

규정 준수 매핑은 참조용으로 포함되어 있으며 OWASP 재단에서 제공되거나 검토하지 않습니다.

이 기능은 규정 준수 제어 위반을 모니터링하기 위한 것입니다. 이 매핑은 규제 또는 업계 벤치마크나 표준을 준수하는 제품 또는 서비스의 규정 준수, 인증, 보고를 기반으로 사용하거나 대안으로 제공되지 않습니다.

Web Security Scanner 커스텀 스캔 및 관리형 스캔은 다음 발견 항목 유형을 식별합니다. Standard 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.

카테고리 발견 항목 설명 OWASP 2017 상위 10개 OWASP 2021 상위 10개

Accessible Git repository

API의 카테고리 이름: ACCESSIBLE_GIT_REPOSITORY

GIT 저장소가 공개됩니다. 이 발견 항목을 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A5 A01

Accessible SVN repository

API의 카테고리 이름: ACCESSIBLE_SVN_REPOSITORY

SVN 저장소가 공개됩니다. 이 발견 항목을 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A5 A01

Cacheable password input

API의 카테고리 이름: CACHEABLE_PASSWORD_INPUT

웹 애플리케이션에 입력한 비밀번호는 보안 비밀번호 스토리지 대신 일반 브라우저 캐시에 캐시될 수 있습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A3 A04

Clear text password

API의 카테고리 이름: CLEAR_TEXT_PASSWORD

비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 발견 항목을 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A3 A02

Insecure allow origin ends with validation

API의 카테고리 이름: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 서픽스만 검사합니다. 이 발견 항목을 해결하려면 예상 루트 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영되기 전에 Origin 헤더 값의 일부인지 확인하세요. 하위 도메인 와일드 카드의 경우 루트 도메인 앞에 마침표를 추가합니다(예: .endsWith(".google.com")).

가격 책정 등급: 프리미엄

이 발견 항목 수정

A5 A01

Insecure allow origin starts with validation

API의 카테고리 이름: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 프리픽스만 검사합니다. 이 발견 항목을 해결하려면 예상 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영하기 전의 Origin 헤더 값과 완전히 일치하는지 확인합니다(예: .equals(".google.com")).

가격 책정 등급: 프리미엄

이 발견 항목 수정

A5 A01

Invalid content type

API의 카테고리 이름: INVALID_CONTENT_TYPE

리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 발견 항목을 해결하려면 X-Content-Type-Options HTTP 헤더를 올바른 값으로 설정합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A6 A05

Invalid header

API의 카테고리 이름: INVALID_HEADER

보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A6 A05

Mismatching security header values

API의 카테고리 이름: MISMATCHING_SECURITY_HEADER_VALUES

보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A6 A05

Misspelled security header name

API의 카테고리 이름: MISSPELLED_SECURITY_HEADER_NAME

보안 헤더가 잘못 입력되어 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A6 A05

Mixed content

API의 카테고리 이름: MIXED_CONTENT

리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 발견 항목을 해결하려면 모든 리소스가 HTTPS를 통해 제공되는지 확인합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A6 A05

Outdated library

API의 카테고리 이름: OUTDATED_LIBRARY

알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 발견 항목을 해결하려면 라이브러리를 최신 버전으로 업그레이드합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A9 A06

Server side request forgery

API의 카테고리 이름: SERVER_SIDE_REQUEST_FORGERY

서버 측 요청 위조(SSRF) 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 허용 목록을 사용하여 웹 애플리케이션에서 요청할 수 있는 도메인과 IP 주소를 제한합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

해당 사항 없음 A10

Session ID leak

API의 카테고리 이름: SESSION_ID_LEAK

교차 도메인 요청을 수행할 때 웹 애플리케이션은 Referer 요청 헤더에 사용자의 세션 식별자를 포함합니다. 이 취약점은 수신 도메인에 세션 식별자에 대한 액세스 권한을 부여하므로 사용자를 가장하거나 고유하게 식별하는 데 사용될 수 있습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A2 A07

SQL injection

API의 카테고리 이름: SQL_INJECTION

잠재적인 SQL 삽입 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 파라미터화된 쿼리를 사용하여 사용자 입력이 SQL 쿼리 구조에 영향을 미치지 않도록 합니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A1 A03

Struts insecure deserialization

API의 카테고리 이름: STRUTS_INSECURE_DESERIALIZATION

취약한 Apache Struts 버전 사용이 감지되었습니다. 이 발견 항목을 해결하려면 Apache Struts를 최신 버전으로 업그레이드합니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A8 A08

XSS

API의 카테고리 이름: XSS

이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A7 A03

XSS angular callback

API의 카테고리 이름: XSS_ANGULAR_CALLBACK

사용자 제공 문자열은 이스케이프 처리되지 않으며 AngularJS가 이를 보간할 수 있습니다. 이 발견 항목을 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A7 A03

XSS error

API의 카테고리 이름: XSS_ERROR

이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A7 A03

XXE reflected file leakage

API의 카테고리 이름: XXE_REFLECTED_FILE_LEAKAGE

XXE(XML External Entity) 취약점이 감지되었습니다. 이 취약점으로 인해 웹 애플리케이션이 호스트에서 파일을 유출할 수 있습니다. 이 발견 항목을 해결하려면 외부 항목을 허용하지 않도록 XML 파서를 구성하세요.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A4 A05

Prototype pollution

API의 카테고리 이름: PROTOTYPE_POLLUTION

애플리케이션이 프로토타입 오염에 취약합니다. 이 취약점은 Object.prototype 객체의 속성에 공격자가 제어할 수 있는 값을 할당할 수 있을 때 발생합니다. 이 프로토타입에 할당된 값은 일반적으로 교차 사이트 스크립팅, 유사한 클라이언트 측 취약점, 로직 버그로 변환되는 것으로 가정됩니다.

가격 책정 등급: 프리미엄 또는 스탠더드

이 발견 항목 수정

A1 A03

위협 감지 서비스

위협 감지 서비스에는 손상된 리소스 또는 사이버 공격과 같이 잠재적으로 유해한 이벤트를 나타낼 수 있는 이벤트를 감지하는 기본 제공 및 통합 서비스가 포함됩니다.

이상 감지

이상 감지는 시스템 외부의 동작 신호를 사용하는 기본 제공 서비스입니다. 프로젝트 및 가상 머신(VM) 인스턴스에서 감지된 보안 이상(예: 유출 가능성이 있는 사용자 인증 정보)에 관한 상세 정보를 표시합니다. Security Command Center 스탠더드 또는 프리미엄 등급을 활성화하면 이상 감지가 자동으로 사용 설정되며, Google Cloud 콘솔에서 결과를 확인할 수 있습니다.

이상 감지 발견 항목에는 다음이 포함됩니다.

이상치 이름 발견 항목 카테고리 설명
Account has leaked credentials account_has_leaked_credentials

Google Cloud 서비스 계정의 사용자 인증 정보가 온라인에서 유출되거나 손상되었습니다.

심각도: 심각

계정에서 사용자 인증 정보 유출

GitHub에서 커밋에 사용된 사용자 인증 정보가 Google Cloud Identity and Access Management 서비스 계정의 사용자 인증 정보라는 알림을 Security Command Center에 보냈습니다.

이 알림에는 서비스 계정 이름과 비공개 키 식별자가 포함되어 있습니다. 또한 Google Cloud에서는 보안 및 개인 정보 보호 담당자에게 이메일로 알림을 보냅니다.

이 문제를 해결하려면 다음 중 하나 이상의 조치를 취하세요.

  • 키의 정당한 사용자를 식별합니다.
  • 키를 순환합니다.
  • 키를 삭제합니다.
  • 키가 유출된 후 키에 의해 취해진 모든 작업을 조사하여 악의적인 작업이 없었는지 확인합니다.

JSON: 유출된 계정 사용자 인증 정보 발견

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}
    

Container Threat Detection

Container Threat Detection은 가장 일반적인 컨테이너 런타임 공격을 감지하고 Security Command Center 및 필요한 경우 Cloud Logging에서 사용자에게 알림을 보낼 수 있습니다. Container Threat Detection에는 여러 감지 기능, 분석 도구, API가 포함되어 있습니다.

Container Threat Detection 감지 도구는 게스트 커널에서 하위 수준의 동작을 수집하고 코드에 자연어 처리를 수행하여 다음 이벤트를 감지합니다.

  • Added Binary Executed
  • Added Library Loaded
  • Execution: Added Malicious Binary Executed
  • Execution: Added Malicious Library Loaded
  • Execution: Built in Malicious Binary Executed
  • Execution: Container Escape
  • Execution: Kubernetes Attack Tool Execution
  • Execution: Local Reconnaissance Tool Execution
  • Execution: Malicious Python executed
  • Execution: Modified Malicious Binary Executed
  • Execution: Modified Malicious Library Loaded
  • Malicious Script Executed
  • Malicious URL Observed
  • Reverse Shell
  • Unexpected Child Shell

Container Threat Detection 자세히 알아보기

Event Threat Detection

Event Threat Detection은 시스템 내의 로그 데이터를 사용합니다. Cloud Logging 스트림을 프로젝트에서 감시하고, 로그를 사용할 수 있게 되면 이를 사용합니다. 위협이 감지되면 Event Threat Detection은 Security Command Center 및 Cloud Logging 프로젝트에 발견 항목을 기록합니다. Event Threat Detection은 Security Command Center 프리미엄 등급을 활성화하면 자동으로 사용 설정되며, 발견 항목은 Google Cloud 콘솔에서 확인할 수 있습니다.

다음 표에는 Event Threat Detection 발견 항목의 예가 나와 있습니다.

표 C. Event Threat Detection 발견 항목 유형
데이터 폐기

Event Threat Detection은 다음 시나리오에서 백업 및 DR 서비스 관리 서버의 감사 로그를 검사하여 데이터 폐기를 감지합니다.

  • 백업 이미지 삭제
  • 애플리케이션과 연결된 모든 백업 이미지 삭제
  • 백업/복구 어플라이언스 삭제
데이터 무단 반출

Event Threat Detection은 다음 시나리오의 감사 로그를 검사하여 BigQuery 및 Cloud SQL에서 데이터 무단 반출을 감지합니다.

  • BigQuery 리소스가 조직 외부에 저장되거나 VPC 서비스 제어로 차단된 복사 작업이 시도된 경우
  • VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 작업이 시도된 경우
  • Cloud SQL 리소스를 조직 외부의 Cloud Storage 버킷이나 조직에서 소유하고 있으며 공개적으로 액세스할 수 있는 버킷으로 완전히 또는 부분적으로 내보냅니다.
  • Cloud SQL 백업이 조직 외부의 Cloud SQL 인스턴스로 복원됩니다.
  • 조직에서 소유한 BigQuery 리소스를 조직 외부의 Cloud Storage 버킷 또는 공개적으로 액세스할 수 있는 조직 내 버킷으로 내보냅니다.
  • 조직에서 소유한 BigQuery 리소스를 Google Drive 폴더로 내보냅니다.
  • BigQuery 리소스가 조직에서 소유한 공개 리소스에 저장됩니다.
Cloud SQL의 의심스러운 활동

Event Threat Detection은 감사 로그를 검사하여 Cloud SQL 인스턴스에서 유효한 사용자 계정이 손상되었음을 나타낼 수 있는 다음과 같은 이벤트를 감지합니다.

  • 데이터베이스 사용자에게는 PostgreSQL용 Cloud SQL 데이터베이스 또는 스키마의 모든 테이블, 절차, 함수에 대한 모든 권한이 부여됩니다.
  • Cloud SQL 기본 데이터베이스 계정 수퍼유저(PostgreSQL 인스턴스의 'postgres' 또는 MySQL 인스턴스의 'root')는 시스템 이외의 테이블에 쓰는 데 사용됩니다.
PostgreSQL용 AlloyDB의 의심스러운 활동

Event Threat Detection은 감사 로그를 검사하여 PostgreSQL용 AlloyDB 인스턴스에서 유효한 사용자 계정이 손상되었음을 나타낼 수 있는 다음과 같은 이벤트를 감지합니다.

  • 데이터베이스 사용자에게는 PostgreSQL용 AlloyDB 데이터베이스 또는 스키마의 모든 테이블, 절차, 함수에 대한 모든 권한이 부여됩니다.
  • PostgreSQL용 AlloyDB 기본 데이터베이스 계정 수퍼유저('postgres')는 시스템 이외의 테이블에 쓰는 데 사용됩니다.
무작위 공격 SSH Event Threat Detection은 성공 이후의 반복적인 실패에 대해 syslog 로그를 검사하여 비밀번호 인증 SSH 무차별 사용을 감지합니다.
암호화폐 채굴 Event Threat Detection은 채굴 풀의 알려진 불량 도메인 또는 IP 주소에 대한 VPC 흐름 로그 및 Cloud DNS 로그를 검사하여 코인 채굴 멀웨어를 감지합니다.
IAM 악용

이상 IAM 권한 부여: Event Threat Detection은 다음과 같이 이상으로 간주될 수 있는 IAM 권한의 추가를 감지합니다.

  • 프로젝트 편집자 역할을 사용하여 gmail.com 사용자를 정책에 추가
  • Google Cloud 콘솔에서 gmail.com 사용자를 프로젝트 소유자로 초대
  • 민감한 권한을 부여하는 서비스 계정
  • 커스텀 역할이 민감한 권한 부여
  • 조직 외부에서 추가된 서비스 계정
시스템 복구 차단

Event Threat Detection은 중요한 정책 변경사항 및 중요한 백업 및 DR 구성요소 삭제 등 백업 상태에 영향을 미칠 수 있는 백업 및 DR에 대한 이상한 변경사항을 감지합니다.

Log4j Event Threat Detection은 Log4j 악용 시도 및 활성 Log4j 취약점에 대한 시도를 감지합니다.
멀웨어 Event Threat Detection은 알려진 명령어와 제어 도메인 연결 및 IP에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 멀웨어를 감지합니다.
발신 DoS Event Threat Detection은 VPC 흐름 로그를 검사하여 발신 서비스 거부 트래픽을 감지합니다.
비정상 액세스 Event Threat Detection은 Tor IP 주소와 같은 익명 프록시 IP 주소에서 발생한 Google Cloud 서비스 수정에 대한 Cloud 감사 로그를 검사하여 비정상적인 액세스를 감지합니다.
비정상 IAM 동작 Event Threat Detection은 다음 시나리오의 Cloud 감사 로그를 검사하여 비정상적인 IAM 동작을 감지합니다.
  • IAM 사용자 및 서비스 계정이 비정상적인 IP 주소에서 Google Cloud에 액세스합니다.
  • IAM 서비스 계정이 비정상적인 사용자 에이전트에서 Google Cloud에 액세스합니다.
  • 주 구성원 및 리소스가 Google Cloud에 액세스하기 위해 IAM 서비스 계정을 가장합니다.
서비스 계정 자체 조사 Event Threat Detection은 서비스 계정 사용자 인증 정보가 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되면 이를 감지합니다.
Compute Engine 관리자가 SSH 키를 추가함 Event Threat Detection은 설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 ssh 키 값에 대한 수정 사항을 감지합니다.
Compute Engine 관리자가 시작 스크립트를 추가함 Event Threat Detection은 설정된 인스턴스(1주 이상)에서 Compute Engine 인스턴스 메타데이터 시작 스크립트 값의 수정 사항을 감지합니다.
의심스러운 계정 활동 Event Threat Detection은 비밀번호 유출 및 의심스러운 로그인 시도 등 비정상적인 계정 활동에 대한 감사 로그를 검사하여 Google Workspace 계정에 대한 잠재적인 보안 침해를 감지합니다.
정부 지원 해킹 공격 Event Threat Detection은 Google Workspace 감사 로그를 검사하여 정부 지원 해킹 공격자가 사용자의 계정이나 컴퓨터를 도용하려고 한 가능성이 있는 경우를 감지합니다.
싱글 사인온(SSO) 변경 Event Threat Detection은 Google Workspace 감사 로그를 검사하여 SSO가 사용 중지되거나 Google Workspace 관리자 계정의 설정이 변경된 경우를 감지합니다.
2단계 인증 Event Threat Detection은 Google Workspace 감사 로그를 검사하여 사용자 및 관리자 계정에 대해 2단계 인증이 사용 중지되는 경우를 감지합니다.
비정상적인 API 동작 Event Threat Detection은 주 구성원이 이전에 본 적이 없는 Google Cloud 서비스 요청에 대한 Cloud 감사 로그를 검사하여 비정상적인 API 동작을 감지합니다.
방어 회피

Event Threat Detection은 다음 시나리오의 Cloud 감사 로그를 검사하여 방어 회피를 감지합니다.

  • 제공되는 보호의 축소로 이어질 수 있는 기존 VPC 서비스 제어 경계의 변경사항
  • Break-glass 플래그를 사용하여 Binary Authorization 제어를 재정의하는 워크로드 배포 또는 업데이트미리보기
탐색

Event Threat Detection은 다음 시나리오의 감사 로그를 검사하여 검색 작업을 감지합니다.

  • 잠재적으로 악의적인 행위자가 kubectl 명령어를 사용하여 쿼리할 수 있는 GKE의 민감한 객체를 확인하려고 시도했습니다.
  • 서비스 계정 사용자 인증 정보가 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용됩니다.
초기 액세스 Event Threat Detection은 다음 시나리오의 감사 로그를 검사하여 초기 액세스 작업을 감지합니다.
  • 휴면 사용자 관리형 서비스 계정이 작업을 트리거했습니다.미리보기
  • 주 구성원이 다양한 Google Cloud 메서드를 호출하려고 했지만 권한 거부 오류로 인해 반복적으로 실패했습니다.미리보기
권한 에스컬레이션

Event Threat Detection은 다음 시나리오에서 감사 로그를 검사하여 GKE의 권한 에스컬레이션을 감지합니다.

  • 권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 PUT 또는 PATCH 요청을 사용하여 민감한 cluster-adminClusterRole, RoleBinding, 또는 ClusterRoleBinding 역할 기반 액세스 제어(RBAC) 객체를 수정하려고 시도함
  • 잠재적으로 악의적인 행위자가 Kubernetes 컨트롤 플레인 인증서 서명 요청(CSR)을 만들고 cluster-admin 액세스 권한을 부여합니다.
  • 권한을 에스컬레이션하기 위해 잠재적인 악의적 행위자가 cluster-admin 역할에 대해 새 RoleBinding 또는 ClusterRoleBinding 객체를 만들려고 시도함
  • 잠재적인 악의적 행위자가 손상된 부트스트랩 사용자 인증 정보를 사용하여 kubectl 명령어로 인증서 서명 요청(CSR)을 쿼리함
  • 잠재적인 악의적 행위자가 권한이 있는 컨테이너나 권한 에스컬레이션 기능이 있는 컨테이너를 포함하는 포드를 만들었음
Cloud IDS 감지 Cloud IDS는 미러링된 패킷을 분석하여 레이어 7 공격을 감지하고 의심스러운 이벤트가 감지되면 Event Threat Detection 발견 항목을 트리거합니다. Cloud IDS 감지에 대한 자세한 내용은 Cloud IDS Logging 정보를 참조하세요. 미리보기
측면 이동 Event Threat Detection은 Compute Engine 인스턴스 간의 빈번한 부팅 디스크 분리 및 재연결에 대한 Cloud 감사 로그를 검사하여 잠재적인 수정된 부팅 디스크 공격을 감지합니다.

Event Threat Detection 자세히 알아보기

Google Cloud Armor

Google Cloud Armor는 레이어 7 필터링을 제공하여 애플리케이션을 보호합니다. Google Cloud Armor는 일반적인 웹 공격 또는 기타 레이어 7 속성에 대한 수신 요청을 스크러빙하여 부하 분산 백엔드 서비스 또는 백엔드 버킷에 도달하기 전에 트래픽을 차단합니다.

Google Cloud Armor는 두 가지 발견 항목을 Security Command Center로 내보냅니다.

Virtual Machine Threat Detection

Virtual Machine Threat Detection은 Enterprise 및 Premium 등급에서 사용할 수 있는 Security Command Center의 기본 제공 서비스입니다. 이 서비스는 Compute Engine 인스턴스를 스캔하여 보안 침해된 클라우드 환경에서 실행되는 암호화폐 채굴 소프트웨어, 커널 모드 루트킷, 멀웨어와 같은 잠재적 악성 애플리케이션을 감지합니다.

VM Threat Detection은 Security Command Center 위협 감지 제품군의 일부이며 Event Threat DetectionContainer Threat Detection의 기존 기능을 보완하도록 설계되었습니다.

VM Threat Detection에 대한 자세한 내용은 VM Threat Detection 개요를 참조하세요.

VM Threat Detection 위협 발견 항목

VM Threat Detection은 다음과 같은 위협 발견 항목을 생성할 수 있습니다.

암호화폐 채굴 위협 발견 항목

VM Threat Detection은 해시 일치 또는 YARA 규칙을 통해 다음 발견 항목 카테고리를 감지합니다.

VM Threat Detection 암호화폐 채굴 위협 발견 항목
카테고리 모듈 설명
Execution: Cryptocurrency Mining Hash Match CRYPTOMINING_HASH 실행 중인 프로그램의 메모리 해시를 암호화폐 채굴 소프트웨어의 알려진 메모리 해시와 일치합니다.
Execution: Cryptocurrency Mining YARA Rule CRYPTOMINING_YARA 암호화폐 채굴 소프트웨어에서 사용하는 것으로 알려진 개념 증명 상수와 같은 메모리 패턴과 일치합니다.
Execution: Cryptocurrency Mining Combined Detection
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
CRYPTOMINING_HASHCRYPTOMINING_YARA 모듈 모두에서 감지된 위협을 식별합니다. 자세한 내용은 결합 감지를 참조하세요.

커널 모드 루트킷 위협 발견 항목

VM Threat Detection은 런타임 시 커널 무결성을 분석하여 멀웨어에 사용되는 일반적인 회피 기법을 감지합니다.

KERNEL_MEMORY_TAMPERING 모듈은 가상 머신의 커널 코드와 커널 읽기 전용 데이터 메모리에 대한 해시 비교를 수행하여 위협을 감지합니다.

KERNEL_INTEGRITY_TAMPERING 모듈은 중요한 커널 데이터 구조의 무결성을 확인하여 위협을 감지합니다.

VM Threat Detection 커널 모드 루트킷 위협 발견 항목
카테고리 모듈 설명
루트킷
Defense Evasion: Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
알려진 커널 모드 루트킷과 일치하는 신호의 조합이 존재합니다. 이 카테고리의 발견 항목을 수신하려면 두 모듈 모두 사용 설정되어 있는지 확인하세요.
커널 메모리 조작
Defense Evasion: Unexpected kernel code modification미리보기 KERNEL_MEMORY_TAMPERING 커널 코드 메모리가 예기치 않게 수정되었습니다.
Defense Evasion: Unexpected kernel read-only data modification미리보기 KERNEL_MEMORY_TAMPERING 커널 읽기 전용 데이터 메모리가 예기치 않게 수정되었습니다.
커널 무결성 조작
Defense Evasion: Unexpected ftrace handler미리보기 KERNEL_INTEGRITY_TAMPERING ftrace 포인트가 예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 있습니다.
Defense Evasion: Unexpected interrupt handler미리보기 KERNEL_INTEGRITY_TAMPERING 예상 커널 또는 모듈 코드 리전에 없는 중단 핸들러가 있습니다.
Defense Evasion: Unexpected kernel modules미리보기 KERNEL_INTEGRITY_TAMPERING 예상 커널 또는 모듈 코드 리전에 없는 커널 코드 페이지가 있습니다.
Defense Evasion: Unexpected kprobe handler미리보기 KERNEL_INTEGRITY_TAMPERING kprobe 포인트가 예상 커널 또는 모듈 코드 범위에 속하지 않는 리전을 가리키는 콜백과 함께 있습니다.
Defense Evasion: Unexpected processes in runqueue미리보기 KERNEL_INTEGRITY_TAMPERING 스케줄러 실행 큐에 예기치 않은 프로세스가 있습니다. 이러한 프로세스는 실행 큐에 있지만 프로세스 태스크 목록에는 없습니다.
Defense Evasion: Unexpected system call handler미리보기 KERNEL_INTEGRITY_TAMPERING 예상 커널 또는 모듈 코드 리전에 없는 시스템 호출 핸들러가 있습니다.

오류

오류 감지기는 보안 소스에서 발견 항목을 생성하지 못하게 하는 구성의 오류를 감지하는 데 도움이 됩니다. 오류 발견 항목은 Security Command Center 보안 소스에서 생성되고 발견 항목 클래스 SCC errors를 갖습니다.

부적절한 작업

다음 발견 항목 카테고리는 의도하지 않은 작업으로 인해 발생할 수 있는 오류를 나타냅니다.

부적절한 작업
카테고리 이름 API 이름 요약 심각도
API disabled API_DISABLED

발견 항목 설명: 프로젝트에 필요한 API가 사용 중지되었습니다. 사용 중지된 서비스는 Security Command Center로 발견 항목을 보낼 수 없습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

일괄 검사: 60시간 간격

이 발견 항목 수정

심각
Attack path simulation: no resource value configs match any resources APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES

발견 항목 설명: 리소스 가치 구성이 공격 경로 시뮬레이션에 대해 정의되어 있지만 환경의 리소스 인스턴스와 일치하지 않습니다. 시뮬레이션은 대신 가치가 높은 기본 리소스 세트를 사용합니다.

이 오류의 원인은 다음과 같습니다.

  • 리소스 가치 구성 중에 리소스 인스턴스와 일치하는 구성이 없습니다.
  • NONE을 지정하는 하나 이상의 리소스 가치 구성이 다른 모든 유효한 구성을 재정의합니다.
  • 정의된 모든 리소스 가치 구성은 NONE 값을 지정합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organizations

일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에

이 발견 항목 수정

심각
Attack path simulation: resource value assignment limit exceeded APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED

발견 항목 설명: 마지막 공격 경로 시뮬레이션에서 리소스 가치 구성에 의해 식별된 고가치 리소스 인스턴스의 수는 고가치 리소스 세트의 리소스 인스턴스 한도인 1,000개를 초과했습니다. 그 결과 Security Command Center에서 가치가 높은 리소스 세트에서 초과된 인스턴스 수가 제외되었습니다.

일치하는 인스턴스 총 수와 세트에서 제외된 인스턴스 총 수는 Google Cloud 콘솔의 SCC Error 발견 항목에서 확인할 수 있습니다.

제외된 리소스 인스턴스에 영향을 미치는 발견 항목에 대한 공격 노출 점수에는 리소스 인스턴스의 고가치 지정이 반영되지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organizations

일괄 검사: 매번 공격 경로 시뮬레이션을 하기 전에

이 발견 항목 수정

높음
Container Threat Detection Image Pull Failure KTD_IMAGE_PULL_FAILURE

발견 항목 설명: Container Registry 이미지 호스트인 gcr.io에서 필요한 컨테이너 이미지를 가져오거나 다운로드할 수 없으므로 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 이 이미지는 Container Threat Detection에 필요한 Container Threat Detection DaemonSet를 배포하는 데 필요합니다.

Container Threat Detection DaemonSet를 배포하려고 하면 다음 오류가 발생합니다.

Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

일괄 스캔: 30분마다

이 발견 항목 수정

심각
Container Threat Detection Blocked By Admission Controller KTD_BLOCKED_BY_ADMISSION_CONTROLLER

발견 항목 설명: Kubernetes 클러스터에서 Container Threat Detection을 사용 설정할 수 없습니다. 서드 파티 허용 컨트롤러는 Container Threat Detection에 필요한 Kubernetes DaemonSet 객체의 배포를 방지합니다.

Google Cloud 콘솔에서 볼 때 발견 항목 세부정보에는 Container Threat Detection에서 Container Threat Detection DaemonSet 객체를 배포하려고 할 때 Google Kubernetes Engine에서 반환된 오류 메시지가 포함됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

일괄 스캔: 30분마다

이 발견 항목 수정

높음
Container Threat Detection service account missing permissions KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS

발견 항목 설명: Container Threat Detection에 필요한 권한이 서비스 계정에 없습니다. Container Threat Detection은 감지 계측을 사용 설정, 업그레이드 또는 사용 중지할 수 없으므로 제대로 작동하지 않을 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

일괄 스캔: 30분마다

이 발견 항목 수정

심각
GKE service account missing permissions GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS

발견 항목 설명: 클러스터의 GKE 기본 서비스 계정에 권한이 누락되어 Container Threat Detection에서 Google Kubernetes Engine 클러스터의 발견 항목을 생성할 수 없습니다. 그로 인해 클러스터에서 Container Threat Detection이 성공적으로 사용 설정되지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

일괄 스캔: 매주

이 발견 항목 수정

높음
Misconfigured Cloud Logging Export MISCONFIGURED_CLOUD_LOGGING_EXPORT

발견 항목 설명: Cloud Logging으로 지속적 내보내기에 구성된 프로젝트를 사용할 수 없습니다. Security Command Center는 Logging에 발견 항목을 전송할 수 없습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization

일괄 스캔: 30분마다

이 발견 항목 수정

높음
VPC Service Controls Restriction VPC_SC_RESTRICTION

발견 항목 설명: Security Health Analytics는 프로젝트의 특정 발견 항목을 생성할 수 없습니다. 프로젝트가 서비스 경계로 보호되며 Security Command Center 서비스 계정에 경계에 대한 액세스 권한이 없습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

일괄 검사: 6시간 간격

이 발견 항목 수정

높음
Security Command Center service account missing permissions SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS

발견 항목 설명: Security Command Center 서비스 계정에 제대로 작동하는 데 필요한 권한이 없습니다. 발견 항목이 생성되지 않습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋

일괄 스캔: 30분마다

이 발견 항목 수정

심각

자세한 내용은 Security Command Center 오류를 참조하세요.

다음 단계