Security Command Center Enterprise 콘솔

Security Command Center Enterprise 등급에는 Google Cloud 콘솔과 Security Operations 콘솔이라는 두 개의 콘솔이 있습니다.

동일한 사용자 이름과 사용자 인증 정보를 사용하여 두 콘솔에 모두 로그인할 수 있습니다.

Google Cloud 콘솔

Google Cloud 콘솔을 사용하면 다음과 같은 태스크를 수행할 수 있습니다.

  • Security Command Center 활성화
  • 모든 Security Command Center 사용자에 대해 Identity and Access Management(IAM) 권한 설정
  • 취약점 관리를 위한 AWS 연결 구성
  • 발견 항목 작업 수행 및 내보내기
  • 보안 상황 관리
  • 공격 노출 점수로 위험 평가
  • Sensitive Data Protection으로 민감도가 높은 데이터 식별
  • 개별 발견 항목을 직접 감지하여 해결
  • Security Health Analytics, Web Security Scanner, 기타 Google Cloud 통합 서비스 구성
  • 일반적인 보안 표준 또는 벤치마크를 준수하는지 평가하고 보고
  • Google Cloud 애셋 보기 및 검색

위험 개요 페이지에서 Google Cloud 콘솔의 Security Command Center 콘텐츠에 액세스할 수 있습니다.

Security Command Center로 이동

다음 이미지는 Google Cloud 콘솔의 Security Command Center 콘텐츠를 보여줍니다.

Google Cloud 콘솔

Security Operations 콘솔

Security Operations 콘솔을 사용하면 다음과 같은 태스크를 수행할 수 있습니다.

  • 위협 감지를 위해 AWS 연결 구성
  • 이슈 관리를 위해 사용자 및 그룹 구성
  • 보안 조정, 자동화, 응답(SOAR) 설정 구성
  • 보안 정보 및 이벤트 관리(SIEM)에 대한 데이터 수집 구성
  • Google Cloud 조직 및 AWS 환경에 대한 개별 발견 항목을 조사하고 해결
  • 발견 항목 그룹화, 티켓 할당, 알림 작업 등을 포함한 케이스 작업 수행
  • 플레이북이라고 하는 자동화된 단계 시퀀스를 사용해서 문제 해결
  • Workdesk를 사용하여 미해결 케이스 및 플레이북에서 대기 중인 작업과 태스크 관리

https://customer_subdomain.backstory.chronicle.security에서 Security Operations 콘솔에 액세스할 수 있습니다. 여기서 customer_subdomain은 고객별 식별자입니다. 다음 방법 중 하나를 사용하여 URL을 확인할 수 있습니다.

  • Google Cloud 콘솔의 설정 가이드에서 4~6단계는 Security Operations 콘솔로 리디렉션됩니다. 설정 가이드에 액세스하려면 다음을 완료합니다.

    1. Security Command Center 위험 개요 페이지로 이동합니다.

      개요로 이동

    2. 설정 가이드 보기를 클릭합니다.

  • Google Cloud 콘솔에서 케이스 링크 중 하나를 클릭합니다. 케이스 링크에 액세스하려면 다음을 완료합니다.

    1. Security Command Center 위험 개요 페이지에서 케이스별 취약점 대시보드로 이동합니다.

      케이스별 취약점으로 이동

    2. 모든 취약점 케이스 보기를 클릭합니다.

  • Google Cloud 콘솔에서 Chronicle SecOps 페이지의 링크에 액세스합니다.

    1. Chronicle SecOps 페이지로 이동합니다.

      Chronicle SecOps로 이동

    2. Chronicle로 이동을 클릭합니다.

다음 이미지는 Security Operations 콘솔을 보여줍니다.

Security Operations 콘솔

취약점 관리 대시보드

Security Operations 콘솔의 대시보드를 사용하면 클라우드 환경 전반의 상황 케이스와 취약점을 빠르게 확인할 수 있습니다.

Security Operations 콘솔의 취약점 관리 대시보드를 사용하면 Google Cloud 및 AWS 환경에서 식별된 CVE 취약점을 조사할 수 있습니다.

대시보드를 보려면 발견 항목 페이지로 이동합니다.

  https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/overview/cve-vulnerabilities
  

CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

페이지가 표시되지 않으면 탐색 메뉴에서 상황 > 개요를 선택한 다음 메뉴에서 취약점 관리 대시보드를 선택합니다.

각 보고서 내에서 필터를 사용하여 모든 클라우드 제공업체 또는 일부 클라우드 제공업체에 대한 데이터를 표시할 수 있습니다. 대시보드에는 다음 보고서가 포함됩니다.

  • 주요 공통 취약점 및 익스플로잇에는 취약점 공격 가능성 및 영향별로 그룹화된 취약점 발견 항목이 표시됩니다.

    가능한 취약점 공격 가능성 값은 다음과 같습니다.

    • WIDE: 이 취약점에 대한 익스플로잇이 신고되었거나 광범위하게 발생한 것으로 확인되었습니다.
    • CONFIRMED: 이 취약점과 관련한 익스플로잇이 제한적으로 보고되거나 확인되었습니다.
    • AVAILABLE: 이 취약점에 대한 익스플로잇이 공개적으로 발생했습니다.
    • ANTICIPATED: 이 취약점에 대한 알려진 익스플로잇 활동은 없지만 익스플로잇 가능성이 높습니다.
    • NO_KNOWN: 이 취약점에 알려진 익스플로잇 활동이 없습니다.

    이는 organizations.sources.findings API에서 CVE에 대해 반환되는 ExploitationActivity 값입니다.

    가능한 영향 값은 잠재적 익스플로잇의 발생 가능성을 나타내는 측정값입니다.

    • LOW: 익스플로잇 발생 시 보안 영향이 거의 없거나 전혀 없습니다.
    • MEDIUM: 공격자가 활동을 실행하거나 직접적인 영향을 줄 수 있는 익스플로잇이지만 그러한 상황이 발생하려면 추가 단계가 필요합니다.
    • HIGH: 공격자가 주요 완화 요인을 극복하지 않고도 상당한 직접적인 영향을 미칠 수 있는 익스플로잇입니다.
    • CRITICAL: 익스플로잇 발생 시 영향을 받는 시스템의 보안이 근본적으로 손상되어 공격자가 최소한의 노력으로 심각한 공격을 실행할 수 있고 극복해야 하는 완화 요소가 거의 없거나 전혀 없습니다.

    이는 organizations.sources.findings API에서 CVE에 대해 반환되는 RiskRating 값입니다.

    히트맵에서 셀을 클릭하면 선택한 기준에 따라 필터링된 관련 취약점을 확인할 수 있습니다.

    리소스 열에는 식별된 고유 리소스 ID 수가 표시됩니다. 발견 항목 열에는 모든 리소스에서 식별된 총 발견 항목 수가 표시됩니다. 각 리소스에 여러 발견 항목이 있을 수 있습니다. 발견 항목 열의 값을 클릭하면 발견 항목에 관한 세부정보를 확인할 수 있습니다.

  • 가장 일반적으로 익스플로잇이 가능한 심각한 취약점에는 CVE 취약점과 취약점이 식별된 고유한 리소스 ID 수가 표시됩니다.

    단일 CVE ID의 행을 펼치면 관련 발견 항목 목록과 발견 항목이 식별된 리소스 수를 확인할 수 있습니다. 단일 리소스에서 여러 발견 항목이 식별될 수 있습니다. 관련 발견 항목에 대한 모든 리소스 수의 합계가 CVE ID의 고유 리소스 ID 수보다 클 수 있습니다.

  • 알려진 익스플로잇이 있는 최신 컴퓨팅 취약점에는 알려진 익스플로잇이 있는 컴퓨팅 인스턴스의 소프트웨어와 관련된 CVE 취약점이 표시됩니다. 이 보고서의 발견 항목에는 OS_VULNERABILITYSOFTWARE_VULNERABILITY 카테고리가 있습니다. 테이블에는 다음 정보가 포함됩니다.

    • 익스플로잇 공개일최초 발생일: 익스플로잇이 공개된 날짜 및 최초 발생된 또는 확인된 날짜입니다.

    • 노출된 리소스: 위험 엔진 리소스 값 구성에서도 구성된 것으로 식별된 리소스의 수입니다. 이 수치에는 높음, 중간 또는 낮음의 리소스 값이 구성된 모든 리소스가 포함됩니다.

    • 공격 노출 점수: 위험 엔진에서 값을 계산한 경우 표시됩니다. 값을 클릭하면 점수에 관한 세부정보를 확인할 수 있습니다.

    • 가상 머신: 가상 머신 인스턴스 식별자입니다. 값을 클릭하면 특정 클라우드 환경의 리소스에 관한 세부정보를 확인할 수 있습니다.

    • 실제 상황에서 관찰됨취약점 공격 가능성: 익스플로잇이 실제 상황에서 관찰되었는지 여부와 익스플로잇 활동의 측정값입니다.

다음 단계