유해한 조합 및 병목 현상 관리

이 페이지에서는 문제 (미리보기), 케이스 또는 발견 항목을 사용하여 유해한 조합 및 병목 현상(미리보기)을 식별하고 대응하는 방법을 안내합니다.

시작하기 전에

유해한 조합과 병목 현상을 정확하게 감지하려면 보안 운영 구성요소 소프트웨어가 최신 상태이고 가치가 높은 리소스 세트가 정확하게 지정되었으며 적절한 IAM 권한이 있는지 확인합니다.

필수 권한 얻기

Google Cloud 콘솔과 보안 운영 콘솔 모두에서 유해한 조합 및 병목 현상을 사용하려면 두 콘솔 모두에 권한이 부여되어야 합니다.

Google Cloud 콘솔 IAM 역할

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.

Security Command Center 역할과 권한에 대한 자세한 내용은 조직 수준 활성화를 위한 IAM을 참조하세요.

보안 운영 콘솔 역할

보안 운영 콘솔에서 유해한 조합 및 케이스를 사용하려면 다음 역할 중 하나가 필요합니다.

  • Chronicle SOAR 취약점 관리자
  • Chronicle SOAR 위협 관리자
  • Chronicle SOAR 관리자

사용자에게 역할을 부여하는 방법은 IAM을 사용하여 사용자 매핑 및 승인을 참조하세요.

최신 보안 운영 사용 사례 설치

유해한 조합 기능을 사용하려면 2024년 6월 25일 이후에 출시된 SCC Enterprise – Cloud 조정 및 해결 버전이 필요합니다.

사용 사례 설치에 대한 자세한 내용은 Enterprise 사용 사례 업데이트(2024년 6월)를 참조하세요.

가치가 높은 리소스 세트 지정

유해한 조합 및 병목 현상 감지 기능은 항상 적용되므로 사용 설정할 필요가 없습니다. 위험 엔진은 가치가 높은 기본 리소스 세트를 노출하는 유해한 조합과 병목 현상을 자동으로 감지합니다.

가치가 높은 기본 리소스 세트에 따라 생성된 유해한 조합 및 병목 현상 발견 항목은 보안 우선순위를 정확하게 반영하지 않을 가능성이 높습니다. 가치가 높은 리소스 세트에 속하는 리소스를 지정하려면 Google Cloud 콘솔에서 리소스 값 구성을 만듭니다. 자세한 내용은 가치가 높은 리소스 세트 정의 및 관리를 참조하세요.

유해한 조합 및 병목 현상 해결

유해한 조합과 병목 구간은 많은 가치 있는 리소스를 잠재적 공격자에게 노출할 수 있습니다. 클라우드 환경의 다른 위험보다 먼저 이러한 문제를 해결해야 합니다.

공격 노출 점수를 기준으로 유해한 조합 및 병목 현상을 해결하는 순서에 우선순위를 지정할 수 있습니다. 유해한 조합과 병목 현상을 보는 위치에 따라 방법이 달라집니다.

문제 (미리보기)

위험이 가장 높은 유해한 조합 및 병목 현상은 보안 운영 콘솔의 위험 > 개요 페이지에 문제로 표시됩니다.

모든 유해한 조합 및 병목 현상은 위험 > 문제 페이지에서 확인할 수 있습니다.

문제를 해결하려면 다음 안내를 따르세요.

  1. 보안 운영 콘솔에서 모든 문제를 보려면 문제로 이동합니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/issues

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 기본적으로 그룹화된 문제는 심각도별로 순위가 매겨집니다. 그룹 내에서 문제는 공격 노출 점수에 따라 순위가 매겨집니다. 대신 공격 노출 점수별로 모든 문제를 정렬하려면 감지별 그룹화를 사용 중지합니다.

  3. 문제를 선택합니다.

  4. 문제 설명과 증거를 검토합니다.

  5. 관련 발견 항목이 있는 경우 세부정보를 확인합니다.

  6. 유해한 조합 또는 병목 구간의 기본 리소스에서 심각한 문제가 여러 개 발견되면 (미리보기) 증거 다이어그램 뒤에 메시지가 표시됩니다. 문제 해결 작업을 최적화하려면 이 메시지에서 이 기본 리소스의 문제 필터링을 클릭하여 특정 리소스의 문제 해결에 집중하세요. 필터를 삭제하려면 필터 패널 열기 필터 추가 옆에 있는 뒤로 화살표를 클릭합니다.

  7. 증거 다이어그램에서 전체 공격 경로 살펴보기를 클릭하여 문제와 공격 경로가 고가치 리소스를 노출하는 방식을 자세히 알아보세요.

  8. 해결 방법을 클릭하고 안내에 따라 위험을 완화합니다.

케이스

케이스 페이지로 이동하여 모든 유해한 조합 케이스를 볼 수 있습니다. 병목 현상은 케이스를 자동으로 생성하지 않으며 문제 페이지에서 확인해야 합니다.

케이스에서 유해한 조합을 찾으려면 다음 안내를 따르세요.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    나란히 보기 뷰를 선택된 상태에서 케이스 페이지가 열립니다.

  2. 케이스 목록에서 필터 패널 열기 케이스 필터를 클릭하여 필터 패널을 엽니다. 케이스 큐 필터 패널이 열립니다.

  3. 케이스 큐 필터에서 다음을 지정합니다.

    1. 기간 필드에 케이스가 활성 상태인 기간을 지정합니다.
    2. 논리 연산자AND로 설정합니다.
    3. 필터 키 목록 상자에서 태그를 선택합니다.
    4. 등호 연산자를 is로 설정합니다.
    5. 필터 값 목록 상자에서 유해한 조합을 선택합니다.
    6. 적용을 클릭합니다. 케이스 큐의 케이스가 업데이트되어 지정한 필터와 일치하는 케이스만 표시됩니다.

  4. 필터 패널 열기 Cases filter(케이스 필터) 옆에 있는 Sort(정렬)를 클릭하고 Sort by attack exposure (high to low)(공격 노출(높음에서 낮음)별로 정렬)를 선택합니다.

  5. 케이스 대기열에서 확인하려는 케이스를 클릭합니다. 목록 보기에서 케이스를 보고 있다면 대신 케이스 ID를 클릭합니다. 케이스 정보가 표시됩니다.

  6. 케이스 케이스 개요를 클릭합니다.

  7. 케이스 요약 섹션에서 다음 단계 안내를 따릅니다.

일반적으로 유해한 조합에는 소프트웨어 취약점이나 잘못된 구성에 대한 발견 항목이 하나 이상 포함됩니다. 이러한 발견 항목마다 Security Command Center는 자동으로 별도의 케이스를 열고 관련된 플레이북을 실행합니다. 이러한 발견 항목에 대한 케이스를 검토하고 유해한 조합이 해결되도록 티켓 소유자에게 해결책 우선순위를 지정해 달라고 요청합니다.

유해한 조합의 관련 발견 항목을 검토하려면 다음 단계를 따르세요.

  1. 케이스의 케이스 케이스 개요 탭에서 발견 항목 섹션으로 이동합니다.
  2. 발견 항목 섹션에서 나열된 발견 항목을 검토합니다.
    • 발견 항목의 케이스 ID를 클릭하여 케이스를 열고 해당 상태, 할당된 소유자, 기타 케이스 정보를 봅니다.
    • 공격 노출 점수를 클릭하여 발견 항목의 공격 경로를 검토합니다.
    • 발견 항목에 티켓 ID가 있는 경우 해당 티켓을 클릭하여 엽니다.

또는 케이스의 자체 알림 탭에서 관련 발견 항목을 볼 수 있습니다.

발견 항목

유해한 조합 또는 병목 현상 발견 항목은 위험 엔진이 클라우드 환경에서 유해한 조합 또는 병목 현상을 감지할 때 생성하는 초기 레코드입니다.

유해한 조합 및 병목 현상 발견 항목은 다음 위치에서 확인할 수 있습니다.

  • Google Cloud 콘솔의 발견 항목 페이지

  • Security Operations 콘솔의 발견 항목 페이지

Google Cloud 콘솔

Google Cloud 콘솔에서 유해한 조합 및 병목 현상 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 조직을 Google Cloud 선택합니다.

  3. 빠른 필터 패널의 발견 항목 클래스 섹션에서 유해한 조합 또는 병목을 선택합니다. 발견 항목 쿼리 결과 패널이 업데이트되어 유해한 조합 또는 병목 현상 발견 항목만 표시됩니다.

  4. 발견 항목을 심각도별로 정렬하려면 점수가 내림차순이 될 때까지 유해한 조합 점수 또는 공격 노출 점수 열 헤더를 클릭합니다.

  5. 발견 항목 카테고리를 클릭하여 발견 항목 세부정보 패널을 엽니다. 다음 단계 섹션으로 이동하여 안내에 따라 보안 문제를 해결하세요.

Security Operations 콘솔

보안 운영 콘솔에서 유해한 조합 및 병목 현상 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 위험 > 결과로 이동합니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 발견 항목 클래스를 펼친 다음 유해한 조합병목 구간을 선택합니다.

  3. 점수가 내림차순으로 표시될 때까지 공격 노출 점수를 클릭합니다.

  4. 발견 항목 카테고리를 클릭하여 발견 항목 세부정보 패널을 엽니다. 다음 단계 섹션으로 이동하여 안내에 따라 보안 문제를 해결하세요.

유해한 조합 케이스 종료

Google Cloud 콘솔에서 기본 유해한 조합을 해결하거나 관련 발견 항목을 숨겨 유해한 조합 케이스를 종료할 수 있습니다.

유해한 조합을 해결하여 케이스 종료

유해한 조합을 구성하는 보안 문제를 해결한 후 더 이상 가치가 높은 리소스 세트의 리소스가 노출되지 않으면 위험 엔진은 약 6시간마다 실행되는 다음 공격 경로 시뮬레이션 중에 자동으로 케이스를 종료합니다.

발견 항목을 숨겨 케이스 종료

유해한 조합으로 인한 위험이 비즈니스에 허용 가능한 수준이거나 유해한 조합을 해결할 수 없는 경우에는 관련 발견 항목을 숨겨 케이스를 종료할 수 있습니다.

유해한 조합 발견 항목을 숨기려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 케이스로 이동합니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 유해한 조합 또는 병목 현상 케이스를 찾아 엽니다.

  3. 관련 알림 탭을 클릭합니다.

  4. 발견 항목 요약 위젯에서 SCC에서 발견 항목 탐색을 클릭합니다. 관련 발견 항목이 열립니다.

  5. 발견 항목 세부정보 페이지의 숨기기 옵션을 사용하여 발견 항목을 숨깁니다.

Google Cloud 콘솔에서 발견 항목을 숨길 수도 있습니다. 자세한 내용은 개별 발견 항목 숨기기를 참고하세요.

종료된 유해한 조합 케이스 보기

보안 운영 콘솔에서 케이스가 종료되면 Security Command Center가 케이스 페이지에서 케이스를 삭제합니다.

유해한 조합 케이스를 보려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 SOAR 검색 페이지로 이동합니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/sp-search

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 상태 섹션을 펼치고 종료됨을 선택합니다.

  3. 태그 섹션을 펼친 다음 유해한 조합을 선택합니다.

  4. 적용을 클릭합니다. 종료된 유해한 조합 케이스가 검색 결과에 표시됩니다.