유해한 조합 및 병목 현상 관리

이 페이지에서는 다음 페이지를 사용하여 유해한 조합 및 초크 포인트(미리보기)를 식별하고 대응하는 방법을 안내합니다.

  • 문제(미리보기): 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
  • 케이스: 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
  • 발견 항목: 엔터프라이즈 및 프리미엄 서비스 등급에서 사용할 수 있습니다.

시작하기 전에

유해한 조합과 초크 포인트를 정확하게 감지하려면 보안 운영 구성요소 소프트웨어가 최신 상태이고 가치가 높은 리소스 세트가 정확하게 지정되었으며 적절한 IAM 권한이 있는지 확인합니다.

선택사항: 다른 클라우드에서 데이터 수집

위험 엔진은 Amazon Web Services (AWS) (미리보기) 및 Microsoft Azure (미리보기)의 데이터에 대한 시뮬레이션을 실행하여 유해한 조합과 초크 포인트를 식별할 수 있습니다.

Security Command Center에서 이러한 클라우드 제공업체로의 연결을 구성하여 리소스 및 구성 데이터를 수집합니다. 연결 설정에 대한 자세한 내용은 다음을 참고하세요.

지원되는 리소스 목록은 Risk Engine 기능 지원을 참고하세요.

필수 권한 얻기

유해한 조합 및 초크 포인트를 사용하려면 Security Command Center 및 Google SecOps 기능에 대한 액세스 권한이 필요합니다.

Security Command Center IAM 역할

Make sure that you have the following role or roles on the organization:

  • Security Center Admin Viewer (roles/securitycenter.adminViewer), to view assets, findings, and attack paths in Security Command Center.
  • Security Center Assets Viewer (roles/securitycenter.assetsViewer), to view only resources.
  • Security Center Attack Paths Reader (roles/securitycenter.attackPathsViewer), to view only attack paths.
  • Security Center Findings Editor (roles/securitycenter.findingsEditor), to view, mute, and edit findings.
  • Security Center Findings Mute Setter (roles/securitycenter.findingsMuteSetter), to mute findings only.
  • Security Center Findings Viewer (roles/securitycenter.findingsViewer), to view only findings.

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.

    8. Security Command Center 역할과 권한에 대한 자세한 내용은 조직 수준 활성화를 위한 IAM을 참조하세요.

    Google SecOps IAM 역할

    유해한 조합 및 케이스를 사용하려면 다음 역할 중 하나가 필요합니다.

    • Chronicle SOAR 취약점 관리자(roles/chronicle.soarVulnerabilityManager)
    • Chronicle SOAR 위협 관리자(roles/chronicle.soarThreatManager)
    • Chronicle SOAR 관리자(roles/chronicle.soarAdmin)

    사용자에게 역할을 부여하는 방법은 IAM을 사용하여 사용자 매핑 및 승인을 참조하세요.

    최신 보안 운영 사용 사례 설치

    유해한 조합 기능을 사용하려면 2024년 6월 25일 이후에 출시된 SCC Enterprise - Cloud 조정 및 해결 버전이 필요합니다.

    사용 사례 설치에 대한 자세한 내용은 Enterprise 사용 사례 업데이트(2024년 6월)를 참조하세요.

    가치가 높은 리소스 세트 지정

    유해한 조합 및 초크 포인트 감지 기능은 항상 적용되므로 사용 설정할 필요가 없습니다. 위험 엔진은 가치가 높은 기본 리소스 세트를 노출하는 유해한 조합과 초크 포인트를 자동으로 감지합니다.

    가치가 높은 기본 리소스 세트에 따라 생성된 유해한 조합 및 초크 포인트 발견 항목은 보안 우선순위를 정확하게 반영하지 않을 가능성이 높습니다. 가치가 높은 리소스 세트에 속하는 리소스를 지정하려면 Google Cloud 콘솔에서 리소스 값 구성을 만듭니다. 자세한 내용은 가치가 높은 리소스 세트 정의 및 관리를 참조하세요.

    유해한 조합 및 초크 포인트 해결

    유해한 조합과 초크 포인트는 가치가 높은 많은 리소스를 잠재적 공격자에게 노출할 수 있습니다. 클라우드 환경의 다른 위험보다 먼저 이러한 문제를 해결해야 합니다.

    공격 노출 점수를 기준으로 유해한 조합 및 초크 포인트을 해결하는 순서에 우선순위를 지정할 수 있습니다. 유해한 조합 및 초크 포인트를 보는 위치에 따라 방법이 달라집니다.

    문제

    위험 > 개요 페이지(미리보기)에서 가장 위험한 유해한 조합 및 초크 포인트(문제로 표시됨)에 액세스할 수 있습니다.

    모든 유해한 조합 및 초크 포인트는 위험 > 문제 페이지(미리보기)에서 확인할 수 있습니다.

    문제를 해결하려면 다음 안내를 따르세요.

    1. 모든 문제를 보려면 위험 > 문제로 이동합니다.
    2. 기본적으로 그룹화된 문제는 심각도별로 순위가 매겨집니다. 그룹 내에서 문제는 공격 노출 점수에 따라 순위가 매겨집니다. 모든 문제를 공격 노출 점수로 정렬하려면 감지 기준 그룹화를 사용 중지합니다.
    3. 문제를 선택합니다.
    4. 문제 설명과 증거를 검토합니다.
    5. 관련 발견 사항이 있으면 해당 세부정보를 확인합니다.
    6. 유해한 조합 또는 초크 포인트(미리보기)의 기본 리소스에서 심각한 문제가 여러 개 발견된 경우 증거 다이어그램 다음에 메시지가 표시됩니다. 해결 노력을 최적화하기 위해서는 이 메시지에서 이 주요 리소스의 문제 필터링을 클릭하여 해당 리소스에 대한 문제를 해결하는 데 집중합니다. 필터를 삭제하려면 필터 패널 열기 필터 추가 근처에 있는 뒤로 화살표를 클릭합니다.
    7. 문제를 심층적으로 파악하고 공격 경로에 고가치 리소스가 노출되는 방식을 보려면 증거 다이어그램에서 전체 공격 경로 탐색을 클릭합니다.
    8. 해결 방법을 클릭하고 안내에 따라 위험을 해결합니다.

    케이스

    케이스 페이지로 이동하여 모든 유해한 조합 케이스를 볼 수 있습니다. 초크 포인트은 케이스를 자동으로 생성하지 않으며 문제 페이지에서 확인해야 합니다.

    케이스에서 유해한 조합을 찾으려면 다음 안내를 따르세요.

    1. Google Cloud 콘솔에서 위험 > 케이스로 이동합니다. 케이스 보안 운영 콘솔 페이지가 열립니다.
    2. 케이스 목록에서 필터 패널 열기 케이스 필터를 클릭하여 필터 패널을 엽니다. 케이스 큐 필터 패널이 열립니다.
    3. 케이스 큐 필터에서 다음을 지정합니다. 1. 기간 필드에 케이스가 활성화된 기간을 지정합니다. 1. 논리 연산자AND로 설정합니다. 1. 필터 키 목록 상자에서 태그를 선택합니다. 1. 등호 연산자를 is로 설정합니다. 1. 필터 값 목록 상자에서 유해한 조합을 선택합니다. 1. 적용을 클릭합니다. 케이스 큐의 케이스가 업데이트되어 지정한 필터와 일치하는 케이스만 표시됩니다.
    4. 필터 패널 열기 케이스 필터 옆에 있는 정렬을 클릭하고 공격 노출별로 정렬(높음에서 낮음)을 선택합니다.
    5. 케이스 큐에서 확인하려는 케이스를 클릭합니다. 목록 보기에서 케이스를 보고 있다면 케이스 ID를 클릭합니다. 케이스 정보가 표시됩니다.
    6. 케이스 케이스 개요를 클릭합니다.
    7. 케이스 요약 섹션에서 다음 단계 안내를 따릅니다.

    일반적으로 유해한 조합에는 소프트웨어 취약점이나 잘못된 구성에 대한 발견 항목이 하나 이상 포함됩니다. 이러한 발견 항목마다 Security Command Center는 자동으로 별도의 케이스를 열고 관련된 플레이북을 실행합니다. 이러한 발견 항목에 대한 케이스를 검토하고 유해한 조합이 해결되도록 티켓 소유자에게 해결책 우선순위를 지정해 달라고 요청합니다.

    유해한 조합의 관련 발견 항목을 검토하려면 다음 단계를 수행합니다.

    1.  From the ![Case](/security-command-center/images/icons-uno/case.svg){:.inline-icon}

    케이스의 케이스 개요 탭에서 발견 항목 섹션으로 이동합니다. 1. 발견 항목 섹션에서 나열된 발견 항목을 검토합니다. * 발견 항목의 케이스 ID를 클릭하여 케이스를 열고 해당 상태, 할당된 소유자, 기타 케이스 정보를 봅니다. * 공격 노출 점수를 클릭하여 발견 항목의 공격 경로를 검토합니다. * 발견 항목에 티켓 ID가 있는 경우 해당 티켓을 클릭하여 엽니다.

    또는 케이스의 자체 알림 탭에서 관련 발견 항목을 볼 수 있습니다.

    발견 항목

    유해한 조합 또는 초크 포인트 발견 항목은 위험 엔진이 클라우드 환경에서 유해한 조합 또는 초크 포인트를 감지할 때 생성하는 초기 레코드입니다.

    발견 항목 페이지에서 서비스 등급의 탭을 클릭하면 유해한 조합 및 초크 포인트 발견 항목을 볼 수 있습니다.

    프리미엄

    1. 발견 항목 페이지로 이동합니다.

      발견 항목으로 이동

    2. Google Cloud 조직을 선택합니다.

    3. 빠른 필터 패널의 발견 항목 클래스 섹션에서 유해한 조합 또는 초크 포인트를 선택합니다. 발견 항목 쿼리 결과 패널이 업데이트되어 유해한 조합 또는 초크 포인트 발견 항목만 표시됩니다.

    4. 발견 항목을 심각도별로 정렬하려면 점수가 내림차순이 될 때까지 공격 노출 점수 열 제목을 클릭합니다.

    5. 발견 항목 카테고리를 클릭하여 발견 항목 세부정보 패널을 엽니다. 다음 단계 섹션으로 이동하여 안내에 따라 보안 문제를 해결하세요.

    엔터프라이즈

    1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

      엔터프라이즈 등급의 발견 항목으로 이동

    2. Google Cloud 조직을 선택합니다.
    3. 집계 섹션에서 발견 항목 클래스를 펼치고 유해한 조합초크 포인트를 선택합니다.
    4. 점수가 내림차순으로 표시될 때까지 공격 노출 점수를 클릭합니다.
    5. 발견 항목 카테고리를 클릭하여 발견 항목 세부정보 패널을 엽니다. 다음 단계 섹션으로 이동하여 안내에 따라 보안 문제를 해결하세요.

    유해한 조합 케이스 종료

    기본 유해한 조합을 해결하거나Google Cloud 콘솔에서 관련 발견 항목을 숨겨 유해한 조합 케이스를 종료할 수 있습니다.

    유해한 조합을 해결하여 케이스 종료

    유해한 조합을 일으키는 보안 문제를 해결한 후 가치가 높은 리소스 세트의 리소스가 더 이상 노출되지 않도록 위험 엔진은 새 공격 경로 시뮬레이션 중에 자동으로 케이스를 종료합니다. 이 시뮬레이션은 약 6시간마다 실행됩니다.

    발견 항목을 숨겨 케이스 종료

    유해한 조합으로 인한 위험이 비즈니스에 허용 가능한 수준이거나 유해한 조합을 해결할 수 없는 경우에는 관련 발견 항목을 숨겨 케이스를 종료할 수 있습니다.

    유해한 조합 발견 항목을 숨기려면 다음 단계를 수행합니다.

    1. Google Cloud 콘솔에서 위험 > 케이스로 이동합니다.
    2. 유해한 조합 케이스를 찾아 엽니다.
    3. 관련 알림 탭을 클릭합니다.
    4. 발견 항목 요약 위젯에서 SCC에서 발견 항목 탐색을 클릭합니다. 관련 발견 항목이 열립니다.
    5. 발견 항목 세부정보 페이지의 숨기기 옵션을 사용하여 발견 항목을 숨깁니다.

    Google Cloud 콘솔에서도 발견 항목을 숨길 수 있습니다. 자세한 내용은 개별 발견 항목 숨기기를 참조하세요.

    종료된 유해한 조합 케이스 보기

    케이스가 종료되면 Security Command Center는 케이스 페이지에서 케이스를 삭제합니다.

    유해한 조합 케이스를 보려면 다음 단계를 수행합니다.

    1. Google Cloud 콘솔에서 조사 > SOAR 검색으로 이동합니다. SOAR 검색 보안 운영 콘솔 페이지가 열립니다.
    2. 상태 섹션을 펼친 다음 종료됨을 선택합니다.
    3. 태그 섹션을 펼친 다음 유해한 조합을 선택합니다.
    4. 적용을 클릭합니다. 종료된 유해한 조합 케이스가 검색 결과에 표시됩니다.