Security Command Center에서 모니터링하는 애셋 검사

이 페이지에서는 보안 상태를 개선하고, 보안 문제를 해결하고, 위협에 대응하기 위해 클라우드 애셋을 보고, 쿼리하고, 검사하는 방법을 설명합니다.

Security Command Center에서 애셋에 수행할 수 있는 일부 작업은 다음과 같습니다.

필수 권한 얻기

이 섹션에는 콘솔에서 애셋 작업에 필요한 IAM 역할이 나와 있습니다.

Google Cloud 콘솔 IAM 역할

Google Cloud 콘솔에서 애셋으로 작업하려면 다음 IAM 역할이 필요합니다.

Make sure that you have the following role or roles on the organization:

  • Security Center Assets Viewer (roles/securitycenter.assetsViewer)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.
  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.
  8. Security Command Center 역할과 권한에 대한 자세한 내용은 조직 수준 활성화를 위한 IAM을 참조하세요.

    Security Operations 콘솔 IAM 역할

    Security Command Center Enterprise 고객인 경우 보안 운영 콘솔에서 애셋 작업을 할 수 있습니다. 다음 IAM 역할이 필요합니다.

    • Chronicle SOAR 관리자(roles/chronicle.soarAdmin)
    • Chronicle SOAR 위협 관리자(roles/chronicle.soarThreatManager)
    • Chronicle SOAR 취약점 관리자(roles/chronicle.soarVulnerabilityManager)

    사용자에게 역할을 부여하는 방법은 IAM을 사용하여 사용자 매핑 및 승인을 참조하세요.

    Security Command Center의 애셋 목록

    애셋은 Google Cloud 콘솔의 애셋 페이지와 Security Command Center Enterprise 고객의 경우 보안 운영 콘솔의 리소스 페이지 쿼리 결과에 나와 있습니다.

    Security Command Center가 조직 수준에서 활성화되면 전체 조직의 애셋을 보거나 특정 프로젝트, 리소스 유형, 위치별로 애셋을 필터링할 수 있습니다.

    Security Command Center가 프로젝트 수준에서 활성화된 경우 Google Cloud 콘솔에서 리소스 유형 및 위치별로 애셋을 필터링할 수 있습니다.

    애셋 목록은 Cloud 애셋 인벤토리에서 제공합니다. 대부분의 경우 Cloud 애셋 인벤토리는 Google Cloud 환경에서 애셋이 생성, 수정, 삭제된 후 몇 분 내에 목록을 업데이트합니다.

    Cloud 애셋 인벤토리에 대한 자세한 내용은 Cloud 애셋 인벤토리 소개를 참조하세요.

    Security Command Center Enterprise 콘솔에서 애셋 작업

    Security Command Center Enterprise 고객은 두 콘솔에서 애셋으로 작업할 수 있습니다.

    • Google Cloud 콘솔 애셋 페이지: 모든 서비스 등급에서 사용 가능
    • 보안 운영 콘솔 리소스 페이지: Enterprise 등급에서만 사용 가능

    보안 운영 콘솔의 리소스 페이지는 미리보기 상태입니다.

    이 페이지의 두 콘솔에서는 애셋을 사용하는 단계가 별도의 탭에 나란히 설명되어 있습니다.

    자세한 내용은 Security Command Center Enterprise 콘솔을 참조하세요.

    모든 애셋 보기

    애셋을 보는 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭합니다.

    Google Cloud 콘솔

    1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

      애셋으로 이동

    2. Google Cloud 프로젝트 또는 조직을 선택합니다.

    Security Operations 콘솔

    보안 운영 콘솔에서 리소스 페이지로 이동합니다.

    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    이 콘솔에 대한 자세한 내용은 Security Operations 콘솔을 참조하세요.

    애셋 정렬하기

    애셋을 정렬하려면 정렬하려는 기준값의 열 제목을 클릭합니다. 열은 숫자로 정렬된 후 알파벳 순서로 정렬됩니다.

    저작물 검색

    기본적으로 조직의 모든 애셋이 쿼리 결과에 표시됩니다. Security Command Center에서 특정 애셋을 검색하려면 빠른 필터를 사용하거나 커스텀 필터를 지정하면 됩니다.

    빠른 필터를 사용하여 대략적인 검색 수행

    저작물에 대한 대략적인 검색을 수행하려면 빠른 필터를 사용하면 됩니다. 예를 들어 프로젝트, 리소스 유형 또는 위치를 기준으로 검색할 수 있습니다. 자세한 내용을 보려면 사용 중인 콘솔의 탭을 클릭합니다.

    Google Cloud 콘솔

    1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

      애셋으로 이동

    2. 빠른 필터 패널에서 하나 이상의 속성 필터를 선택하여 쿼리에 추가합니다.

    Security Operations 콘솔

    1. 보안 운영 콘솔에서 리소스 페이지로 이동합니다.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. Google Cloud 리소스를 필터링하려면 Google Cloud 리소스를 클릭합니다.
    3. Amazon Web Services(AWS) 리소스를 필터링하려면 AWS 리소스를 클릭합니다.
    4. 특정 속성 값이 있는 리소스를 필터링하려면 다음 단계를 따르세요.
      1. 필터 패널에서 속성 값을 클릭하고 다음 항목만 표시를 클릭합니다. 이에 따라 쿼리가 업데이트됩니다.
      2. 쿼리에 다른 속성 값을 추가하려면 속성 값을 클릭하고 다음 항목만 표시를 클릭합니다.
      3. 쿼리에서 속성 값을 삭제하려면 속성 값을 클릭하고 다음만 표시하지 않음을 클릭합니다.
    5. 속성 값을 복사하려면 속성 값을 클릭하고 복사를 클릭합니다.

    애셋 쿼리 수정

    애셋 쿼리를 수정하는 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭하세요.

    Google Cloud 콘솔

    1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

      애셋으로 이동

    2. 애셋 쿼리 탭을 클릭합니다.
    3. 다음 방법 중 하나로 쿼리를 수정합니다.
      • 쿼리 라이브러리 하위 탭에서 사전 빌드된 쿼리를 선택합니다. 적용을 클릭합니다. 이에 따라 쿼리 수정 패널의 쿼리가 업데이트됩니다.
      • 테이블 선택 패널에서 쿼리하려는 확장 소재 유형을 클릭합니다. 스키마 하위 탭에서 쿼리에 추가할 속성을 찾습니다. 속성이 쿼리 수정 패널에 추가됩니다.
      • 쿼리 수정 패널에서 쿼리를 직접 수정합니다.
    4. 실행을 클릭합니다. 이에 따라 쿼리 결과가 업데이트됩니다.

    Security Operations 콘솔

    1. 보안 운영 콘솔에서 리소스 페이지로 이동합니다.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. Google Cloud 리소스를 필터링하려면 Google Cloud 리소스를 클릭합니다.
    3. Amazon Web Services(AWS) 리소스를 필터링하려면 AWS 리소스를 클릭합니다.
    4. 필터 추가를 클릭합니다. 필터 대화상자가 나타납니다. 이 대화상자에서 지원되는 리소스 속성 및 값을 선택할 수 있습니다.
    5. 필터에서 필터링할 속성을 선택합니다.
    6. 필터 평가 옵션과 속성 값을 설정합니다. 사용 가능한 평가 옵션은 선택한 속성에 따라 다릅니다.
      • 특정 속성 값이 있는 리소스를 필터링하려면 다음 항목만 표시를 선택합니다. 목록에서 속성 값을 선택합니다.
      • 특정 문자열이 포함된 속성 값이 있는 리소스를 필터링하려면 포함을 선택합니다. 필드에 다음을 입력합니다.

        포함 평가 옵션은 텍스트 부분 일치 연산자의 쿼리 구문을 따릅니다. 특수문자를 구분자로 사용하여 검색어를 토큰 하나 이상으로 변환하며 전체 토큰이 일치해야 합니다. 토큰의 일부분만 일치시키려면 별표(*)를 토큰 프리픽스 일치 표시기로 사용합니다.

      • 타임스탬프를 기준으로 리소스를 필터링하려면 이전 또는 이후를 선택합니다. 필드에 타임스탬프를 입력합니다.
    7. 다른 필터를 추가하려면 다음 단계를 따르세요.
      1. 필터 추가를 클릭합니다.
      2. 속성, 평가 옵션, 속성 값을 설정합니다.
      3. 필터 간의 논리적 관계를 설정합니다. 논리 연산자AND 또는 OR을 선택합니다.
    8. 적용을 클릭합니다. 쿼리 편집기가 업데이트되고 그에 따라 쿼리 결과가 필터링됩니다.

    확장 소재 세부정보 검사

    이 섹션에서는 특정 저작물의 세부정보를 자세히 알아보는 방법을 설명합니다.

    세부정보 간략히 보기

    1. 애셋을 검색합니다.
    2. 쿼리 결과에서 애셋 이름을 클릭합니다. 저작물의 세부정보 패널이 열리고 세부정보 요약이 표시됩니다.

    저작물의 전체 세부정보 보기

    하위 수준 메타데이터를 포함하여 애셋에 대한 모든 세부정보를 보려면 다음 단계를 따르세요.

    1. 애셋을 검색합니다.
    2. 쿼리 결과에서 애셋 이름을 클릭합니다. 저작물의 세부정보 패널이 열립니다.
    3. 전체 메타데이터 탭을 클릭합니다. 애셋의 모든 속성 이름과 값이 트리 구조로 표시됩니다.
    4. 트리에서 특정 속성 이름이나 값을 검색하려면 필터에 이름이나 값을 입력합니다.
    1. 애셋을 검색합니다.
    2. 쿼리 결과에서 애셋 이름을 클릭합니다. 저작물의 세부정보 패널이 열립니다.
    3. 발견 항목 탭을 클릭합니다. 저작물과 관련된 모든 발견 항목이 표시됩니다.

    애셋 변경사항 보기

    애셋의 메타데이터 스냅샷을 비교하여 변경된 내용을 확인할 수 있습니다.

    시간 경과에 따른 애셋 변경사항을 확인하는 방법을 보려면 사용 중인 콘솔의 탭을 클릭합니다.

    Google Cloud 콘솔

    1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

      애셋으로 이동

    2. 애셋을 검색합니다.
    3. 결과 패널의 애셋 목록에서 애셋 이름을 클릭합니다. 애셋의 세부정보 패널이 열립니다.
    4. 저작물의 세부정보 패널에서 변경 내역 탭을 클릭합니다.
    5. 변경 내역 탭에서 시작 시간종료 시간을 모두 선택합니다.
    6. 왼쪽에 있는 비교할 레코드 선택 목록에서 스냅샷을 선택합니다.
    7. 오른쪽의 비교할 레코드 선택 목록에서 선택한 첫 번째 스냅샷과 비교할 스냅샷을 선택합니다. 두 스냅샷 간의 변경사항이 강조표시됩니다.

    Security Operations 콘솔

    1. 보안 운영 콘솔에서 리소스 페이지로 이동합니다.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 애셋을 검색합니다.
    3. 결과 패널의 애셋 목록에서 애셋 이름을 클릭합니다. 애셋의 세부정보 패널이 열립니다.
    4. 저작물의 세부정보 패널에서 변경 내역 탭을 클릭합니다.
    5. 왼쪽의 비교 목록에서 스냅샷을 선택합니다.
    6. 오른쪽의 비교 목록에서 선택한 첫 번째 스냅샷과 비교할 스냅샷을 선택합니다. 두 스냅샷 간의 변경사항이 강조표시됩니다.

    저작물과 연결된 IAM 정책 보기

    1. 애셋을 검색합니다.
    2. 쿼리 결과에서 애셋 이름을 클릭합니다. 저작물의 세부정보 패널이 열립니다.
    3. IAM 정책 탭을 클릭합니다. 애셋과 연결된 IAM 정책이 표시됩니다.

    중요도가 높은 리소스 세트 보기

    Risk Engine이 마지막 공격 경로 시뮬레이션에 포함한 중요도가 높은 리소스를 볼 수 있습니다. 또한 Risk Engine이 각 리소스에 계산한 공격 노출 점수를 볼 수 있습니다. 자세한 내용은 사용 중인 콘솔의 탭을 클릭하여 확인하세요.

    Google Cloud 콘솔

    1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

      애셋으로 이동

    2. 중요도가 높은 리소스 세트 탭을 선택합니다.
    3. 보려는 클라우드 제공업체의 하위 탭을 클릭합니다.
      • 중요도가 높은 Google Cloud 리소스를 보려면 Google을 클릭합니다. 리소스의 세부정보를 보려면 리소스 이름을 클릭합니다.
      • 중요도가 높은 Amazon Web Services(AWS) 리소스를 보려면 AWS를 클릭합니다.
      • 중요도가 높은 Microsoft Azure 리소스를 보려면 Azure를 클릭합니다.
    4. 리소스의 공격 경로 시뮬레이션 세부정보를 보려면 리소스의 공격 노출 점수를 클릭합니다. 공격 경로를 해석하는 방법에 대한 자세한 내용은 공격 경로를 참조하세요.

    Security Operations 콘솔

    Security Operations 콘솔에서는 고가치 리소스 세트를 볼 수 있지만 리소스의 공격 경로 시뮬레이션 세부정보는 볼 수 없습니다. 공격 경로 시뮬레이션 세부정보를 보려면 대신 Google Cloud 콘솔을 사용하세요.

    Security Operations 콘솔에서 고가치 리소스 세트를 보려면 다음 단계를 따르세요.

    1. 보안 운영 콘솔에서 리소스 페이지로 이동합니다.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/resources
      

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 중요도가 높은 리소스 세트 탭을 선택합니다.
    3. 보려는 클라우드 제공업체의 하위 탭을 클릭합니다.
      • 중요도가 높은 Google Cloud 리소스를 보려면 Google Cloud 리소스를 클릭합니다.
      • 중요도가 높은 Amazon Web Services(AWS) 리소스를 보려면 AWS 리소스를 클릭합니다.
    4. 리소스의 세부정보를 보려면 리소스 표시 이름을 클릭합니다.

    생성됨 또는 최종 업데이트됨 타임스탬프에 따라 애셋 필터링

    타임스탬프로 애셋을 필터링하는 방법에 대한 자세한 내용을 보려면 사용 중인 콘솔의 탭을 클릭합니다.

    Google Cloud 콘솔

    애셋 페이지의 결과 패널에서 생성됨최종 업데이트됨 타임스탬프를 기준으로 애셋을 필터링하거나 정렬할 수 있습니다.

    생성됨 타임스탬프, 최종 업데이트됨 타임스탬프 또는 둘 다를 기준으로 필터링하려면 다음 단계를 따르세요.

    1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

      애셋으로 이동

    2. 애셋 페이지의 결과 패널 상단에 있는 필터 필드에 커서를 둡니다. 필터 메뉴가 열립니다.
    3. 생성 시간 또는 업데이트 시간 섹션까지 스크롤하고 시간 기반 필터 옵션 중 하나를 선택합니다. 예를 들면 다음과 같습니다. Update time after 필터가 필터 필드에 추가됩니다.
    4. 필터 필드에서 MM/DD/YYYY 형식으로 날짜를 입력하고 키보드에서 Enter 키를 누릅니다.

    필터와 일치하는 애셋만 표시되도록 결과 패널의 애셋이 업데이트됩니다.

    Security Operations 콘솔

    Security Operations 콘솔에서는 이 기능을 사용할 수 없습니다.

    저작물 검색 결과 페이지 맞춤설정

    화면 공간을 관리하려면 쿼리 결과에 표시되는 일부 요소를 맞춤설정하면 됩니다.

    열 숨기기 또는 표시하기

    쿼리 결과에서 열을 숨기거나 표시하는 방법에 대한 자세한 내용은 사용 중인 콘솔의 탭을 클릭하여 확인하세요.

    Google Cloud 콘솔

    1. 결과 패널 상단에 있는 view_column 을 클릭합니다.
    2. 표시할 열을 선택합니다.
    3. 숨기려는 열의 선택 항목을 선택 해제합니다.
    4. 적용을 클릭하여 변경사항을 쿼리 결과에 적용합니다.

    Security Operations 콘솔

    1. 결과 패널 상단에 있는 view_column 열 선택기 열기를 클릭합니다. 열 관리 메뉴가 열립니다.
    2. 표시할 열을 선택합니다.
    3. 숨기려는 열의 선택 항목을 선택 해제합니다.
    4. 메뉴를 닫습니다.

    빠른 필터 패널 숨기기 또는 크기 조절

    쿼리 결과 화면 공간을 늘리려면 패널을 숨기거나 크기를 조절하면 됩니다. 자세한 내용을 보려면 사용 중인 콘솔의 탭을 클릭합니다.

    Google Cloud 콘솔

    • 빠른 필터 측면 패널을 숨기려면 왼쪽 화살표 first_page를 클릭합니다.
    • 빠른 필터 측면 패널을 표시하려면 오른쪽 화살표 last_page를 클릭합니다.
    • 표시 열 크기를 조절하려면 분할선을 왼쪽이나 오른쪽으로 드래그합니다.

    Security Operations 콘솔

    • 필터 측면 패널을 숨기려면 chevron_left 사이드바 닫기를 클릭합니다.
    • 필터 측면 패널을 표시하려면 chevron_right 사이드바 열기를 클릭합니다.

    다음 단계

    • 보안 표시로 애셋과 발견 항목에 주석을 작성합니다.