VMware Engine으로 Google Security Operations 구성
이 문서에서는 VMware Engine에서 실행되는 가상 머신 (VM)의 사이버보안 위협에 대한 감지, 조사, 대응을 개선하기 위해 Google Security Operations (Google SecOps)를 구성하는 방법을 설명합니다. 또한 Google SecOps는 VMware 인프라 및 기타 지원되는 서비스의 원격 분석을 분석할 수 있습니다. Google Cloud
개요
Google SecOps는 Google 인프라를 기반으로 하는 특수한 레이어로 빌드된 클라우드 서비스로, 기업이 생성하는 방대한 양의 보안 및 네트워크 원격 분석을 비공개로 보관, 분석, 검색할 수 있도록 설계되었습니다. Google SecOps는 데이터를 정규화하고 색인을 생성하고 상관관계를 지정하고 분석하여 위험하거나 의심스러운 활동에 대한 즉각적인 분석과 컨텍스트를 제공합니다.
Google SecOps의 데이터 처리 메커니즘
Google SecOps는 Google SecOps 처리 문서에 자세히 설명된 대로 데이터 처리를 위한 여러 경로를 제공합니다. 이 가이드의 구성 예에서는 대표적인 아키텍처 내의 다음과 같은 주요 통합 지점에 중점을 둡니다.
VM 및 워크로드 시스템 로그: VM 및 워크로드에서 발생하는 로그를 캡처하기 위해 여러 아키텍처 패턴이 있습니다. 이 가이드의 구성 예에서는 이러한 가상 머신 내에 직접 배포된 OpenTelemetry BindPlane 에이전트를 사용합니다. 이 메서드는 시스템 로그를 수집하고 전달하는 유연하고 표준화된 방법을 제공합니다.
Google Cloud 로그: 대부분의 고객 프로젝트는 가상화된 환경 외에도 다양한 Google Cloud 서비스를 사용합니다 (이 특정 맥락에서는 VMware Engine 제외). 위협 감지에 대한 포괄적인 가시성을 확보하기 위해 이러한 지원되는 서비스의 로그를 Google SecOps로 전달할 수 있습니다. 다음 구성 예에서는 직접 처리 메커니즘을 사용하여 Cloud Logging 필터를 구성하여 관련 로그 데이터를 선택적으로 라우팅합니다.
VMware Engine으로 Google Security Operations 구성
VMware Engine으로 Google Security Operations를 구성하려면 다음 단계를 완료하세요.
워크로드 시스템 로그 전달
VMware Engine 내에서 실행되는 VM의 워크로드 시스템 로그를 Google SecOps로 전달하려면 워크로드 내에서 실행되는 OpenTelemetry 수집 에이전트를 사용하면 됩니다. 단계는 다음과 같습니다.
- 시작하기 전에 Bindplane 에이전트 안내에 따라 에이전트를 설치하고 Google SecOps 처리 인증 파일을 다운로드합니다. Google SecOps 인증 파일은 Google SecOps 포털에서 다운로드할 수 있습니다.
- 방화벽 구성을 확인하여 관련 방화벽 포트가 열려 있는지 확인합니다.
- 사용 중인 OS(Linux 또는 Windows)의 안내에 따라 Bindplane 에이전트를 설치합니다.
상담사를 구성하는 단계를 완료합니다. 이 단계를 완료할 때 다음 세부정보를 확인하세요.
- 수신 도구 섹션에는 에이전트가 수집하여 Google SecOps로 전송해야 하는 로그가 지정됩니다.
- 내보내기 도구 섹션은 에이전트가 로그를 전송해야 하는 대상을 지정합니다.
- 이 태스크에서는 로그를 Google SecOps 수집 API로 직접 전송하는 Google SecOps 내보내기 도구를 사용합니다.
사용할 수 있는 샘플 구성 파일은 추가 로그 수집 구성 샘플을 참고하세요. 다음은 Windows 이벤트 로그 (애플리케이션, 보안, 시스템)를 수집하여 Google SecOps로 전송하는 구체적인 예입니다. OpenTelemetry Collector 구성 형식을 사용합니다.
receivers: windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application: attributes: log_type: windows_event.application channel: application max_reads: 100 poll_interval: 1s raw: true start_at: end windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security: attributes: log_type: windows_event.security channel: security max_reads: 100 poll_interval: 1s raw: true start_at: end windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system: attributes: log_type: windows_event.system channel: system max_reads: 100 poll_interval: 1s raw: true start_at: end processors: resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ: detectors: - system system: hostname_sources: - os transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs: error_mode: ignore log_statements: - context: log statements: - set(attributes["chronicle_log_type"], "WINEVTLOG") where true exporters: chronicle/NA-SDL: compression: none creds: '{ "type": "service_account", "project_id": "malachite-previewamericassdl", "private_key_id": "a9c8d8f0b081c09bcf92621804ba19fc6529ecce", "private_key": "----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n", "client_email": "previewamericassdl-1710772997@malachite-previewamericassdl.iam.gserviceaccount.com", "client_id": "114604545528934473681", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/previewamericassdl-1710772997%40malachite-previewamericassdl.iam.gserviceaccount.com", "universe_domain": "googleapis.com" }' customer_id: a556547c-1cff-43ef-a2e4-cf5b12a865df endpoint: malachiteingestion-pa.googleapis.com ingestion_labels: env: takeshi log_type: CATCH_ALL namespace: null raw_log_field: body retry_on_failure: enabled: true initial_interval: 5s max_elapsed_time: 300s max_interval: 30s sending_queue: enabled: true num_consumers: 10 queue_size: 5000 storage: file_storage/NA-SDL extensions: file_storage/NA-SDL: compaction: directory: $OIQ_OTEL_COLLECTOR_HOME/storage on_rebound: true directory: $OIQ_OTEL_COLLECTOR_HOME/storage service: extensions: - file_storage/NA-SDL pipelines: logs/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_NA-SDL-0: receivers: - windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_application - windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_security - windowseventlog/source001HZ7NFAB5HZY6TPMGEYRN4XGZ_system processors: - resourcedetection/source0_01HZ7NFAB5HZY6TPMGEYRN4XGZ - transform/source001HZ7NFAB5HZY6TPMGEYRN4XGZprocessor0_logs exporters: - chronicle/NA-SDL구성이 완료되면 수집기를 다시 시작하고 Google SecOps 대시보드에 로그가 채워지는지 확인합니다.
위협 감지를 위한 맞춤 규칙 만들기
Google SecOps는 사이버보안 위협을 효과적으로 식별하도록 설계된 선별된 기본 규칙과 감지를 제공합니다. 기본 기능 외에도 맞춤 규칙을 만들어 특정 환경 및 보안 문제에 맞는 알림을 생성할 수 있습니다. 보다 정교한 위협 감지를 위해 Google SecOps에서는 여러 이벤트 규칙을 사용할 수 있습니다. 이를 통해 시간 경과에 따른 관련 보안 이벤트를 추적하고 연관시킬 수 있으므로 개별적인 사고에서는 명확하지 않을 수 있는 복잡한 공격 패턴을 쉽게 식별할 수 있습니다.
전달 Google Cloud Cloud 로그
직접 수집을 사용하여 Google SecOps로 Google Cloud 데이터를 수집하도록 구성하려면 다음 단계를 따르세요.
- Google SecOps에 데이터 수집 Google Cloud 의 단계에 따라 로그를 설정합니다.
- Cloud Logging의 전체 처리 설정 탭에서 데이터 처리 및 분석을 사용 설정합니다.
- 로그 처리에 지원되는 Google Cloud 서비스 목록을 검토하여 Google Cloud 보안 모니터링 요구사항에 가장 중요한 서비스를 식별합니다. gcp_name 로그 내보내기를 참고하세요.
- 내보내기 필터 설정 탭에서 필요에 따라 기본 내보내기 필터를 수정하여 필요한 특정 로그를 포함합니다. 다음 예는 이 문서에 사용된 내보내기 필터의 사본입니다.
log_id("dns.googleapis.com/dns_queries") OR log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event") OR ( log_id("cloudaudit.googleapis.com/data_access") AND NOT protoPayload.methodName =~ "^storage.(buckets|objects).(get|list)$" AND NOT protoPayload.request.cmd = "select" ) OR log_id("cloudaudit.googleapis.com/policy") OR log_id("cloudaudit.googleapis.com/access_transparency") OR log_id("compute.googleapis.com/nat_flows") OR log_id("compute.googleapis.com/firewall") OR log_id("requests") OR logName =~ "^projects/[\w-]+/logs/syslog$" OR logName =~ "^projects/[\w-]+/logs/authlog$" OR log_id("securelog") OR log_id("sysmon.raw") OR logName =~ "^projects/[\w-]+/logs/windows_event_log$" OR log_id("windows_event_log") OR log_id("events") OR log_id("stdout") OR log_id("stderr") OR log_id("audit_log") OR log_id("recaptchaenterprise.googleapis.com/assessment") OR log_id("recaptchaenterprise.googleapis.com/annotation") OR log_id("cloudaudit.googleapis.com/activity")
다음 단계
- Google SecOps에 데이터를 수집 Google Cloud 하는 방법을 알아보세요.
- 프라이빗 클라우드 VMware 구성요소 검토