Security Command Center의 상관관계가 있는 위협 기능을 사용하면 환경에서 중요한 활성 위협을 발견할 수 있습니다. 상관관계가 있는 위협은 관련 위협 발견 항목 집합을 출력하고 이러한 발견 항목에 대한 자세한 설명을 제공합니다. 그런 다음 이러한 설명을 사용하여 이러한 위협의 우선순위를 지정하고, 이해하고, 대응할 수 있습니다.
보안팀은 압도적인 수의 위협 발견 항목을 관리하느라 알림 피로를 겪는 경우가 많습니다. 이러한 상황은 대응 누락 또는 지연으로 이어질 수 있습니다. 이러한 팀은 악용 후 활동을 식별하기 위해 우선순위가 지정되고 관련성 있는 정보를 신속하게 파악해야 합니다.
상관관계가 있는 위협은 여러 관련 위협 발견 항목을 문제로 집계하여 도움이 됩니다. 이러한 집계를 통해 조치를 취할 수 있는 더 높은 신뢰도의 감지를 제공할 수 있습니다. 상관관계가 있는 위협은 일련의 관련 악성 활동을 나타내는 문제를 생성합니다.
이 기능은 다음과 같은 몇 가지 이점을 제공합니다.
- 수많은 발견 항목을 중요한 문제로 통합하여 알림 피로를 줄입니다.
- 여러 신호를 결합하여 감지 충실도를 높여 악성 활동 감지에 대한 신뢰도를 높입니다.
- 이벤트가 연결되어 완전한 공격 스토리를 형성하는 방식을 보여주는 공격 체인의 시각화를 제공합니다. 이 접근 방식을 사용하면 공격자의 움직임을 예측하고 손상된 애셋을 빠르게 식별할 수 있습니다.
- 중요한 위협을 강조 표시하고 명확한 권장사항을 제공하여 대응의 우선순위를 지정하고 가속화하는 데 도움이 됩니다.
상관관계가 있는 위협 작동 방식
상관관계가 있는 위협 기능은 규칙 엔진을 사용하여 관련 보안 발견 항목을 식별하고 그룹화합니다.
규칙 엔진은 사전 정의된 상관관계가 있는 위협 쿼리로 보안 그래프를 쿼리합니다. 그런 다음 엔진은 이러한 쿼리 결과를 문제로 변환합니다. Security Command Center는 이러한 위협 문제의 수명 주기를 관리합니다. 첫 번째 위협 발견 사항이 발생한 후 14일 동안 문제를 숨기거나 비활성으로 표시하지 않으면 문제가 활성 상태로 유지됩니다. 이 기간은 자동으로 설정되며 구성할 수 없습니다. VM 또는 Google Kubernetes Engine 노드와 같은 기본 리소스가 삭제되면 상관관계가 있는 위협이 자동으로 해결됩니다.
상관관계가 있는 위협은 다른 보안 그래프 규칙보다 더 자주 규칙을 실행해야 합니다. 시스템은 시간당 위협 규칙을 처리합니다. 이 접근 방식은 기존 Security Command Center 감지 소스와 통합됩니다.
상관관계가 있는 위협 규칙
상관관계가 있는 위협은 클라우드 리소스 전반에서 다양한 다단계 공격 패턴을 식별하는 데 도움이 됩니다. 다음 표에서는 사용 가능한 상관관계가 있는 위협 규칙을 정의합니다.
| 규칙 | 설명 |
|---|---|
| 암호화폐 채굴 소프트웨어의 여러 상관관계가 있는 위협 신호 |
Compute Engine VM 및 Google Kubernetes Engine (GKE) 노드 (및 해당 포드)를 비롯한
Google Cloud 가상 머신에서 발생하는 악성 소프트웨어의 여러 고유한 신호를 찾습니다.
예를 들면 다음과 같습니다.
|
| 악성 소프트웨어의 여러 상관관계가 있는 위협 신호 |
Compute Engine VM 및 GKE 노드 (및 해당 포드) 또는 Agent Runtime을 비롯한 가상 머신에서 발생하는 악성 소프트웨어의 여러 고유한 신호를 찾습니다. Google Cloud
예를 들면 다음과 같습니다.
|
| 손상된 컴퓨팅 리소스로의 잠재적으로 손상된 GCP 계정 측면 이동 |
VM 또는 포드를 수정하는 컴퓨팅 API (Compute Engine 또는
GKE)에 대한 의심스러운 호출의 증거를 찾습니다. 그런 다음 규칙은 해당 활동을
악성 활동과 상호 연결합니다.
공격자는 일반적으로 이 측면 이동 패턴을 사용합니다. 이 규칙은 VM 또는
포드가 손상되었을 가능성이 높음을 나타냅니다. 이 규칙은 계정(사용자 또는 서비스 계정)이 악성 활동의 원인일 수 있음을 나타냅니다. Google Cloud
예를 들면 다음과 같습니다.
|
상관관계가 있는 위협 조사
상관관계가 있는 위협은 구조화된 조사 프로세스를 안내합니다. 이 프로세스를 통해 보안 사고를 효과적으로 이해하고 대응할 수 있습니다. 위협 발견 항목 색인을 사용하여 특정 위협 발견 항목에 대한 자세한 정보를 찾을 수 있습니다. 각 발견 항목별 페이지에서는 위협을 조사하고 대응하는 방법을 설명합니다.
리셉션
Security Command Center를 통해 상관관계가 있는 위협 문제가 발생합니다. 이 문제는 시스템이 여러 의심스러운 발견 항목을 감지하고 그룹화했음을 나타냅니다. 이 문제는 활성 위협 으로 표시되므로 우선순위가 높은 문제로 인식됩니다. 여러 신호의 상관관계는 즉각적인 집중이 필요한 참양성을 나타냅니다. 자세한 내용은 문제 관리 및 해결 을 참조하세요.
분해
문제를 열어 해당 부분을 확인합니다. 문제 세부정보 뷰에서 섹션을 펼쳐 개별 발견 항목을 확인할 수 있습니다. 예를 들어 GKE 노드에서 유해한 스크립트가 실행된 후 악성 IP 주소에 연결되면 두 이벤트가 함께 표시됩니다. 발생 시점, 관련 프로세스, 악성 IP 주소, 감지 출처 등 각 발견 항목의 세부정보를 확인합니다. 이 정보는 이벤트가 잠재적으로 관련되어 있음을 나타내고 공격의 기술적 세부정보를 설명합니다. 시간순 뷰에는 이벤트의 순서가 표시됩니다. 시스템은 이러한 세부정보를 MITRE ATT&CK 공격 체인 단계에 매핑하고 공격 체인 시각화에 표시합니다. 이 기능을 사용하면 공격 단계에 대한 즉각적인 컨텍스트를 얻을 수 있습니다.
범위 식별
위협의 범위를 결정합니다. 영향을 받는 애셋 및 해당 프로젝트 또는 클러스터 컨텍스트와 같은 상관관계가 있는 이벤트에 대한 컨텍스트 정보를 확인합니다. 플랫폼은 고유 식별자를 사용하여 이벤트를 동일한 노드에 연결하여 리소스별로 문제를 상호 연결합니다. 영향을 받는 애셋이 표시됩니다. 다른 애셋에도 유사한 징후가 있는지 확인합니다. 악성 스크립트를 실행한 서비스 계정 또는 사용자와 같은 관련 ID를 기록해 둡니다. 이 범위 지정 뷰를 사용하면 영향을 받는 시스템에 집중하고 사고가 로컬인지 광범위한지 확인할 수 있습니다.
다음 작업
시스템은 상관관계가 있는 위협 문제를 심각한 심각도로 표시합니다. 해결 방법 뷰에서 권장 조치를 확인할 수 있습니다. 영향을 받는 GKE 노드를 격리하거나 종료하는 등의 방법으로 영향을 받는 애셋을 포함합니다. 방화벽 또는 클라우드 VPC 수준에서 알려진 악성 IP를 차단하는 등의 권장사항을 따릅니다. 권장 조치를 사용하면 더 빠르게 대응하고, 사고를 포함하고, 집중 조사를 시작할 수 있습니다. 위협 조사에 대한 자세한 내용은 위협 조사 방법 을 참조하세요.
다음 단계
- Security Command Center의 위협 감지
- Container Threat Detection 개요
- Event Threat Detection 개요
- Virtual Machine Threat Detection 개요
- 문제 관리 및 해결