퍼스트 파티 케이스 및 알림에 대한 액세스 제어
이 가이드는 데이터 역할 기반 액세스 제어 (RBAC)를 사용하여 퍼스트 파티 (1P) 케이스 및 알림에 대한 액세스를 제어하려는 Google SecOps 관리자 및 보안 분석가를 위한 것입니다. 사용자가 액세스 권한이 있는 데이터에서 파생된 알림 및 케이스만 볼 수 있도록 플랫폼의 SIEM 측면에서 데이터 액세스 범위를 구성하고 이를 SOAR 환경에 매핑하는 방법을 설명합니다. 이 방법을 따르면 데이터 거버넌스 정책을 적용하고 보안을 강화할 수 있습니다. 완료되면 조직에서 역할과 책임을 기반으로 데이터 공개 상태를 제한하여 규정 준수를 개선하고 데이터 노출 위험을 줄일 수 있습니다.
주요 용어
이 가이드에서는 데이터 RBAC 개념과 구성요소를 설명하기 위해 다음 용어를 사용합니다.
- 퍼스트 파티 (1P) 알림: 규칙, 위협 인텔리전스 일치 또는 보안 분석과 같은 Google SecOps SIEM 감지 엔진에서 생성된 감지입니다. 이러한 SIEM 감지가 Google SecOps 커넥터를 사용하여 SOAR 구성요소에 수집되면 1P 알림을 형성하고 1P 케이스로 그룹화됩니다.
- 서드 파티 (3P) 알림: 별도의 SOAR 통합을 사용하여 외부 보안 도구 (예: 서드 파티 방화벽 또는 엔드포인트 감지 에이전트)에서 SOAR 구성요소로 직접 수집된 알림입니다. 이러한 알림은 SIEM 감지 엔진을 우회하며 SIEM 데이터 액세스 범위의 적용을 받지 않습니다.
1P 알림의 경우 Google SecOps는 기본 이벤트의 연결된 데이터 범위를 SOAR 구성요소로 전파합니다. 이 전파를 통해 분석가는 기본 이벤트의 데이터 범위에 액세스할 수 있는 경우에만 알림 및 연결된 케이스를 볼 수 있습니다. 예를 들어 재무 사용자에게는 Google SecOps에 수집된 재무 데이터에 대한 액세스 권한이 부여되지만 고객 연락처 데이터에 대한 액세스 권한은 부여되지 않을 수 있습니다. 재무 사용자는 재무 데이터와 연결된 알림 및 케이스만 볼 수 있으며 고객 연락처 데이터와 연결된 알림 또는 케이스는 볼 수 없습니다.
시작하기 전에
1P 케이스 및 알림에 대한 데이터 RBAC를 구성하기 전에 다음 요구사항을 충족하는지 확인하세요.
- Google SecOps 인스턴스는 통합되어야 합니다 (SIEM 및 SOAR 사용 설정).
- 다중 인스턴스 SIEM 동작: 단일 SOAR 인스턴스에 연결된 SIEM 인스턴스가 여러 개 있는 경우 범위 전파 및 적용은 기본 SIEM 인스턴스에만 적용됩니다. 보조 SIEM 인스턴스의 범위는 SOAR 측면에서 무시되며 이러한 알림은 SOAR에서 할당된 환경에 액세스할 수 있는 모든 사용자에게 표시됩니다.
- Chronicle 커넥터: SIEM 구성요소를 SOAR 구성요소에 연결하는 Chronicle 커넥터는 최신 Chronicle API를 사용합니다. 이 기능을 사용 설정하기 전에 커넥터가 기존 Backstory API에서 Chronicle API로 업그레이드되었는지 확인하세요. 자세한 내용은 Chronicle API로 업그레이드를 참고하세요.
1P 알림 및 케이스에 데이터 RBAC 사용 설정
Google SecOps 관리자 (IAM 내의 Chronicle API 관리자 역할)는 인스턴스에서 1P 알림 및 케이스에 데이터 RBAC를 사용 설정할 수 있습니다. Google Cloud 두 가지 시나리오가 있습니다.
시나리오 A: SIEM 데이터 액세스가 이미 적용됨
SIEM 구성요소에서 데이터 액세스 제어가 이미 활성 상태인 경우 다음 단계에 따라 SOAR 구성요소의 1P 알림 및 케이스에 적용을 확장합니다.
- 로그인하여 Google SecOps를 사용합니다.
- SIEM 설정 > 데이터 액세스 에서 범위가 올바르게 구성되었는지 확인합니다.
- 콘솔에서 Google Cloud Google Cloud IAM을 사용하여 사용자에게 데이터 범위를 할당합니다.
- Google SecOps에서 SIEM 설정 > 데이터 액세스 로 이동하고 SOAR에서 데이터 액세스 사용 설정 을 클릭합니다.
- 범위를 환경에 매핑에 설명된 대로 SIEM 범위를 SOAR 환경에 매핑합니다.
이제 SOAR 구성요소의 1P 알림 및 케이스에 데이터 액세스가 적용됩니다. 이는 모든 새 알림 및 케이스는 물론 SIEM 데이터 액세스가 처음 적용된 후에 생성된 기존 알림 및 케이스에도 적용됩니다.
시나리오 B: SIEM 데이터 액세스가 아직 적용되지 않음
SIEM에서 데이터 액세스 제어를 아직 사용 설정하지 않은 경우 SIEM 및 SOAR에 동시에 적용이 사용 설정됩니다.
- 로그인하여 Google SecOps를 사용합니다.
- SIEM 설정 > 데이터 액세스 에서 범위가 올바르게 구성되었는지 확인합니다.
- 콘솔에서 Google Cloud Google Cloud IAM을 사용하여 사용자에게 데이터 범위를 할당합니다.
- Google SecOps에서 SIEM 설정 > 데이터 액세스 로 이동하고 데이터 액세스 적용 을 클릭합니다.
- 범위를 환경에 매핑에 설명된 대로 SIEM 범위를 SOAR 환경에 매핑합니다.
이제 SIEM 구성요소와 SOAR 구성요소의 새 1P 알림 및 케이스에 데이터 액세스가 적용됩니다.
범위를 환경에 매핑
SIEM 데이터 범위를 SOAR에 연결하려면 SIEM 데이터 액세스 범위를 SOAR 환경에 매핑합니다.
- SOAR 설정 > 환경 으로 이동하여 환경 구성 페이지에 액세스합니다.
- 기존 환경을 선택하여 수정하거나 환경 추가 를 클릭합니다.
- SIEM 범위를 이 환경에 연결하여 범위를 연결합니다.
- 데이터 액세스 범위 필드를 찾아 필요한 SIEM 범위를 선택합니다.
- 매핑 규칙:
- 범위는 하나의 환경에만 매핑할 수 있습니다.
- 여러 범위를 단일 환경에 매핑할 수 있습니다.
- 저장 을 클릭하여 범위-환경 매핑을 적용합니다.
환경 대체 매핑
범위-환경 매핑이 구성되면 매핑된 범위가 있는 SIEM 알림이 연결된 SOAR 환경에 자동으로 할당됩니다. 이렇게 하면 Chronicle 커넥터의 환경 설정이 재정의됩니다.
SIEM 알림의 범위가 지정되지 않았거나 (전역) 범위가 환경에 매핑되지 않은 경우 대체 환경 으로 라우팅됩니다. 대체 환경은 Environment 또는 Environment Field Name 설정에 의해 Chronicle 커넥터에 정의됩니다.
액세스 평가 이해
이 섹션에서는 Google SecOps가 할당된 범위 및 환경을 기반으로 케이스 및 알림에 대한 사용자 액세스를 평가하는 방법을 설명합니다. 1P 케이스 또는 알림을 보려면 사용자가 환경 및 범위 권한을 모두 충족해야 합니다.
범위 전파 로직
- 알림 범위: 수집된 알림은 Google SecOps SIEM 감지 규칙에 의해 할당된 데이터 액세스 범위를 전달합니다.
- 케이스 범위: 케이스는 연결된 알림의 모든 범위의 합집합을 자동으로 상속합니다. 예를 들어 케이스가 알림 1 (범위 A)과 알림 2 (범위 B)를 그룹화하는 경우 케이스는 범위 A와 범위 B를 모두 상속합니다.
액세스 규칙
리소스 (케이스 또는 알림)에 액세스하려면 사용자에게 다음이 있어야 합니다.
- 리소스에 할당된 SOAR 환경 에 대한 액세스 권한
- 리소스에 할당된 모든 데이터 액세스 범위에 대한 액세스 권한
평가 시나리오
다음 표는 다양한 시나리오에서 사용자 액세스가 평가되는 방식을 보여줍니다.
| 케이스 알림 | 케이스 범위 | 사용자 할당 범위 | 사용자 액세스 수준 | 케이스 및 연결된 알림에 대한 액세스 권한이 부여되었나요? | 근거 |
|---|---|---|---|---|---|
| 알림 1 (범위 1) | 범위 1 | 범위 1 | 범위 지정 사용자 | 예 | 사용자는 케이스에 할당된 단일 범위에 액세스할 수 있습니다. |
| 알림 1 (범위 1) 및 알림 2 (범위 2) | 범위 1 및 범위 2 | 범위 1 | 범위 지정 사용자 | 아니요 | 사용자에게 범위 2가 없습니다. 케이스에 할당된 모든 범위에 액세스할 수 있어야 합니다. |
| 알림 1 (범위 1) 및 알림 2 (범위 2) | 범위 1 및 범위 2 | 범위 1 및 범위 2 | 범위 지정 사용자 | 예 | 사용자는 케이스에 할당된 모든 범위에 액세스할 수 있습니다. |
| 알림 1 (범위 1) 및 알림 2 (범위 2) | 범위 1 및 범위 2 | 전역 | 전역 사용자 | 예 | 전역 사용자는 범위 필터링을 우회하고 모든 케이스를 볼 수 있습니다. |
| 알림 1 (전역 범위) | 전역 | 전역 | 전역 사용자 | 예 | 전역 사용자는 범위 필터링을 우회하고 모든 케이스를 볼 수 있습니다. |
| 알림 1 (범위 1) 및 알림 2 (전역 범위) | 전역 | 범위 1 | 범위 지정 사용자 | 아니요 | 전역 범위 케이스는 전역 사용자로 제한됩니다. |
| 알림 1 (범위 1) 및 알림 2 (전역 범위) | 전역 | 전역 | 전역 사용자 | 예 | 전역 사용자는 범위 필터링을 우회하고 모든 케이스를 볼 수 있습니다. |
| 알림 1 (전역 범위) | 전역 | 범위 1 | 범위 지정 사용자 | 아니요 | 전역 범위 케이스는 전역 사용자로 제한됩니다. |
케이스 그룹화 및 항목 범위 지정 규칙
- 환경으로 제한되는 그룹화: 매핑된 범위가 동일한 환경으로 라우팅되는 경우에만 알림을 단일 케이스로 그룹화할 수 있습니다.
- 범위 누적: 범위가 다른 알림이 동일한 환경에 매핑되고 케이스로 그룹화되면 케이스는 이러한 범위를 모두 상속합니다.
- 범위가 지정되지 않은 알림의 영향: 범위가 지정되지 않은 알림이 대체 환경에서 범위가 지정된 알림과 그룹화되면 케이스는 전역 범위를 상속하므로 전역 사용자에게만 표시됩니다.
- 고유 항목 범위 지정: 고유 항목은 표시되는 모든 알림의 범위를 상속합니다.
- 관련 항목 범위 지정: 관련 항목은 상위 알림의 범위만 상속합니다.
범위-환경 매핑 수정
범위 매핑을 변경하거나 삭제하면 알림 및 케이스가 새 것인지 기존 것인지에 따라 영향이 달라집니다.
- 범위 이동: 범위의 매핑을 환경 A에서 환경 B로 변경:
- 새 알림 및 케이스: 환경 B 로 라우팅됩니다.
- 기존 알림 및 케이스: 환경 A에 남아 있습니다. 사용자는 환경 A 및 할당된 범위에 대한 권한이 있는 경우 액세스할 수 있습니다.
- 범위 매핑 삭제: 환경에서 범위 매핑 해제:
- 새 알림 및 케이스: 대체 환경으로 라우팅됩니다. 전역 사용자 및 대체 환경에 액세스할 수 있는 사용자에게만 표시됩니다.
- 기존 알림 및 케이스: 원래 환경에 남아 있지만 범위가 더 이상 매핑되지 않으므로 전역 사용자에게만 표시됩니다.
수동 및 오버플로 케이스 처리
이 섹션에서는 수동으로 생성되거나 알림 오버플로로 인해 발생하는 케이스를 관리하는 방법을 설명합니다.
수동 케이스 만들기
- 케이스 탭에서 수동 케이스 만들기 를 클릭합니다.
- 타겟 환경 을 선택합니다.
- 데이터 액세스 범위 를 선택합니다. 목록에는 환경에 매핑되고 사용자 계정에 할당된 범위가 모두 표시됩니다.
- 겹치는 범위가 없으면 목록이 비어 있고 케이스를 제출할 수 없습니다.
- 전역 사용자는 환경에 매핑된 모든 범위를 선택할 수 있습니다.
- 케이스 세부정보를 입력하고 제출 을 클릭합니다. 케이스와 수동 알림은 선택한 범위를 상속합니다.
오버플로 케이스
오버플로 케이스는 공유 항목 모델을 따르지 않고 여러 범위의 알림을 그룹화합니다. 전역 범위가 할당되며 전역 사용자에게만 표시됩니다.
케이스 페이지에서 범위 찾기
Google SecOps 인터페이스 내의 여러 위치에서 케이스에 할당된 데이터 액세스 범위를 볼 수 있습니다.
케이스 헤더
할당된 범위는 환경 필드 옆에 읽기 전용 라벨로 표시됩니다. 전체 목록을 보려면 영역 위에 포인터를 가져갑니다.
케이스 목록 테이블
케이스 목록 테이블에서 직접 범위를 볼 수도 있습니다.
- 케이스 목록 테이블에서 데이터 액세스 범위 열을 사용할 수 있습니다.
- 이 열에는 케이스에 할당된 범위가 표시됩니다 (여러 개인 경우 쉼표로 구분됨).
- 열의 텍스트 필터에 범위 이름을 입력하여 대기열을 필터링할 수 있습니다.
범위 삭제 처리
이 섹션에서는 플랫폼의 SIEM 측면에서 데이터 액세스 범위가 삭제될 때 기존 케이스 및 알림에 어떤 일이 발생하는지 설명합니다.
관리자가 SIEM 설정 > 데이터 액세스 에서 데이터 액세스 범위를 삭제하는 경우:
- 범위가 모든 SOAR 환경에서 자동으로 매핑 해제됩니다.
- 액세스 적용: 범위가 SIEM 구성요소 및 Cloud IAM에서 삭제되므로 전역 사용자 (또는 캐시된 토큰 클레임을 계속 보유하고 있는 사용자)만 이러한 이전 케이스 및 알림에 액세스할 수 있습니다.
문제 해결
이 섹션에서는 성능 기대치를 간략하게 설명하고 일반적인 배포 문제에 대한 셀프서비스 해결방법을 제공합니다.
지연 시간 및 한도
범위-환경 매핑 또는 초기 사용 설정 변경사항이 전파되는 데 최대 30초가 걸릴 수 있습니다.
검증 및 테스트
구성을 검증하려면 범위 및 환경 권한이 다른 사용자 계정을 사용하여 케이스 및 알림에 대한 액세스를 테스트합니다. 사용자가 액세스 권한이 있는 데이터만 볼 수 있는지 확인합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.