새로운 위협 세부정보 뷰
새로운 위협 피드는 선택한 캠페인 또는 보고서의 세부정보를 제공합니다. 피드에서 위협을 선택하면 Google 위협 인텔리전스의 정보와 환경의 데이터를 결합하여 위협 영향과 범위를 분석하는 데 도움이 되는 페이지가 열립니다.
각 페이지에는 관련 위협 인텔리전스, 감지 데이터, 연결된 항목을 표시하는 확장 가능한 패널이 여러 개 포함되어 있습니다. 각 패널에서 섹션 이름 옆에 있는 chevron_forward 화살표를 클릭하여 섹션을 펼치고 자세한 내용을 확인합니다.
새로운 위협 세부정보 보기에는 다음 패널이 포함됩니다.
연결된 규칙
연결된 규칙 패널에는 선택한 캠페인과 관련된 감지 규칙이 나열됩니다. 규칙 연결은 보고서가 아닌 캠페인에만 적용됩니다.
Emerging Threats는 GTI의 인텔리전스를 지속적으로 수집하고 조직의 원격 분석과 일치시킵니다. 다음 프로세스를 통해 캠페인 검색, 보강, 상관관계를 자동화합니다.
- 캠페인 인텔리전스 수집: 시스템은 GTI에서 캠페인 인텔리전스를 자동으로 수집합니다. 여기에는 글로벌 연구, Mandiant 사고 대응 활동, Mandiant Managed Defense 원격 분석의 데이터가 포함됩니다.
- 시뮬레이션된 로그 이벤트 생성: 백그라운드에서 Gemini는 실제 공격자 동작을 반영하는 고성능의 익명화된 시뮬레이션된 로그 이벤트를 생성합니다.
- 감지 범위 자동 강조 표시: 시스템은 시뮬레이션된 로그 이벤트를 Google Cloud 위협 인텔리전스 (GCTI) 선별된 감지 규칙에 대해 실행하고 Google SecOps에 감지가 있는 위치와 격차가 있는 위치를 보여주는 범위 보고서를 생성합니다.
- 규칙 생성 가속화: 격차가 식별되면 Gemini는 테스트된 패턴을 기반으로 새로운 감지 규칙을 자동으로 초안으로 작성하고 규칙 로직과 예상되는 동작을 요약합니다. 마지막 단계에서는 이러한 규칙을 프로덕션으로 이동하기 전에 사람의 검토와 승인이 필요합니다.
다음 표에서는 연결된 규칙 패널의 열을 설명합니다.
| 열 이름 | 설명 |
|---|---|
| 규칙 이름 | 규칙 제목과 연결된 규칙 집합 또는 감지 카테고리를 표시합니다. 규칙 이름을 클릭하면 Detections 페이지가 열리고 이 규칙에서 생성된 감지가 표시됩니다. |
| 태그 | 감지 규칙에 적용된 규칙 태그 또는 라벨을 나열합니다. |
| 지난 4주간의 활동 | 지난 4주간의 규칙에 대한 알림 또는 감지 활동을 표시합니다. |
| 마지막 감지 | 규칙에 의해 생성된 가장 최근 알림의 타임스탬프를 표시합니다. |
| 심각도 | 지정된 규칙에 의해 생성된 감지에 대해 구성된 심각도 수준을 나타냅니다. |
| 알림 | 규칙에 알림이 사용 설정되어 있는지 아니면 사용 중지되어 있는지를 지정합니다. |
| 라이브 상태 | 환경에서 규칙이 활성 상태인지 비활성 상태인지 표시합니다. |
캠페인과 연결된 규칙이 없으면 패널에 규칙 없음이라는 텍스트가 표시됩니다.
중지된 규칙
사용 중지된 규칙 패널에는 현재 사용 설정되지 않은 캠페인 관련 감지 규칙이 표시됩니다(있는 경우). 이를 통해 잠재적인 위협 범위 격차를 파악할 수 있습니다. 캠페인의 규칙 연결은 연결된 규칙에 설명된 대로 결정됩니다.
다음 표에서는 열을 설명합니다.
| 열 이름 | 설명 | |
|---|---|---|
| 규칙 이름 | 사용 중지된 규칙의 이름을 표시합니다. | 규칙 이름을 클릭하여 규칙의 논리, 구성, 연결된 규칙 세트를 설명하는 세부정보 뷰를 엽니다. 이 뷰는 Curated Detections 페이지의 뷰와 유사합니다. |
| 카테고리 | 규칙 유형 또는 카테고리를 표시합니다. | |
| 규칙이 설정됨 | Mandiant Frontline Threats, Mandiant Hunt Rules, Mandiant Intel Emerging Threats와 같은 규칙 소스를 식별합니다. | |
| 정밀도 | 규칙 정밀도 유형 (Broad 또는 Precise)을 나타냅니다. | |
| 알림 | 알림이 사용 설정되어 있는지 여부를 표시합니다. | |
| 최종 업데이트 | 규칙이 마지막으로 수정된 시간의 타임스탬프를 표시합니다. |
최근 연결된 항목
최근 연결된 항목 패널에는 선택한 위협에 연결되어 있으며 위협의 영향을 받을 수 있는 환경의 항목이 나열됩니다.
패널에는 다음 기준을 충족하는 사용자 및 애셋 항목이 나열됩니다.
- 지난 7일 이내에 감지되었습니다.
- 위협과 관련된 IoC에 연결된 이벤트에 표시되었습니다.
- 할당된 위험 점수가 있어야 합니다.
다음 표에서는 최근 연결된 항목 패널의 열을 설명합니다.
| 열 이름 | 설명 |
|---|---|
| 항목 이름 | 캠페인과 연결된 애셋 또는 항목을 표시합니다. 엔티티 이름을 클릭하여 위험 분석 페이지를 엽니다. 이 페이지에는 엔티티의 최근 위험 점수 변경사항과 위험 점수에 영향을 준 감지 항목에 관한 세부정보가 표시됩니다. |
| 항목 유형 | 항목 유형(예: 애셋 또는 사용자 계정)을 나타냅니다. |
| IOC 일치 | 캠페인에서 조직의 원격 분석과 일치하고 최근 감지에서 엔티티와 연결된 IoC 수를 표시합니다. |
| 항목 위험 점수 | 최근 IoC 일치에 따라 계산된 항목의 위험 점수를 표시합니다. |
IOC
IOC 패널에는 다음 표가 표시됩니다.
IOC 일치
IOC 일치 표에는 선택한 캠페인에 대해 환경 내에서 감지되거나 일치하는 IOC가 나열됩니다.
다음 표에서는 열을 설명합니다.
| 열 이름 | 설명 |
|---|---|
| IOC | 도메인, IP 주소, 해시 또는 URL을 표시합니다. IoC를 클릭하면 IoC에 대한 추가 정보와 환경에서 IoC가 확인된 위치를 제공하는 Entity context 패널이 열립니다. |
| 유형 | DOMAIN, IP, FILE(HASH_SHA256), URL과 같은 IoC 카테고리를 표시합니다. |
| GTI 점수 | GTI에서 0~100 척도로 할당한 위협 점수를 표시합니다. |
| GCTI 우선순위 | GCTI에서 할당한 상대적 우선순위 수준을 나타냅니다. |
| 애셋 | IoC와 일치하는 이벤트에 관련된 환경의 애셋을 나열합니다. |
| 연결 | 위협 행위자 또는 캠페인과 같은 지표의 관련 GTI 항목을 표시합니다. |
| 최초 발생 시간 | 환경에서 지표가 처음 감지된 시점을 보여줍니다. |
| 최근 발생 시간 | 환경에서 지표가 감지된 가장 최근 시간을 표시합니다. |
GTI 관련 IOC
GTI 관련 IOC 표에는 GTI가 캠페인과 연결하는 추가 IOC가 나열됩니다.
다음 표에서는 열을 설명합니다.
| 열 이름 | 설명 |
|---|---|
| IOC | 도메인, IP 주소, 해시 또는 URL을 표시합니다. |
| 유형 | DOMAIN, IP, FILE, HASH_SHA256, URL과 같은 IoC 카테고리를 표시합니다. |
| GTI 점수 | GTI에서 0~100 척도로 할당한 위협 점수를 표시합니다. |
| 연결된 행위자 | IoC에 연결된 위협 행위자를 나열합니다.
작업 수행자의 이름을 클릭하면 |
| 연결된 멀웨어 | IoC에 연결된 멀웨어 패밀리를 나열합니다.
멀웨어 이름을 클릭하면 |
| GTI 발견 | GTI가 IoC를 처음 기록한 타임스탬프를 표시합니다. |
| GTI 최종 업데이트 | GTI에서 IoC를 마지막으로 업데이트한 시간을 보여줍니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.