Emerging Threats Center 개요

다음에서 지원:

Google Security Operations의 Emerging Threats Center는 현재 및 새로운 위협 캠페인이 조직에 미칠 수 있는 영향을 파악하는 데 도움이 되는 AI 기반 위협 인텔리전스를 제공합니다. Applied Threat Intelligence (ATI)를 기반으로 하며 Google Threat Intelligence (GTI) 및 Gemini 모델로 구동됩니다.

Emerging Threats Center는 IoC, 탐지 일치, 영향을 받는 엔티티를 비롯하여 환경에 위험을 초래하는 GTI의 가장 심각한 전역 위협을 선별된 뷰로 제공합니다. Gemini를 사용하여 대량의 원시 인텔리전스 피드를 실행 가능한 통계로 변환하므로 조사 워크플로에서 직접 위협 데이터를 운영할 수 있습니다.

신규 위협 페이지에 액세스하는 데 필요한 IAM 권한에 대한 자세한 내용은 신규 위협: threatCollections 및 iocAssociations를 참고하세요.

주요 이점

Emerging Threats Center를 사용하면 조직에서 활성 상태이거나 개발 중인 위협 캠페인을 더 잘 파악할 수 있습니다.
다음과 같은 이점이 있습니다.

  • 지속적인 위협 가시성: GTI 캠페인 데이터가 워크스페이스에 지속적으로 반영되므로 관련 위협 캠페인이 진행될 때마다 이를 파악할 수 있습니다.
  • 활용 가능한 분석 정보: 위협 보고서를 수동으로 탐색하는 대신 보강된 컨텍스트 결과가 표시됩니다.
  • 더 빠른 감지 유효성 검사: 자동화된 프로세스를 통해 감지 범위를 검증하고 수동 작업 없이 캠페인 데이터를 검토할 수 있습니다.
  • 운영 오버헤드 감소: 기본 제공 감지 생성 기능으로 감지 기회를 위해 위협 보고서를 파싱하는 수동 작업이 줄어듭니다.

Emerging Threats Center 피드

Google SecOps의 Emerging Threats Center 피드에는 Google Threat Intelligence (GTI)의 실시간 AI 기반 위협 인텔리전스가 표시됩니다. 조직과 가장 관련성이 높은 활성 및 신규 위협 캠페인을 노출하여 환경에서 발생할 수 있는 잠재적인 보안 침해를 식별하는 데 도움이 됩니다.

이 피드는 캠페인과 보고서, 관련 공격자 및 멀웨어 패밀리를 선별하여 보여줍니다. 이를 통해 위협 관계를 탐색하고 위협 캠페인 세부정보를 조사할 수 있습니다.

피드에 표시되는 보고서는 GTI에서 생성된 보고서로 제한되며 GTI 자체에 표시되는 크라우드소싱 보고서는 포함되지 않습니다.

필터 적용 및 캠페인 보기

Emerging Threats Center 피드를 필터링하여 특정 기준에 따라 캠페인 및 보고서 목록을 볼 수 있습니다.

필터를 적용하려면 다음 단계를 따르세요.

  1. 신규 위협 센터 피드에서 filter_alt 필터를 클릭합니다.
  2. 필터 대화상자에서 논리 연산자를 선택합니다.
    • OR: 선택한 필터 중 하나와 일치합니다.
    • AND: 선택한 모든 필터와 일치합니다.
  3. 필터 카테고리를 선택합니다.
    • 연관된 멀웨어: 위협과 연결된 특정 멀웨어 패밀리로 필터링합니다.
    • 연결된 도구: 캠페인에서 사용된 특정 도구를 기준으로 필터링합니다.
    • 소스 지역: 위협이 발생한 지리적 지역을 기준으로 필터링합니다.
    • 타겟팅된 업계: 캠페인에서 타겟팅하는 업계를 기준으로 필터링합니다.
    • 타겟팅된 지역: 타겟팅된 지리적 지역별로 필터링합니다.
    • 연관된 위협 행위자: 캠페인과 연결된 특정 위협 행위자를 기준으로 필터링합니다.
    • IoC 일치 항목 있음: 환경과 일치하는 IoC가 포함된 캠페인을 확인합니다.
    • 객체 유형: 조사 중인 내용에 따라 캠페인 또는 보고서를 볼 수 있습니다.

선택한 필터는 표 위에 칩으로 표시됩니다.

위협 카드 이해

피드의 각 위협은 다음을 포함하는 카드로 표시됩니다.

  • 위협 제목 및 요약: 위협 활동에 관한 간단한 설명입니다.
  • 연결된 메타데이터: 타겟 산업, 타겟 지역, 관련 멀웨어, 위협 행위자의 개요입니다.
  • 배지: IoC 일치 및 연결된 규칙을 표시하는 빠른 표시기입니다.
    • 캠페인 및 보고서의 경우 IOC 배지는 보고서 또는 캠페인의 IOC가 환경의 데이터와 일치하는지 여부를 보여줍니다.
    • 캠페인의 경우 규칙 배지에는 환경에서 사용 설정된 연결된 감지 규칙의 수가 표시됩니다. 예를 들어 1/2 rules 라벨이 지정된 배지는 해당 캠페인에 사용할 수 있는 두 가지 규칙 중 하나만 환경에서 사용 설정되어 있음을 나타냅니다.

배지 위로 포인터를 가져가면 광범위한 규칙과 정확한 규칙의 수 및 사용 설정 또는 사용 중지 여부가 표시됩니다.

연결된 행위자 및 멀웨어 보기

연결된 행위자 및 악성코드를 보려면 위협 카드를 클릭하여 다음을 비롯한 위협에 관한 자세한 컨텍스트를 표시하세요.

  • 연관된 행위자: 행위자 이름, 요약, 알려진 출처 국가, 처음 및 마지막으로 확인된 날짜, 관련 캠페인, 멀웨어, 표시기를 위한 섹션이 포함된 행위자 세부정보 패널을 표시합니다.

  • 연결된 멀웨어: 멀웨어 패밀리, 요약, 운영체제, 보고된 별칭, 관련 캠페인, 공격자 또는 지표 섹션이 포함된 멀웨어 세부정보 패널이 표시됩니다.

각 패널에서 섹션 이름 옆에 있는 keyboard_arrow_down을 클릭하여 섹션을 펼치고 자세한 내용을 확인합니다. 또는 GTI에서 직접 이러한 세부정보를 열어 자세한 내용을 확인할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.