BYOL 위협 인텔리전스 통합

다음에서 지원:

Bring Your Own License (BYOL) 통합을 사용하여 라이선스가 부여된 Google Threat Intelligence (GTI) 데이터를 Google SecOps에 직접 통합합니다. 위협 목록, IoC 스트림, 공격자 컨텍스트를 수집하여 위협 감지 및 위협 헌팅 기능을 개선합니다.

Google Threat Intelligence BYOL 통합은 위협 인텔리전스 데이터를 Google SecOps에 수집하고 통합 데이터 모델 (UDM) 형식으로 정규화합니다. Google SecOps는 이 위협 원격 분석 데이터를 보안 이벤트와 연결하여 위협 헌팅 및 감지를 즉시 개선합니다.

가용성

이 통합은 활성 Google Threat Intelligence 라이선스가 있는 Google SecOps StandardEnterprise 고객이 사용할 수 있습니다.

  • Standard 및 Enterprise: 이 통합은 고객이 배포한 파이프라인을 제공하여 감지 및 헌팅을 위해 Google Threat Intelligence 데이터를 Google SecOps 환경으로 가져옵니다.
  • Enterprise+: Enterprise+ 고객은 Google의 위협 인텔리전스를 자동으로 선별하고 적용하는 완전 관리형 기본 제공 파이프라인인 Applied Threat Intelligence (ATI)를 이미 활용하고 있습니다. 이 BYOL 통합은 Enterprise+와 호환되지만 ATI 서비스를 사용하는 것이 좋습니다.

주요 기능

  • 통합 데이터 수집: GTI 위협 목록 (분류된 IoC) 및 IoC 스트림 데이터를 수집하여 파일 해시, IP, URL, 도메인에 대한 거의 실시간 업데이트를 제공합니다.
  • UDM 정규화: 로그 유형 GCP_THREATINTEL에서 데이터를 통합 데이터 모델 (UDM)로 자동 파싱하여 즉시 검색 가능하고 상관관계 규칙을 적용할 수 있도록 합니다.
  • 공격자 컨텍스트: MITRE ATT&CK 매핑을 비롯한 멀웨어, 위협 행위자, 캠페인, 보고서의 연결을 수집합니다.
  • 사전 빌드된 대시보드: 위협 목록, 공격자 인텔리전스, IoC 스트림을 시각화하는 기본 제공 대시보드를 포함합니다.

기본 요건

통합을 설정하기 전에 다음이 있는지 확인하세요.

  • GTI API에 액세스하기 위한 유효하고 활성 상태인 Google Threat Intelligence 라이선스 (BYOL)
  • 필요한 리소스 (Cloud Run 함수, Cloud Scheduler, Secret Manager)를 배포할 Google Cloud 프로젝트에 대한 액세스 권한
  • Google SecOps 인스턴스에 대한 액세스 권한

배포

이 통합은 리소스를 사용하여 GTI API에서 데이터를 가져오고 Google SecOps로 스트리밍하는 고객 배포 솔루션입니다. Google Cloud

안내 및 사용자 가이드에 따라 배포 스크립트를 실행하고 Google Threat Intelligence 통합을 구성합니다. 자세한 내용은 공식 GitHub 저장소 README 파일( GitHub의 Google Threat Intelligence 수집 스크립트)을 참고하세요.

배포되면 BYOL 수집 프로세스가 Cloud Scheduler 작업에 의해 트리거됩니다. 이 작업은 Cloud 함수를 활성화하여 Secret Manager에서 API 사용자 인증 정보를 안전하게 가져옵니다. 그런 다음 함수는 외부 GTI API에 최신 위협 데이터를 쿼리하고 Chronicle API로 스트리밍하며 기본 파서는 원시 데이터를 UDM 항목으로 변환 (정규화)합니다.

대시보드

Google Threat Intelligence는 공격자 전술을 이해하고 예측하며 새로운 위협으로부터 조직을 보호하는 데 필요한 가시성을 제공합니다. 다음 대시보드를 사용하여 수집된 데이터를 시각화합니다.

  • 위협 목록 대시보드: 감지 및 차단에 중점을 두며 심각도 및 항목 유형별 IoC 수를 표시합니다.
  • 공격자 인텔리전스 대시보드: 컨텍스트에 중점을 두며 멀웨어 패밀리, 위협 행위자, 캠페인을 드릴다운할 수 있습니다.
  • Google Threat Intelligence 대시보드: 심각도 분포 및 지리적 분석을 비롯한 IoC 스트림의 실시간 개요를 제공합니다.

통합 워크플로: SIEM 및 SOAR

BYOL 통합은 폐쇄 루프 보안 워크플로에서 SIEM의 감지 및 헌팅 기능과 SOAR의 Google Threat Intelligence 기능을 결합합니다.

SIEM은 위협을 찾는 데 도움이 되고 SOAR은 위협에 대응 할 수 있도록 합니다. 다음 시나리오에서는 이러한 기능이 함께 작동하는 방식을 보여줍니다.

  1. 강화된 조사 (SIEM에서 SOAR):
    • 작업: 분석가가 수집된 GTI 데이터를 사용하여 Google SecOps SIEM에서 의심스러운 도메인을 식별합니다.
    • 대응: 조사 흐름을 벗어나지 않고 SOAR 검색 작업을 트리거하여 해당 도메인에 대한 심층 컨텍스트 (예: 연결된 위협 행위자, 수동 DNS)를 GTI에 쿼리합니다.
  2. 고급 Artifact Analysis (SIEM에서 SOAR):
    • 작업: Google SecOps SIEM에서 조사하는 동안 분석가가 명확한 평판 데이터가 없는 의심스러운 파일 해시 또는 URL을 발견합니다.
    • 대응: SOAR 통합을 사용하여 분석가는 고급 분석을 위해 URL 또는 파일을 Google Threat Intelligence에 비공개로 제출 하는 작업을 트리거합니다. 이렇게 하면 제출을 비공개로 유지하고 더 넓은 커뮤니티와 즉시 공유하지 않으면서 악의성을 판단하기 위해 심층 스캔 및 샌드박스 폭발이 실행됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.