BYOL 위협 인텔리전스 통합

다음에서 지원:

사용자 라이선스 사용 (BYOL) 통합을 사용하여 라이선스가 부여된 Google 위협 인텔리전스 (GTI) 데이터를 Google SecOps에 직접 통합합니다. 위협 목록, IoC 스트림, 공격자 컨텍스트를 수집하여 위협 감지 및 추적 기능을 강화합니다.

Google 위협 인텔리전스 BYOL 통합은 위협 인텔리전스 데이터를 Google SecOps에 수집하고 통합 데이터 모델 (UDM) 형식으로 정규화합니다. Google SecOps는 이 위협 원격 분석을 보안 이벤트와 연관시켜 즉시 위협 헌팅 및 감지를 개선합니다.

가용성

이 통합은 활성 Google 위협 인텔리전스 라이선스가 있는 Google SecOps StandardEnterprise 고객이 사용할 수 있습니다.

  • Standard 및 Enterprise: 이 통합은 고객이 배포한 파이프라인을 제공하여 감지 및 추적을 위해 Google 위협 인텔리전스 데이터를 Google SecOps 환경으로 가져옵니다.
  • Enterprise+: Enterprise+ 고객은 이미 Google의 위협 인텔리전스를 자동으로 선별하고 적용하는 완전 관리형 내장 파이프라인인 Applied Threat Intelligence (ATI)를 사용하고 있습니다. 이 BYOL 통합은 Enterprise+와 호환되지만 ATI 서비스를 사용하는 것이 좋습니다.

주요 기능

  • 통합 데이터 수집: GTI 위협 목록 (분류된 IoC) 및 IoC 스트림 데이터를 수집하여 파일 해시, IP, URL, 도메인에 대한 실시간에 가까운 업데이트를 제공합니다.
  • UDM 정규화: 로그 유형 GCP_THREATINTEL 아래에서 데이터를 통합 데이터 모델 (UDM)로 자동 파싱하여 즉시 검색 가능하고 상관관계 규칙에 사용할 수 있도록 합니다.
  • 적대적 컨텍스트: MITRE ATT&CK 매핑을 비롯한 멀웨어, 위협 행위자, 캠페인, 보고서의 연결을 수집합니다.
  • 사전 빌드된 대시보드: 위협 목록, 공격자 인텔리전스, IoC 스트림을 시각화하기 위한 기본 대시보드가 포함됩니다.

기본 요건

통합을 설정하기 전에 다음 사항을 확인하세요.

  • GTI API에 액세스하려면 유효하고 활성 상태인 Google Threat Intelligence 라이선스 (BYOL)가 필요합니다.
  • 필요한 리소스 (Cloud Run 함수, Cloud Scheduler, Secret Manager)를 배포할 수 있는 Google Cloud 프로젝트에 대한 액세스 권한
  • Google SecOps 인스턴스에 대한 액세스 권한

배포

이 통합은 고객이 배포하는 솔루션으로, Google Cloud 리소스를 사용하여 GTI API에서 데이터를 가져와 Google SecOps로 스트리밍합니다.

안내 및 사용자 가이드에 따라 배포 스크립트를 실행하고 Google 위협 인텔리전스 통합을 구성합니다. 자세한 내용은 공식 GitHub 저장소 README 파일을 참고하세요. GitHub의 Google 위협 인텔리전스 수집 스크립트

배포되면 BYOL 수집 프로세스가 Cloud Scheduler 작업에 의해 트리거되며, 이 작업은 Secret Manager에서 API 사용자 인증 정보를 안전하게 가져오기 위해 Cloud 함수를 활성화합니다. 그런 다음 함수는 최신 위협 데이터를 외부 GTI API에 쿼리하고 이를 Chronicle API로 스트리밍하며 기본 파서는 원시 데이터를 UDM 엔티티로 변환 (정규화)합니다.

대시보드

Google Threat Intelligence는 위협 행위자의 전술을 파악하고 예측하며 새로운 위협으로부터 조직을 보호하는 데 필요한 가시성을 제공합니다. 다음 대시보드를 사용하여 수집된 데이터를 시각화합니다.

  • 위협 목록 대시보드: 탐지 및 차단에 중점을 두어 심각도 및 항목 유형별 IoC 수를 표시합니다.
  • 공격자 인텔리전스 대시보드: 컨텍스트에 중점을 두며 멀웨어 패밀리, 공격자, 캠페인으로 드릴다운할 수 있습니다.
  • Google Threat Intelligence 대시보드: 심각도 분포 및 지리적 분류를 비롯한 IoC 스트림의 실시간 개요를 제공합니다.

통합 워크플로: SIEM 및 SOAR

BYOL 통합은 SIEM의 감지 및 헌팅 기능을 폐쇄형 보안 워크플로의 SOAR의 Google 위협 인텔리전스 기능과 결합합니다.

SIEM은 위협을 찾는 데 도움이 되고 SOAR는 위협에 대응할 수 있도록 지원합니다. 다음 시나리오에서는 이러한 기능이 함께 작동하는 방식을 보여줍니다.

  1. 인리치드 조사 (SIEM에서 SOAR로):
    • 작업: 분석가가 수집된 GTI 데이터를 사용하여 Google SecOps SIEM에서 의심스러운 도메인을 식별합니다.
    • 대답: 조사 흐름을 벗어나지 않고 SOAR 검색 작업을 트리거하여 해당 도메인에 관한 심층적인 컨텍스트 (예: 관련 위협 행위자, 수동 DNS)를 GTI에 쿼리합니다.
  2. 고급 아티팩트 분석 (SIEM에서 SOAR로):
    • 작업: Google SecOps SIEM에서 조사하는 동안 분석가가 명확한 평판 데이터가 없는 의심스러운 파일 해시 또는 URL을 발견합니다.
    • 대응: 분석가는 SOAR 통합을 사용하여 고급 분석을 위해 URL 또는 파일을 Google 위협 인텔리전스에 비공개로 제출하는 작업을 트리거합니다. 이렇게 하면 악성 여부를 확인하기 위해 심층 검사와 샌드박스 폭발이 실행되며, 제출은 비공개로 유지되고 더 넓은 커뮤니티와 즉시 공유되지 않습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.