수집 방법 및 데이터 유형

다음에서 지원:

Google Security Operations를 사용하면 환경을 효과적으로 모니터링하고 사고를 조사하기 위해 다양한 보안 데이터를 수집할 수 있습니다. 플랫폼으로 가져올 수 있는 데이터의 유형과 데이터를 수집하는 데 사용되는 방법을 이해하는 것이 강력한 보안 태세를 구축하는 첫 번째 단계입니다.

수집 데이터 유형

Google SecOps는 수신 데이터를 4가지 기본 유형으로 분류하며 각 유형은 감지 및 조사 수명 주기에서 고유한 목적을 수행합니다.

  • 원시 로그: 보안 소스 (예: 방화벽, EDR 도구, 클라우드 플랫폼)에서 가져온 원래의 수정되지 않은 데이터 스트림입니다. JSON, Syslog, CSV 또는 구조화되지 않은 텍스트와 같은 형식으로 도착하는 로그는 심층 포렌식 및 규정 준수를 위한 '단일 정보 소스' 역할을 합니다. 필드 이름은 공급업체에 따라 다르므로 원시 로그는 플랫폼에서 필드 이름을 파싱하고 정규화하기 전의 초기 입력으로 작동합니다.
  • UDM 이벤트: 파서가 원시 로그를 일관된 공급업체 독립적인 형식으로 변환하면 통합 데이터 모델 (UDM) 이벤트가 생성됩니다. 예를 들어 src_ipclient-ip과 같은 이질적인 용어가 단일 principal.ip 필드로 표준화됩니다. 다운스트림 시스템은 UDM을 사용하여 통합 검색 및 감지 규칙과 같은 기능을 제공합니다.
  • 엔티티 컨텍스트 데이터: 이 데이터는 일반적인 이벤트를 의미 있는 리드로 전환하기 위한 '누가, 무엇을, 어디에서'를 제공합니다. 컨텍스트 데이터는 IP 주소가 고위 임원 또는 중요한 프로덕션 서버에 속하는지 알려줍니다. 분석가는 Active Directory 또는 CMDB와 같은 소스의 메타데이터로 이벤트를 보강하여 실제 조직 위험에 따라 위협의 우선순위를 지정할 수 있습니다.
  • 알림: 즉각적인 주의가 필요한 활동을 나타내는 충실도가 높은 신호입니다. 알림은 CrowdStrike와 같은 외부 보안 제품에서 직접 수집하거나 UDM 이벤트 또는 엔티티가 규칙을 트리거할 때 Google SecOps YARA-L 감지 엔진에서 내부적으로 생성할 수 있습니다. 알림은 인시던트 케이스의 기본 구성요소 역할을 합니다.

인제션 엔티티 이해하기

엔티티는 네트워크 이벤트에 중요한 컨텍스트를 제공합니다. 표준 네트워크 이벤트에는 사용자 abc@foo.corpshady.exe을 실행한 것으로 표시될 수 있지만, 해당 사용자가 최근에 퇴직한 직원인지는 표시되지 않습니다.

엔티티 데이터 모델을 사용하면 이러한 관계를 수집하여 IAM, 취약점 관리, 데이터 보호 시스템의 새로운 컨텍스트를 캡처하여 풍부한 위협 인텔리전스를 제공할 수 있습니다.

기본 제공 항목 컨텍스트 파서

데이터 수집을 최대한 원활하게 하기 위해 Google SecOps에는 많은 일반적인 공신력 있는 소스를 위한 API 커넥터와 기본 파서가 포함되어 있습니다. 다음 지원되는 소스에서 애셋 또는 사용자 컨텍스트 데이터를 수집할 수 있습니다.

  • ID, HR 및 액세스 관리: Azure AD 조직 컨텍스트, Duo 사용자 컨텍스트, Google Cloud IAM 분석, Google Cloud IAM 컨텍스트, Google Cloud ID 컨텍스트, Microsoft AD, Okta 사용자 컨텍스트, SailPoint IAM, Workday, Workspace 권한, Workspace 사용자
  • 자산 및 기기 관리: JAMF, ServiceNow CMDB, Tanium Asset, Workspace ChromeOS 기기, Workspace 휴대기기
  • 보안 및 취약점 관리: Microsoft Defender for Endpoint, Nucleus Unified Vulnerability Management, Nucleus Asset Metadata, Rapid7 Insight

데이터 수집 방법 개요

Google SecOps 수집 서비스는 모든 수신 데이터의 게이트웨이 역할을 합니다. 데이터가 저장된 위치와 형식에 따라 Google SecOps는 다음 기본 시스템을 사용하여 데이터를 가져옵니다.

  • Google Cloud (직접 통합): 모든 표준 Google Cloud 로그 (예: 감사, VPC 흐름, DNS, 방화벽 로그)에 가장 비용 효율적이고 성능이 우수한 기본 방법입니다. Google SecOps는 Google Cloud 조직에서 직접 이 데이터를 가져옵니다.
  • Bindplane 에이전트: 온프레미스 환경 및 서버 (Windows 또는 Linux)에서 로그를 수집하는 데 사용되는 관리형 원격 분석 파이프라인 및 에이전트입니다. 다른 방법 (예: 온프레미스 방화벽)에 쉽게 맞지 않는 로그에 엄청난 유연성을 제공하며 Google SecOps에 도달하기 에 클라우드 데이터를 전처리, 필터링 또는 세부 조정할 수 있습니다. Bindplane 에이전트는 Bindplane OP 관리 콘솔을 사용하여 관리됩니다.
  • 데이터 피드: 이미 객체 스토어 (예: Cloud Storage 또는 Amazon S3)로 집계된 클라우드 기반 로그 (예: EDR 또는 SaaS 앱) 또는 푸시 기반 웹훅을 지원하는 서드 파티에 가장 적합합니다. 데이터 피드는 수집 서비스로 직접 로그를 전송하고 사전 정의된 API 통합을 즉시 지원합니다 (최대 4MB 크기의 로그 줄 지원).
  • 수집 API: 표준 방법에 맞지 않는 맞춤형, 대량 또는 자체 개발 애플리케이션용으로 설계되었습니다. 구성하기가 약간 더 복잡하지만 직접 수집을 완전히 제어할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.