ChromeOS XDR 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 ChromeOS XDR 로그를 Google Security Operations에 수집하는 방법을 설명합니다.

Chrome Enterprise는 멀웨어 전송, 안전하지 않은 사이트 방문, 비밀번호 재사용, 확장 프로그램 설치, 로그인 활동, ChromeOS 기기 텔레메트리 등 브라우저 및 ChromeOS 기기 보안 이벤트에 대한 포괄적인 가시성을 제공합니다. Chrome Enterprise Reporting Connector는 이러한 로그를 Google 관리 콘솔에서 Google Security Operations로 직접 전달하여 분석 및 위협 감지를 지원합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
최고 관리자 권한이 있는 Google Workspace 관리자 계정
Google Chrome 137 이상 (이전 버전에서는 완전한 리퍼러 URL 데이터를 제공하지 않음)
고급 기능을 위한 Chrome Enterprise Premium 라이선스 (선택사항이지만 전체 이벤트 보장을 위해 권장)
타겟 기기에서 Chrome 브라우저 클라우드 관리가 사용 설정됨
Google Workspace 관리 콘솔의 Google Workspace 고객 ID

Chrome 관리 파서 구성

최신 Chrome 로그를 지원하려면 Chrome 관리 파서를 새 버전으로 업데이트해야 할 수 있습니다.

Google SecOps 인스턴스에서 메뉴 > 설정 > 파서로 이동합니다.
Chrome 관리 미리 빌드된 항목을 찾습니다.
보류 중인 업데이트를 적용하여 버전 날짜가 2025-08-14 이상인지 확인합니다.

Chronicle Ingestion API 사용자 인증 정보 가져오기

세 가지 방법 중 하나를 사용하여 Chrome Enterprise 보고 커넥터를 구성할 수 있습니다. 이 문서에서는 다른 통합 방법을 사용할 수 없는 경우에만 사용해야 하는 Chronicle 수집 API 키 방법을 설명합니다.

Google Cloud API 키 만들기

Google Cloud 콘솔 사용자 인증 정보 페이지로 이동합니다.
프로젝트 (Google SecOps 인스턴스와 연결된 프로젝트)를 선택합니다.
사용자 인증 정보 만들기 API 키를 클릭합니다.
API 키가 생성되어 대화상자에 표시됩니다.
API 키 수정을 클릭하여 키를 제한합니다.
API 키 설정 페이지에서 다음을 수행합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예: Chronicle Chrome Enterprise API Key).
API 제한사항에서 다음을 실행합니다.
1. 키 제한을 선택합니다.
2. API 선택 드롭다운에서 Google SecOps API (또는 Chronicle API)를 검색하여 선택합니다.
저장을 클릭합니다.
페이지 상단의 API 키 필드에서 API 키 값을 복사합니다.
API 키를 안전하게 저장합니다.

참고: API 키를 제한하면 Chronicle API에서만 사용할 수 있으므로 키가 손상된 경우 보안 위험이 줄어듭니다.

수집 엔드포인트 호스트 이름 확인

호스트 이름은 Google SecOps 인스턴스 리전에 따라 다릅니다.

미국 고객: malachiteingestion-pa.googleapis.com
유럽 고객: europe-malachiteingestion-pa.googleapis.com
동남아시아 고객: asia-southeast1-malachiteingestion-pa.googleapis.com

다른 지역의 경우 리전 엔드포인트 문서를 참고하세요.

Chrome Enterprise 보고 커넥터 구성

Google SecOps 제공업체 구성 추가

최고 관리자 계정으로 Google 관리 콘솔에 로그인합니다.

최고 관리자 계정을 사용하지 않으면 이 단계를 완료할 수 없습니다.
메뉴 > 기기 > Chrome > 커넥터로 이동합니다.
선택사항: Chrome Enterprise 커넥터 설정을 처음 구성하는 경우 표시되는 안내에 따라 Chrome Enterprise 커넥터를 사용 설정합니다.
상단에서 + 새 제공업체 구성 추가를 클릭합니다.
오른쪽에 표시되는 패널에서 Google SecOps 설정을 찾습니다.
설정을 클릭합니다.
다음 구성 세부정보를 입력합니다.
- 구성 ID: 설명이 포함된 이름을 입력합니다 (예: Chronicle Chrome Enterprise Connector). 이 ID는 사용자 및 브라우저 설정 페이지와 커넥터 페이지에 표시됩니다.
- API 키: 이전 섹션에서 만든 API 키를 붙여넣습니다.
- 호스트 이름: 지역의 수집 API 엔드포인트 호스트 이름을 입력합니다 (예: 미국 고객의 경우 malachiteingestion-pa.googleapis.com).
연결 테스트를 클릭하여 구성 세부정보가 유효한지 확인합니다.

유효성 검사에 실패할 경우 구성 세부정보를 검토하고 다시 테스트합니다. 다음 사항을 확인하세요.
- API 키가 올바르고 만료되지 않았습니다.
- 호스트 이름이 Google SecOps 인스턴스 리전과 일치합니다.
- API 키에 Chronicle API 제한이 적용되어 있습니다.
유효성 검사를 완료하면 구성 추가를 클릭합니다.

이제 구성이 조직 전체에 추가되었으며 모든 조직 단위에서 사용할 수 있습니다.

이벤트 보고 사용 설정

Google 관리 콘솔에서 메뉴 > 기기 > Chrome > 설정으로 이동합니다.

기본적으로 사용자 및 브라우저 설정 페이지가 열립니다.
모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
브라우저 보고로 이동합니다.
이벤트 보고를 클릭합니다.
이벤트 보고 사용 설정을 선택합니다.
선택사항: 추가 설정을 구성합니다. 분석을 위해 전송하려는 콘텐츠 유형에 따라 필요한 보고된 이벤트 유형을 선택합니다.
- 기본 이벤트 유형: Chrome 위협 이벤트 및 데이터 보호 이벤트에는 멀웨어 전송, 비밀번호 재사용, 안전하지 않은 사이트 방문이 포함됩니다.
- 브라우저 비정상 종료: 브라우저 비정상 종료 이벤트
- 콘텐츠 전송: 파일 업로드 및 다운로드 이벤트
- 데이터 액세스 제어: 데이터 액세스 제어 이벤트
- 확장 프로그램 설치: 브라우저 확장 프로그램 설치 이벤트
- 확장 프로그램 텔레메트리: 확장 프로그램 텔레메트리 이벤트
- Google 로그인 활동: Google 계정 로그인 이벤트
- 멀웨어 전송: 멀웨어 전송 이벤트
- 비밀번호 유출: 비밀번호 유출 이벤트
- 비밀번호 변경됨: 비밀번호 변경 이벤트
- 비밀번호 재사용: 비밀번호 재사용 이벤트
- 민감한 정보 전송: 민감한 정보 전송 이벤트
- 의심스러운 URL: 의심스러운 URL 이벤트
- 안전하지 않은 사이트 방문: 안전하지 않은 사이트 방문 이벤트
- URL 필터링 전면 광고: URL 필터링 전면 광고 이벤트
- URL 탐색: URL 탐색 이벤트
저장을 클릭합니다.

또는 조직 단위에 대해 재정의를 클릭할 수도 있습니다. 상속된 값을 나중에 복원하려면 상속을 클릭합니다.

조직 단위를 커넥터에 연결

Chrome Enterprise 보고 커넥터를 구성한 후 로그를 수집할 특정 조직 단위 (OU)에 대해 커넥터를 사용 설정해야 합니다.

Google 관리 콘솔에서 메뉴 > 기기 > Chrome > 설정으로 이동합니다.

기본적으로 사용자 및 브라우저 탭이 선택되어 있습니다.
조직 단위 패널에서 로그를 수집할 조직 단위를 선택합니다.
기본 설정 목록에서 Chrome Enterprise 보고 커넥터 설정으로 이동합니다.
상태를 사용 설정됨으로 설정하고 이전 단계에서 만든 구성을 선택합니다.
저장을 클릭합니다.
로그 수집이 필요한 다른 조직 단위에 대해 이 단계를 반복합니다.

ChromeOS 기기 보고 구성

선택사항: Chrome 브라우저 이벤트 외에 ChromeOS 기기 이벤트를 수집하려면 ChromeOS 기기 보고를 사용 설정합니다.

Google 관리 콘솔에서 메뉴 > 기기 > Chrome > 설정 > 기기 설정으로 이동합니다.
선택사항: 부서나 팀에 설정을 적용하려면 옆에서 조직 단위를 선택합니다.
사용자 및 기기 보고로 이동합니다.
확장 감지 및 반응 (XDR) 이벤트 보고 옆의 확장 감지 및 반응 (XDR) 이벤트 정보 보고를 선택합니다.
저장을 클릭합니다.

참고: ChromeOS XDR 이벤트에는 ChromeOS 로그인/로그아웃 이벤트, 기기 부팅 상태 변경, USB 기기 이벤트, Chrome 원격 데스크톱 이벤트가 포함됩니다.

데이터 흐름 확인

Chrome Enterprise 로그가 Google SecOps로 수집되는지 확인하려면 다음 단계를 따르세요.

Google SecOps 인스턴스를 엽니다.
메뉴 > 검색으로 이동합니다.
다음 검색어를 실행하여 Chrome 관리 이벤트를 찾습니다.
```
metadata.log_type = "CHROME_MANAGEMENT"
```
구성 후 몇 분 이내에 이벤트가 표시됩니다. 이벤트가 표시되지 않는 경우 다음 단계를 따르세요.
- Google 관리 콘솔에서 이벤트 보고가 사용 설정되어 있는지 확인
- 커넥터가 올바른 조직 단위에 연결되어 있는지 확인
- Chrome 브라우저가 클라우드 관리에 등록되어 있는지 확인
- API 키가 유효하고 만료되지 않았는지 확인합니다.
- 호스트 이름이 Google SecOps 인스턴스 리전과 일치하는지 확인

지원되는 로그 유형

Chrome Enterprise 보고 커넥터는 다음 이벤트 유형을 Google SecOps로 전달합니다.

Chrome 브라우저 이벤트

이벤트 유형	설명	보안 카테고리
badNavigationEvent	사용자가 악성 또는 의심스러운 URL로 이동함	SOFTWARE_MALICIOUS, SOCIAL_ENGINEERING, NETWORK_SUSPICIOUS
browserCrashEvent	Chrome 브라우저가 비정상 종료됨	STATUS_UPDATE
browserExtensionInstallEvent	브라우저 확장 프로그램이 설치됨	USER_RESOURCE_UPDATE_CONTENT
contentTransferEvent	파일이 업로드 또는 다운로드됨	SCAN_FILE
dangerousDownloadEvent	위험한 파일이 다운로드됨	SOFTWARE_PUA, SOFTWARE_MALICIOUS
extensionTelemetryEvent	확장 프로그램 텔레메트리 데이터	USER_RESOURCE_ACCESS, NETWORK_HTTP
loginEvent	사용자가 Google 계정에 로그인함	USER_LOGIN
malwareTransferEvent	멀웨어가 전송됨	SOFTWARE_MALICIOUS
passwordBreachEvent	정보 유출로 인해 비밀번호가 노출됨	USER_RESOURCE_ACCESS
passwordChangedEvent	사용자가 비밀번호를 변경함	USER_CHANGE_PASSWORD
passwordReuseEvent	승인되지 않은 사이트에서 비밀번호가 재사용됨	POLICY_VIOLATION, AUTH_VIOLATION, PHISHING
sensitiveDataEvent	민감한 정보가 감지됨	DATA_EXFILTRATION
sensitiveDataTransferEvent	민감한 정보가 전송됨	DATA_EXFILTRATION
suspiciousUrlEvent	의심스러운 URL에 액세스함	SOFTWARE_SUSPICIOUS
unsafeSiteVisitEvent	사용자가 안전하지 않은 사이트를 방문함	SOFTWARE_MALICIOUS, NETWORK_SUSPICIOUS
urlFilteringInterstitialEvent	URL 필터링 전면 광고가 표시됨	POLICY_VIOLATION
urlNavigationEvent	사용자가 URL로 이동함	NETWORK_HTTP

ChromeOS 기기 이벤트

이벤트 유형	설명	보안 카테고리
CHROME_OS_LOGIN_EVENT	사용자가 ChromeOS 기기에 로그인함	USER_LOGIN
CHROME_OS_LOGIN_FAILURE_EVENT	Chrome OS 로그인 실패	USER_LOGIN
CHROME_OS_LOGOUT_EVENT	사용자가 ChromeOS 기기에서 로그아웃함	USER_LOGOUT
CHROME_OS_ADD_USER	사용자가 ChromeOS 기기에 추가됨	USER_CREATION
CHROME_OS_REMOVE_USER	사용자가 ChromeOS 기기에서 삭제됨	사용자 삭제
CHROMEOS_AFFILIATED_LOCK_SUCCESS	ChromeOS 기기가 잠김	USER_LOGOUT
CHROMEOS_AFFILIATED_UNLOCK_SUCCESS	ChromeOS 기기의 잠금이 해제됨	USER_LOGIN
CHROMEOS_AFFILIATED_UNLOCK_FAILURE	ChromeOS 잠금 해제 실패	USER_LOGIN
CHROMEOS_DEVICE_BOOT_STATE_CHANGE	기기 부팅 상태 변경됨	SETTING_MODIFICATION
CHROMEOS_PERIPHERAL_ADDED	USB 기기가 추가됨	USER_RESOURCE_ACCESS
CHROMEOS_PERIPHERAL_REMOVED	USB 기기가 삭제됨	USER_RESOURCE_DELETION
CHROMEOS_PERIPHERAL_STATUS_UPDATED	USB 기기 상태가 변경됨	USER_RESOURCE_UPDATE_CONTENT
CHROME_OS_CRD_HOST_STARTED	Chrome 원격 데스크톱 호스트가 시작되었습니다.	STATUS_STARTUP
CHROME_OS_CRD_CLIENT_CONNECTED	Chrome 원격 데스크톱 클라이언트가 연결됨	USER_LOGIN
CHROME_OS_CRD_CLIENT_DISCONNECTED	Chrome 원격 데스크톱 클라이언트가 연결 해제됨	USER_LOGOUT
CHROME_OS_CRD_HOST_ENDED	Chrome 원격 데스크톱 호스트가 중지됨	STATUS_STARTUP

UDM 매핑 테이블

다음 표에서는 Chrome 관리 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 보여줍니다.

Chrome 로그 필드	UDM 필드	설명
이벤트	metadata.product_event_type	이벤트 유형 식별자
시간	metadata.event_timestamp	이벤트 타임스탬프
device_id	principal.asset.product_object_id	기기 식별자
device_name	principal.hostname	기기 호스트 이름
device_user	principal.user.user_display_name	기기 사용자
profile_user	principal.user.email_addresses	프로필 사용자 이메일
os_platform	principal.platform	운영체제 플랫폼
os_version	principal.platform_version	운영체제 버전
browser_version	target.resource.attributes.labels[browser_version]	브라우저 버전
user_agent	network.http.user_agent	HTTP 사용자 에이전트
url	target.url	대상 URL
reason	security_result.category_details	이벤트 이유
결과	security_result.action_details	이벤트 결과
content_name	target.file.full_path	파일 이름
content_type	target.file.mime_type	파일 MIME 유형
content_hash	target.file.sha256	파일 SHA256 해시
content_size	target.file.size	파일 크기
extension_id	target.resource.product_object_id	확장 프로그램 식별자
extension_name	target.resource.name	확장 프로그램 이름
extension_version	target.resource.attribute.labels[extension_version]	확장 프로그램 버전

전체 필드 매핑 참조는 Chrome 관리 파서 문서를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.