Google Cloud DNS 위협 감지기 로그 수집

다음에서 지원:

이 문서에서는 Google Cloud Storage V2를 사용하여 Google Cloud DNS 위협 감지기 로그를 Google Security Operations에 수집하는 방법을 설명합니다.

Infoblox 기반의 DNS Armor는 Google Cloud 워크로드에 DNS 계층 보안을 제공하는 완전 관리형 서비스입니다. 고급 위협 감지기는 운영 복잡성이나 성능 오버헤드를 추가하지 않고 공격 체인의 가장 초기 지점인 DNS 쿼리에서 악의적인 활동을 감지하도록 설계되었습니다. 위협이 감지되면 Cloud Logging을 통해 DNS 위협에 대한 실행 가능한 유용한 정보를 얻을 수 있습니다.

프로젝트에 DNS 위협 감지기를 사용 설정하면 DNS Armor에서 인터넷에 연결된 DNS 쿼리 로그를 Infoblox에서 제공하는 Google Cloud 기반 분석 엔진으로 안전하게 전송합니다. 이 엔진은 위협 인텔리전스 피드와 AI 기반 행동 분석을 결합하여 위협을 식별합니다. 감지된 악의적인 활동은 DNS Armor 위협 로그를 생성하며, 이 로그는 프로젝트로 다시 전송되고 Cloud Logging에 기록되어 사용자가 확인하고 조치를 취할 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • Cloud Storage API가 사용 설정된 GCP 프로젝트
  • GCS 버킷을 만들고 관리할 수 있는 권한입니다.
  • GCS 버킷의 IAM 정책을 관리할 수 있는 권한
  • 프로젝트에서 Network Security API가 사용 설정되어 있습니다.
  • DNS 위협 감지기를 사용 설정하는 데 필요한 IAM 역할
  • DNS 위협 로그를 볼 수 있는 권한: resourcemanager.projects.get, resourcemanager.projects.list, networksecurity.dnsThreatDetectors.get, networksecurity.dnsThreatDetectors.list 또는 역할 roles/networksecurity.dnsThreatDetectorViewer, roles/logging.viewer

Google Cloud Storage 버킷 만들기

  1. Google Cloud Console로 이동합니다.
  2. 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
  3. 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
  4. 버킷 만들기를 클릭합니다.

  5. 다음 구성 세부정보를 제공합니다.

    설정
    버킷 이름 지정 전역적으로 고유한 이름 (예: dns-threat-detector-logs)을 입력합니다.
    위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전)
    위치 위치를 선택합니다 (예: us-central1).
    스토리지 클래스 Standard (자주 액세스하는 로그에 권장)
    액세스 제어 균일 (권장)
    보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정

  6. 만들기를 클릭합니다.

DNS 위협 감지기 만들기

이 섹션에서는 VPC 네트워크에서 악의적인 인터넷 연결 DNS 활동을 모니터링하기 위해 DNS 위협 감지기를 만드는 방법을 설명합니다.

프로젝트에 사용 설정된 DNS 위협 감지기는 하나만 있을 수 있습니다.

Google Cloud 콘솔 사용

  1. Google Cloud 콘솔에서 고급 위협 감지 페이지로 이동합니다.
  2. DNS 위협 감지기 만들기를 클릭합니다.
  3. DNS 위협 감지기의 이름을 입력합니다.
  4. 프로젝트의 모든 VPC 네트워크를 선택합니다.
  5. 만들기를 클릭합니다.

gcloud 명령줄 도구 사용

또는 gcloud 명령어를 사용하여 DNS 위협 감지기를 만듭니다.

gcloud beta network-security dns-threat-detectors create my-dns-threat-detector \
--location=global \
--project=PROJECT_ID \
--provider="infoblox"

바꾸기: - my-dns-threat-detector: DNS 위협 감지기의 이름 - PROJECT_ID: 프로젝트 ID

DNS 위협 감지기 로그를 GCS로 내보내도록 Cloud Logging 구성

DNS Armor 위협 로그가 Cloud Logging에 기록됩니다. 이러한 로그를 GCS 버킷으로 내보내려면 로그 싱크를 구성해야 합니다.

  1. Google Cloud 콘솔에서 로깅 > 로그 라우터로 이동합니다.
  2. 싱크 만들기를 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 싱크 이름: 설명이 포함된 이름 (예: dns-threat-detector-to-gcs)을 입력합니다.
    • 싱크 설명: 선택사항인 설명입니다.
  4. 다음을 클릭합니다.
  5. 싱크 서비스 선택 섹션에서 다음 단계를 따릅니다.
    • 싱크 서비스: Cloud Storage 버킷을 선택합니다.
    • Cloud Storage 버킷 선택: 드롭다운에서 버킷 (예: dns-threat-detector-logs)을 선택합니다.
  6. 다음을 클릭합니다.

  7. 싱크에 포함할 로그 선택 섹션에 다음 필터 쿼리를 입력합니다.

    resource.type="networksecurity.googleapis.com/DnsThreatDetector"
logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2FDnsThreatDetector"

PROJECT_ID를 GCP 프로젝트 ID로 바꿉니다.

  1. 다음을 클릭합니다.
  2. 구성을 검토하고 싱크 만들기를 클릭합니다.

gcloud 명령줄 도구 사용

또는 gcloud 명령어를 사용하여 로그 싱크를 만듭니다.

gcloud logging sinks create dns-threat-detector-to-gcs \
    gs://dns-threat-detector-logs \
    --log-filter='resource.type="networksecurity.googleapis.com/DnsThreatDetector" AND logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2FDnsThreatDetector"' \
    --project=PROJECT_ID

다음을 바꿉니다. - dns-threat-detector-logs: GCS 버킷 이름 - PROJECT_ID: GCP 프로젝트 ID입니다.

Google SecOps 서비스 계정 가져오기

Google SecOps는 고유한 서비스 계정을 사용하여 GCS 버킷에서 데이터를 읽습니다. 이 서비스 계정에 버킷에 대한 액세스 권한을 부여해야 합니다.

Google Cloud DNS 위협 감지기 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 피드 이름을 입력합니다(예: GCP DNS Threat Detector Logs).
  5. 소스 유형으로 Google Cloud Storage V2를 선택합니다.

  6. 로그 유형으로 Google Cloud DNS 위협 감지기를 선택합니다.

  7. 서비스 계정 가져오기를 클릭합니다.

  8. 고유한 서비스 계정 이메일이 표시됩니다(예:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. 이 이메일 주소를 복사합니다. 다음 단계에서 사용합니다.

  10. 다음을 클릭합니다.

  11. 다음 입력 매개변수의 값을 지정합니다.

    • 스토리지 버킷 URL: 다음 접두사 경로를 사용하여 GCS 버킷 URI를 입력합니다.

      gs://dns-threat-detector-logs/

      다음과 같이 바꿉니다.

      • dns-threat-detector-logs: GCS 버킷 이름입니다.
    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
      • 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
      • 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
      • 전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

  12. 다음을 클릭합니다.

  13. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

Google SecOps 서비스 계정에 IAM 권한 부여

Google SecOps 서비스 계정에는 GCS 버킷에 대한 스토리지 객체 뷰어 역할이 필요합니다.

  1. Cloud Storage> 버킷으로 이동합니다.
  2. 버킷 이름 (예: dns-threat-detector-logs)을 클릭합니다.
  3. 권한 탭으로 이동합니다.
  4. 액세스 권한 부여를 클릭합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
    • 역할 할당: 스토리지 객체 뷰어를 선택합니다.

  6. 저장을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
record.jsonPayload.dnsQuery.responseCode, record.jsonPayload.dnsQuery.authAnswer, record.jsonPayload.dnsQuery.queryTime, record.jsonPayload.partnerId, record.jsonPayload.detectionTime, record.logName additional.fields 추가 맵에 복사된 값은 비어 있지 않은 경우 value.string_value와 함께 맵 항목으로 병합됩니다.
record.receiveTimestamp metadata.collected_timestamp ISO8601 타임스탬프로 파싱됨
metadata.event_type has_principal 및 has_target인 경우 'NETWORK_CONNECTION', has_principal인 경우 'STATUS_UPDATE', 그 외의 경우 'GENERIC_EVENT'로 설정됩니다.
record.timestamp metadata.event_timestamp ISO8601 타임스탬프로 파싱됨
record.insertId metadata.product_log_id 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.rdata network.dns.answers 값이 answer.data에 복사된 후 비어 있지 않은 경우 배열로 병합됩니다.
record.jsonPayload.dnsQuery.queryName, record.jsonPayload.dnsQuery.queryType network.dns.questions queryName에서 questions.name을 가져오고, queryType 문자열에서 questions.type을 정수로 매핑한 후 비어 있지 않은 경우 배열로 병합
record.jsonPayload.dnsQuery.responseCode network.dns.response_code 사전 정의된 테이블을 사용하여 문자열에서 정수로 매핑됨
record.jsonPayload.dnsQuery.protocol network.ip_protocol 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.sourceIp principal.asset.ip 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.sourceIp principal.ip 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.location principal.location.country_or_region 비어 있지 않은 경우 값이 직접 복사됨
record.resource.labels.location principal.location.name 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.vmProjectNumber, record.jsonPayload.dnsQuery.projectNumber principal.resource.attribute.labels 값이 추가 맵에 복사된 후 비어 있지 않으면 맵 항목으로 병합됩니다.
record.jsonPayload.dnsQuery.vmInstanceId principal.resource.id 비어 있지 않은 경우 값이 직접 복사됨
record.resource.labels.id principal.resource.product_object_id 비어 있지 않은 경우 값이 직접 복사됨
record.resource.type principal.resource.type 비어 있지 않은 경우 값이 직접 복사됨
security_result 빌드된 security_result 맵에서 병합됨
record.jsonPayload.threatInfo.confidence security_result.confidence (?i)Low와 일치하는 경우 LOW_CONFIDENCE에 매핑되고, (?i)Medium과 일치하는 경우 MEDIUM_CONFIDENCE에 매핑되고, (?i)High와 일치하는 경우 HIGH_CONFIDENCE에 매핑됩니다.
record.jsonPayload.threatInfo.threatDescription security_result.description 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.threatInfo.threatIndicatorType, record.jsonPayload.threatInfo.threatIndicator, record.jsonPayload.threatInfo.threatFeed, record.jsonPayload.threatInfo.category, record.jsonPayload.threatInfo.type, record.jsonPayload.threatInfo.threat, record.jsonPayload.threatInfo.severity, record.resource.labels.resource_container security_result.detection_fields 값이 추가 맵에 복사된 후 비어 있지 않으면 맵 항목으로 병합됩니다.
record.severity security_result.severity (?i)Low인 경우 LOW에 매핑되고, (?i)(Informational|Info)인 경우 INFORMATIONAL에 매핑되고, (?i)Medium인 경우 MEDIUM에 매핑되고, (?i)Critical인 경우 CRITICAL에 매핑되고, (?i)High인 경우 HIGH에 매핑됩니다.
record.jsonPayload.threatInfo.threatId security_result.threat_id 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.destinationIp target.asset.ip 비어 있지 않은 경우 값이 직접 복사됨
record.jsonPayload.dnsQuery.destinationIp target.ip 비어 있지 않은 경우 값이 직접 복사됨
metadata.vendor_name 'Google Cloud'로 설정
metadata.product_name 'Google Cloud DNS 위협 감지기'로 설정

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.