Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

알림 및 항목 컨텍스트 조사

다음에서 지원:

Google secops SIEM

이 가이드는 상관관계가 있는 활동을 식별하고 알림에서 위험 프로필을 평가하려는 조사자를 위한 것입니다. 이 가이드를 사용하여 알림에서 항목의 타임라인으로 피벗하는 방법을 이해할 수 있습니다. 조사를 성공적으로 수행하면 복잡한 사고의 분류 시간을 줄이고 영향력이 큰 위협에 먼저 집중할 수 있습니다.

일반적인 사용 사례

이 섹션에서는 몇 가지 일반적인 사용 사례를 나열합니다.

분류 및 케이스 우선순위 지정

목표: 관련 항목의 위험 프로필을 평가하여 즉시 에스컬레이션해야 하는 알림을 결정합니다. 이 접근 방식은 조직에 가장 큰 위협이 되는 알림을 식별하여 시간순 처리에서 벗어납니다.

워크플로:

알림 대시보드를 열고 알림을 봅니다.
애셋 ID 또는 사용자 이름을 복사하고 위험 분석 으로 피벗합니다.
항목에 이미 높은 항목 위험 점수가 있는 경우 위험이 낮은 항목과 관련된 알림보다 이 케이스의 우선순위를 지정합니다.

결과: 제한된 SOC 리소스는 영향력이 큰 위협에 먼저 집중할 수 있습니다.

알림의 영향 범위 분석

목표: 알림의 상관관계가 있는 활동을 추적하여 사고의 전체 범위를 파악합니다. 환경 전반에서 상관관계가 있는 활동을 추적하면 보안 침해된 시스템과 계정 간의 관계를 매핑하여 위협이 어떻게 이동했는지 시각화할 수 있습니다.

워크플로:

알림 대시보드를 열고 위험이 높은 알림을 봅니다.
그래프 탭으로 이동하여 항목 컨텍스트 그래프 (ECG) 관계를 봅니다.
각 관련 항목에 대해 위험 분석 의 탐지 타임라인 으로 피벗합니다.
겹치는 탐지 패턴을 찾아 위협이 어떻게 확산되었는지 매핑합니다.

결과: 영향을 받는 시스템과 계정을 식별하는 사고의 포괄적인 지도입니다.

내부 이동 조사

목표: UDM 이벤트를 정상 행동 기록의 기준점과 비교하여 악의적인 행동을 사전에 식별합니다. 공격자가 네트워크를 통해 이동하고 있음을 나타내는 내부 커뮤니케이션 및 액세스 패턴의 미묘한 이상 징후를 식별할 수 있습니다.

워크플로:

항목을 선택하고 행동 기록 (일반적인 로그인 시간 또는 파일 액세스)을 검토합니다.
UDM 이벤트에서 애셋이 갑자기 새 내부 IP 주소와 통신하거나 사용자가 처음으로 민감한 애플리케이션에 액세스하는 등의 편차를 검색합니다.
공식 알림이 아직 트리거되지 않았더라도 이러한 이상 징후로 인해 최근 항목 위험 점수가 급증했는지 평가합니다.
UDM 이벤트를 항목의 기록에 연결하면 합법적인 비즈니스 변경사항과 잠재적인 내부 이동을 구분할 수 있습니다.

결과: 시그니처 기반 알림을 우회하는 위협을 조기에 탐지합니다.

시작하기 전에

다음 항목이 있는지 확인합니다.

권한: 알림 대시보드, 위험 분석 대시보드, UDM 검색 기능에 액세스할 수 있어야 합니다.
환경 확인: ECG 및 위험 분석을 사용 설정하여 타임라인을 채우기 위해 데이터를 수집하도록 합니다.

탐지 및 항목 컨텍스트 조사

다음 단계에 따라 알림을 위험 프로필에 수동으로 연결하고 관련 애셋의 기록 활동을 분석합니다.

알림에서 항목 식별

조사의 시작점을 설정하려면 알림과 관련된 특정 애셋 또는 사용자를 식별합니다.

알림 페이지로 이동합니다.
탐지 표에서 알림 이름을 클릭하여 알림 페이지를 엽니다.

참고: **입력** 표에 파일 해시만 표시되는 경우 직접 애셋 ID가 표시되지 않습니다. 해당 해시를 사용하여 UDM 검색을 실행하여 해시와 연결된 특정 애셋을 식별해야 합니다.
입력 표를 찾습니다.
- 표에 항목이 포함되어 있는 경우 다음 단계를 따르세요.
  1. 항목 이름을 클릭하여 항목 컨텍스트 탭을 엽니다.
  2. 관련 항목 (예: 특정 해시, IP 주소 또는 애셋 이름)을 식별합니다.
  3. 애셋 ID 또는 사용자 이름 을 복사합니다.
- 표에 탐지 또는 이벤트가 포함되어 있는 경우 다음 단계를 따르세요.
  1. 탐지의 경우 탐지 행을 클릭하여 기본 이벤트를 봅니다.
  2. 이벤트 행을 클릭하여 이벤트 뷰어 탭을 엽니다.
  3. 항목 탭에서 관련 항목 (예: 특정 해시, IP 주소 또는 애셋 이름)을 식별합니다.
  참고: 해시만 표시되는 경우 UDM 검색을 실행하여 해당 해시와 연결된 특정 애셋을 식별합니다.
  1. 알림에서 식별된 애셋 ID 또는 사용자 이름 을 복사합니다.

위험 분석으로 피벗

알림에서 찾은 식별자를 사용하여 분석 대시보드 내에서 항목의 더 넓은 위험 프로필에 액세스합니다.

위험 분석 대시보드로 이동합니다.
항목 탭으로 이동하여 복사한 식별자를 검색창에 붙여넣습니다.
결과에서 항목 이름을 클릭하여 애셋의 탐지 타임라인 을 봅니다. 탐지 타임라인 은 애셋 또는 사용자의 기록 컨텍스트를 제공합니다.

탐지 타임라인 분석

현재 위험 점수에 기여한 탐지 목록 (예: 19 detections)을 검토합니다.
타임라인을 검토하여 UDM 이벤트와 ECG 관계가 시간이 지남에 따라 어떻게 발전했는지 확인하여 사고의 심각도를 파악합니다.

참고: 타임라인을 무시하고 단일 알림만 보면 더 크고 조정된 위협을 나타내는 겹치는 탐지 패턴을 놓칠 수 있습니다.

문제 해결

이 섹션에서는 성능 기대치를 간략히 설명하고 일반적인 조사 문제에 대한 셀프서비스 해결 방법을 제공합니다.

지연 시간 및 한도

동기화 지연 시간으로 인해 새 이벤트가 타임라인에 상관관계를 갖는 데 약 10~15분이 걸립니다. 이 기간에는 검색을 다시 실행하거나 지원 티켓을 제출하지 마세요.

일반적인 조사 문제

다음 표를 사용하여 일반적인 조사 격차를 해결합니다.

문제	설명	수정
애셋 ID 없음	알림에 연결된 애셋 없이 파일 해시 또는 IP 주소만 표시됩니다.	해당 해시 또는 IP에 대한 UDM 검색을 실행하여 연결된 `principal.asset_id`를 식별합니다.
빈 타임라인	항목이 위험 분석에 있지만 탐지가 나열되지 않습니다.	항목이 탐지를 트리거했는지 확인합니다. 트리거한 경우 ECG 수집 파이프라인이 활성 상태인지 확인합니다.

검증 및 테스트

조사 후 선택적으로 UDM 검색을 사용하여 타임라인에서 발견된 특정 이벤트가 원시 로그로 존재하는지 확인하여 상관관계의 정확성을 확인할 수 있습니다.

다음 단계

알림 조사

GCTI 알림 조사

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.