대시보드 개요
이 문서에서는 Google Security Operations 대시보드 엔진을 사용하여 서로 다른 텔레메트리 스트림에서 데이터 시각화를 구성하는 방법에 관한 기술 가이드를 제공합니다.
대시보드 프레임워크는 개별 위젯 (차트)이 YARA-L 2.0 구문을 사용하여 특정 데이터 소스와 인터페이스하는 모듈식 아키텍처를 기반으로 합니다. YARA-L 스키마 속성 및 집계 함수를 사용하여 실시간 모니터링, 위협 분석, 운영 감사에 대한 시각화를 빌드할 수 있습니다.
기본 대시보드 인프라에 대해 자세히 알아보려면 대시보드 개요를 참고하세요.
시작하기 전에
Google SecOps 인스턴스가 다음 구성 요구사항을 충족하는지 확인합니다.
프로젝트를 구성하거나 Google SecOps 인스턴스를 기존 클라우드 프로젝트로 이전합니다. Google Cloud
Google Cloud ID 공급업체 또는 서드 파티 ID 공급업체 (IdP)를 구성합니다.
필요한 IAM 권한
대시보드에 액세스하려면 다음 권한이 필요합니다.
| IAM 권한 | 목적 |
|---|---|
chronicle.nativeDashboards.list |
모든 대시보드의 목록을 확인합니다. |
chronicle.nativeDashboards.get |
대시보드 보기, 대시보드 필터 적용, 전역 필터 적용 |
chronicle.nativeDashboards.create |
새 대시보드를 만듭니다. |
chronicle.nativeDashboards.duplicate |
기존 대시보드의 사본을 만듭니다. |
chronicle.nativeDashboards.update |
차트 추가 및 수정, 필터 추가, 대시보드 액세스 권한 변경, 전역 시간 필터 관리 |
chronicle.nativeDashboards.delete |
대시보드를 삭제합니다. |
대시보드 이해하기
대시보드는 보안 이벤트, 감지, 관련 데이터에 대한 유용한 정보를 제공합니다. 이 섹션에서는 지원되는 데이터 소스를 간략하게 설명하고 역할 기반 액세스 제어 (RBAC)가 대시보드 내의 공개 상태 및 데이터 액세스에 미치는 영향을 설명합니다.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
지원되는 데이터 소스
대시보드에는 다음 데이터 소스가 포함되며 각 데이터 소스에는 해당 YARA-L 접두사가 있습니다.
| 데이터 소스 | 쿼리 시간 간격 | YARA-L 접두사 | 스키마 | 대시보드 예시 |
|---|---|---|---|---|
| 이벤트 | 90일 | no prefix |
필드 (UDM) | 템플릿 | 예시 |
| 항목 그래프 | 365일 | graph |
필드 | 템플릿 | 예시 |
| 수집 측정항목 | 365일 | ingestion |
필드 | 템플릿 | 예시 |
| 케이스 및 알림 | 365일 | case |
필드 (SOAR) | 템플릿 | 예시 |
| 케이스 기록 | 365일 | case_history |
필드 (SOAR) | 템플릿 | 예시 |
| 플레이북 | 365일 | playbook |
필드 (SOAR) | 템플릿 | 예시 |
| 감지 | 365일 | detection |
필드 | 템플릿 | 예시 |
| 규칙 | 시간 제한 없음 | rules |
필드 | 템플릿 | 예시 |
| 규칙 집합 | 365일 | ruleset |
필드 | 템플릿 | 예시 |
| IoCs | 365일 | ioc |
필드 | 템플릿 | 예시 |
데이터 RBAC의 영향
데이터 역할 기반 액세스 제어 (RBAC)는 개별 사용자 역할을 사용하여 조직 내 데이터에 대한 사용자 액세스를 제한하는 보안 모델입니다. 데이터 RBAC를 사용하면 관리자가 범위를 정의하고 사용자에게 할당하여 액세스가 작업 기능에 필요한 데이터로만 제한되도록 할 수 있습니다. 대시보드의 모든 쿼리는 데이터 RBAC 규칙을 따릅니다. 액세스 제어 및 범위에 대한 자세한 내용은 데이터 RBAC의 액세스 제어 및 범위를 참고하세요. 대시보드의 데이터 RBAC에 대한 자세한 내용은 대시보드의 데이터 RBAC 구성을 참고하세요.
이벤트, 항목 그래프, IOC 일치
이러한 소스에서 반환되는 데이터는 사용자에게 할당된 액세스 범위로 제한되므로 승인된 데이터의 결과만 표시됩니다. 사용자에게 여러 범위가 있는 경우 쿼리에는 할당된 모든 범위의 데이터가 포함됩니다. 사용자가 액세스할 수 있는 범위에 속하지 않는 데이터는 대시보드 검색 결과에 표시되지 않습니다.
규칙
사용자는 할당된 범위와 연결된 규칙만 볼 수 있습니다.
감지 및 감지가 포함된 규칙 세트
수신되는 보안 데이터가 규칙에 정의된 기준과 일치하면 감지가 생성됩니다. 사용자는 할당된 범위와 연결된 규칙에서 발생한 감지만 볼 수 있습니다. 감지가 포함된 규칙 세트는 전역 사용자에게만 표시됩니다.
SOAR 데이터 소스
케이스 및 알림, 플레이북, 케이스 기록은 전역 사용자에게만 표시됩니다.
수집 측정항목
수집 구성요소는 소스 로그 피드에서 플랫폼으로 로그를 가져오는 서비스 또는 파이프라인입니다. 각 구성요소는 자체 수집 측정항목 스키마 내에서 특정 로그 필드를 수집합니다.
관리자는 수집 측정항목에 RBAC를 사용하여 사용자의 비즈니스 범위에 따라 수집량, 오류, 처리량과 같은 시스템 상태 데이터의 공개 상태를 제한할 수 있습니다.
데이터 수집 및 상태 대시보드는 데이터 액세스 범위를 사용합니다. 범위가 지정된 사용자가 대시보드를 로드하면 시스템은 할당된 라벨과 일치하는 데이터만 표시하도록 측정항목을 자동으로 필터링합니다.
다음 라벨을 사용하여 필터링할 수 있습니다.
- 네임스페이스: 격리를 위한 기본 방법입니다 (예:
Eu-Prod,Alpha-Corp). - 로그 유형: 역할 기반 분리 (예:
GCP_VPC_FLOW,CROWDSTRIKE_EDR) - 수집 소스: 세부적인 소스 추적 (예: 특정 전달자 ID)
제한사항
맞춤 라벨: UDM 정규 표현식이나 데이터 테이블을 사용하여 생성된 라벨과 같은 맞춤 라벨이 포함된 사용자 범위를 할당하면 해당 사용자의 수집 측정항목에 대한 RBAC가 자동으로 사용 중지됩니다. 따라서 사용자에게 대시보드에 데이터가 표시되지 않습니다. 수집 모니터링 범위의 경우 로그 유형, 네임스페이스, 수집 소스와 같은 표준 라벨만 사용해야 합니다.
수집 소스 제한사항: 수집 소스별 필터링은 로그 수 측정항목에만 적용됩니다. 대역폭 (바이트) 또는 오류율 측정항목을 표시하는 차트는 수집 소스를 기준으로 엄격하게 필터링하면 데이터가 표시되지 않을 수 있습니다. Google에서는 더 광범위한 상태 모니터링을 위해 네임스페이스별로 필터링하는 것을 권장합니다.
고급 기능 및 모니터링
탐지를 미세 조정하고 가시성을 개선하려면 YARA-L 2.0 규칙 및 수집 측정항목과 같은 고급 구성을 사용하면 됩니다. 이 섹션에서는 이러한 기능 통계를 살펴보고 감지 효율성을 최적화하고 데이터 처리를 모니터링하는 방법을 알아봅니다.
YARA-L 2.0 속성
YARA-L 2.0을 대시보드에서 사용할 때는 다음과 같은 고유한 속성이 있습니다.
엔티티 그래프, 수집 측정항목, 규칙 세트, 감지와 같은 추가 데이터 소스는 대시보드에서 확인할 수 있습니다. 이러한 데이터 소스 중 일부는 아직 YARA-L 규칙 및 통합 데이터 모델 (UDM) 검색에서 사용할 수 없습니다.
Google Security Operations 대시보드의 YARA-L 2.0 함수 및 통계 측정항목을 포함하는 집계 함수를 참고하세요.
YARA-L 2.0의 쿼리에는
match또는outcome섹션이 포함되어야 합니다.YARA-L 규칙의
events섹션은 암시되어 있으며 쿼리에서 선언할 필요가 없습니다.YARA-L 규칙의
condition섹션은 대시보드에서 사용할 수 없습니다.대시보드는 UEBA 카테고리의 위험 분석의 규칙을 지원하지 않습니다.
도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.