Google Security Operations를 사용하여 알림 검토

다음에서 지원:
이 가이드에서는 Google Security Operations를 사용하여 알림을 조사하는 방법을 보여줍니다.

알림이란 무엇인가요?

알림Google Security Operations에서 플래그 지정된 침해 지표(IOC)이며 기업 내에서 발생하는 정상적인 트래픽 워크플로 중에 포함된 비정상적인 상황을 나타냅니다. 알림이 있으면 보안 위반 가능성을 염두에 두고 조사해야 합니다.

알림이 어떻게 Google Security Operations로 전송되나요?

Google Security Operations는 지속적으로 업데이트되는 업계 전반의 데이터베이스 기술을 사용하는 보안 커뮤니티 내에서 여러 외부 소스를 활용합니다. Google Security Operations에는 또한 다양한 기능을 지원하는 프로그래밍 언어 YARA-L이 포함되어 있으므로, 자신의 고유 커스텀 규칙을 만들 수도 있습니다.

YARA-L에 대한 자세한 내용은 YARA-L 2.0 언어 개요를 참조하세요. 규칙에 대한 자세한 내용은 규칙 편집기를 사용하여 규칙 관리를 참조하세요.

시작하기 전에

회사의 Google Security Operations 인스턴스 또는 Google Security Operations 데모 환경에서 이러한 단계를 수행할 수 있습니다.

Google Security Operations는 Google Chrome 및 Mozilla Firefox 브라우저를 지원합니다. 최적의 성능과 보안을 위해 브라우저를 최신 버전으로 업그레이드하세요. 최신 Chrome 버전은 https://www.google.com/chrome/에서 다운로드할 수 있습니다.

인증 및 액세스

Google SecOps는 SSO 솔루션과 통합됩니다. Google SecOps 플랫폼에 액세스하려면 유효한 엔터프라이즈 사용자 인증 정보가 필요합니다.

  1. Chrome 또는 Firefox를 시작합니다.

  2. 회사 계정에 대한 액세스 권한이 활성 상태인지 확인합니다.

  3. 다음 URL로 이동하여 customer_subdomain를 고객별 식별자로 바꿔 Google SecOps 애플리케이션에 액세스합니다.

    https://customer_subdomain.backstory.chronicle.security

알림 및 IOC 일치 보기

탐색 메뉴에서 감지 > 알림 및 IOC를 선택합니다.

알림 및 IOC 일치 탭이 표시됩니다. 일치 및 알림을 표시하려면 오른쪽 위에서 캘린더 컨트롤을 사용해서 시간 범위를 조정해야 할 수 있습니다.

애셋 뷰로 피벗

그런 후 손상되었을 수 있는 특정 애셋으로 드릴다운합니다.

  1. IOC 일치 탭에서 도메인을 클릭하여 도메인 뷰를 엽니다.

  2. 타임라인 탭을 선택합니다.

  3. 애셋 뷰로 피벗하려면 해당 시간을 클릭하여 이벤트를 선택합니다. 애셋 뷰에는 다음 그림에 표시된 것처럼 알림 트리거의 기간 중 선택한 애셋의 세부정보가 표시됩니다.

    애셋 뷰 애셋 뷰

    기본 창의 풍선은 해당 애셋의 보급률을 나타냅니다. 이 그래프는 자주 발생하지 않는 이벤트가 위쪽에 표시되도록 정리되어 있습니다. 이러한 보급률이 낮은 이벤트는 의심스러운 것으로 간주됩니다. 오른쪽 상단 시간 슬라이더를 사용하여 조사가 필요한 이벤트를 확대합니다.

  4. 절차적 필터링 메뉴가 표시되지 않으면 필터 아이콘 필터 아이콘(오른쪽 상단 모서리 근처)을 클릭하여 엽니다.

  5. 메뉴 상단에서 보급 슬라이더를 조절하여 일반적인 이벤트를 필터링합니다. 시간 및 보급 슬라이더를 사용하여 의심스러운 이벤트를 식별합니다.

  6. 타임라인 사이드바 목록에서 알림을 엽니다. 왼쪽 패널에서 알림 주변에 발생한 이벤트를 표시하는 타임라인 탭을 선택합니다. 트리거 이벤트가 녹색으로 강조 표시됩니다.

알림을 트리거한 항목 조사

트리거 이벤트에 대한 추가 통계를 얻기 위해서는 몇 가지 방법이 있습니다.

  • 가운데 패널에서 주황색 대화상자가 알림의 위치, 시간을 나타내는 작은 주황색 삼각형 위에 표시될 수 있습니다. 대화상자가 표시되지 않은 경우 삼각형 위로 마우스를 가져가면 표시됩니다. 대화상자에는 알림의 날짜, 시간, 설명이 포함됩니다.

  • 애셋 뷰의 왼쪽 패널에 타임라인 탭이 표시됩니다. 이벤트 라벨이 규칙 알림으로 표시되면 알림 설명도 표시됩니다.

  • 규칙 알림 이벤트 위로 마우스를 가져가면 확장 아이콘 이벤트 확장 아이콘이 이벤트 오른쪽에 표시됩니다. 이 아이콘을 클릭하면 다음 그림에 표시된 것처럼 UDM 형식으로 이벤트에 대한 세부정보가 포함된 새 창이 열립니다.

    이벤트 세부정보 이벤트 세부정보

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.