Google Security Operations에서 잠재적인 보안 문제 검토

이 문서에서는 Google Security Operations를 사용하여 알림과 잠재적인 보안 문제를 조사할 때 검색을 수행하는 방법을 설명합니다.

시작하기 전에

Google Security Operations는 Google Chrome 및 Mozilla Firefox 브라우저를 지원합니다. 최적의 성능과 보안을 위해 브라우저를 최신 버전으로 업그레이드하세요. 최신 Chrome 버전은 https://www.google.com/chrome/에서 다운로드할 수 있습니다.

인증 및 액세스

Google SecOps는 SSO 솔루션과 통합됩니다. Google SecOps 플랫폼에 액세스하려면 유효한 엔터프라이즈 사용자 인증 정보가 필요합니다.

  1. Chrome 또는 Firefox를 시작합니다.

  2. 회사 계정에 대한 액세스 권한이 활성 상태인지 확인합니다.

  3. 다음 URL로 이동하여 customer_subdomain를 고객별 식별자로 바꿔 Google SecOps 애플리케이션에 액세스합니다.

    https://customer_subdomain.backstory.chronicle.security

알림 및 IOC 일치 보기

  1. 탐색 메뉴에서 감지 > 알림 및 IOC를 선택합니다.

  2. IOC 일치 탭을 클릭합니다.

도메인 뷰에서 IOC 일치 검색

IOC 도메인 일치 탭의 도메인 열에는 의심되는 도메인 목록이 포함됩니다. 이 열에서 도메인을 클릭하면 다음 그림과 같이 도메인 뷰가 열리고 이 도메인에 대한 세부정보가 표시됩니다.

도메인 뷰 도메인

Google Security Operations 검색창 사용

다음 그림과 같이 Google Security Operations 홈페이지에서 직접 검색을 시작합니다.

검색창 Google Security Operations 검색 필드

이 페이지에서 다음 검색어를 입력할 수 있습니다.

  • 호스트 이름에 도메인 뷰 표시
 (예: plato.example.com)
  • 도메인에 도메인 뷰 표시
 (예: altostrat.com)
  • IP 주소에 IP 주소 뷰 표시
 (예: 192.168.254.15)
  • URL에 도메인 뷰 표시
 (예: https://new.altostrat.com)
  • 사용자 이름에 애셋 뷰 표시
 (예: betty-decaro-pc)
  • 파일 해시에 해시 뷰 표시
 (예: e0d123e5f316bef78bfdf5a888837577)

Google Security Operations에서 검색어 유형을 자동으로 결정하므로 입력할 검색어 유형을 지정할 필요가 없습니다. 결과는 적절한 조사 뷰에 표시됩니다. 예를 들어 검색창에 사용자 이름을 입력하면 애셋 뷰가 표시됩니다.

원시 로그 검색

색인이 지정된 데이터베이스를 검색하거나 원시 로그를 검색하는 옵션이 제공됩니다. 원시 로그 검색은 보다 포괄적인 검색이 가능하지만 색인 지정 검색보다 시간이 오래 걸립니다.

더 정확하게 검색을 수행하려면 정규 표현식을 사용하거나, 대소문자를 구분하여 항목을 검색하거나, 로그 소스를 검색할 수 있습니다. 또한 시작종료 시간 필드를 사용하여 원하는 타임라인을 선택할 수도 있습니다.

원시 로그 검색을 수행하려면 다음 단계를 완료하세요.

  1. 다음 그림에 표시된 것처럼 검색어를 입력한 후 드롭다운 메뉴에서 원시 로그 스캔을 선택합니다.

    원시 로그 스캔 메뉴 원시 로그 스캔 옵션을 보여주는 드롭다운 메뉴

  2. 원시 검색 기준을 설정한 후 검색 단추를 클릭합니다.

  3. 원시 로그 스캔 뷰에서 로그 데이터를 추가 분석할 수 있습니다.