케이스 분류 및 대응

다음에서 지원:

이 가이드는 보안 분석가가 즉각적인 주의가 필요한 케이스와 보안 알림을 효율적으로 식별하고 우선순위를 지정하는 데 도움이 됩니다. 여기에서는 맞춤 뷰, 자동화, AI 기반 분류, 플레이북을 비롯한 Google Security Operations 기능을 사용하는 방법을 설명합니다. 이 방법을 따르면 분석가는 노이즈를 줄이고, 대응 시간을 단축하며, 가장 큰 위험을 초래하는 실제 긍정 오류에 분석가의 노력을 집중할 수 있습니다. 성공적으로 완료하면 중요한 위협을 적시에 완화할 수 있습니다.

일반적인 사용 사례

  • 목표: 자동화 및 AI를 사용하여 대량의 보안 데이터 중에서 위험도가 높은 알림과 케이스를 효율적으로 식별합니다.
  • 가치: 중요한 위협에 신속하게 대응하여 잠재적 영향을 최소화합니다.

시작하기 전에

즉각적인 주의가 필요한 케이스 및 알림 결정

이 섹션에서는 긴급성을 결정하는 순차적 단계를 설명합니다.

맞춤 대기열 모니터링 및 엄격한 필터 적용

다음 접근 방식을 사용하면 특정 주의가 필요한 항목과 위험도가 높은 사고의 전체 풀을 모두 볼 수 있으므로 가장 영향력 있는 이벤트를 즉시 파악할 수 있습니다.

  1. Google SecOps 플랫폼에서 내 작업 공간 > 내 케이스 를 선택합니다. 이 뷰에는 사용자 또는 분석가 역할에 직접 할당된 케이스가 표시됩니다.
  2. 기본 케이스 페이지를 열고 케이스 필터 를 클릭합니다.
  3. 심각높음 우선순위 수준의 발견 항목을 필터링합니다. 이러한 필터를 저장해 두면 쉽게 다시 돌아갈 수 있습니다.

분류를 위해 AI 및 자동화 활용

모든 알림에 대해 에이전트형 자동화를 사용합니다. 이 자동화는 결정론적 사전 정의된 플레이북과 Gemini 분류 및 조사 에이전트와 같은 동적 AI 에이전트를 결합합니다. 이 에이전트는 초기 심층 분석을 자동화하여 15~20분의 수동 작업을 훨씬 짧은 시간으로 단축합니다.

주요 기능:

신속한 분류 및 일관된 조치를 위해 플레이북 사용

케이스 페이지에서 사전 빌드된 플레이북 과 커스텀 플레이북 을 사용합니다. 플레이북은 표준 운영 절차 (SOP)를 자동화된 워크플로로 코딩하여 수동 작업을 최소화하고 일관성을 보장합니다.

주요 플레이북 기능:

  • 자동화된 보강: 많은 플레이북이 VirusTotal, CrowdStrike, 내부 위협 피드와 같은 소스의 위협 인텔리전스로 알림을 자동으로 보강하여 해시, IP 주소, 도메인과 같은 침해 지표 (IoC)에 대한 즉각적인 컨텍스트를 제공합니다.
  • 안내된 결정 지점: 플레이북은 분석가에게 예/아니요 질문, 객관식 질문 또는 조건부 프롬프트(예: "Is this activity expected for this user role?"... if "No", then "Escalate to Tier 3", if "Yes", then "Mark as False Positive", or "Continue monitoring")를 일시중지하고 표시할 수 있습니다.
  • 제어된 수동 개입: 민감한 조치의 경우 플레이북에 수동 승인 단계를 포함할 수 있습니다. 이를 통해 분석가는 실행 전에 제안된 조치 (예: 호스트 격리, 샌드박스에서 파일 실행, IP 주소 차단)를 검토할 수 있습니다.
  • 자동화된 케이스 관리: 플레이북은 발견 사항을 기반으로 전문팀에 케이스 라우팅을 자동화하고, 양성 또는 정보로 확인된 알림을 자동으로 닫아 실행 가능한 위협에 활성 대기열을 집중시킬 수 있습니다.

분석가가 이 여정에 플레이북을 사용하는 방법:

  • 표준화된 응답: 특정 유형의 모든 알림 (예: 피싱 또는 랜섬웨어)이 조직의 SOP에 따라 처리되도록 합니다.
  • 노이즈 감소: 사전 정의된 로직을 기반으로 충실도가 낮은 알림을 자동으로 필터링하거나 해결합니다.
  • 반복 업무 감소: 데이터 수집, 로그 상관관계 분석, 항목 보강과 같은 시간이 오래 걸리는 작업을 자동화합니다.
  • 실제 에이전트형 자동화: AI 에이전트의 분석 속도와 결정론적 플레이북의 안정성을 결합합니다.
  • 에이전트형 단계: 플레이북은 Vertex AI 통합을 활용하여 Gemini 기반의 선별된 작업 스트림을 빌드하여 조사를 지원할 수 있습니다.

이점: 분류 프로세스를 간소화하고, 일관된 응답을 적용하며, 반복 작업을 줄이고, 분석가가 더 복잡한 위협을 효과적으로 처리할 수 있도록 합니다.

즉각적인 주의가 필요한 시나리오의 예

이 섹션에는 즉각적인 주의가 필요한 시나리오의 예가 포함되어 있습니다.

자동화된 해결 시작

케이스 페이지에 Suspicious PowerShell Execution에 대한 심각 우선순위 알림이 표시됩니다.

연결된 플레이북은 Gemini 분류 에이전트가 실행되어 신뢰도가 높은 True Positive 평결을 반환했으며, 그 결과 플레이북이 호스트 격리 조치를 자동으로 트리거했으며 현재 승인 대기 중이거나 완료되었음을 보여줍니다.

이를 위해서는 에이전트의 발견 항목과 격리 상태를 즉시 검토해야 합니다.

AI 지원 수동 결정

우선순위: 심각 으로 케이스 대기열을 필터링합니다.

케이스를 열면 플레이북이 예/아니요 질문에서 일시중지되어 케이스를 에스컬레이션할지 닫을지 묻는 것을 확인할 수 있습니다.

특정 악성 지표를 인용하는 자세한 근거와 함께 True Positive일 가능성이 매우 높음 이라고 명시된 Gemini 분류 및 조사 에이전트의 요약을 검토합니다.

2단계로 에스컬레이션 을 선택합니다.

문제 해결

지연 시간, 서비스 할당량, 한도

  • 분류 에이전트 할당량: Gemini 분류 및 조사 에이전트는 할당량의 적용을 받으며 일반적으로 테넌트당 시간당 약 10건의 조사 (예: 수동 트리거 5건, 자동 트리거 5건)입니다. 이 한도를 초과하는 알림에는 수동 분류가 필요합니다.

오류 해결

오류 코드 문제 설명 해결
해당 사항 없음 예상되는 긴급 항목이 내 케이스 또는 케이스 대기열에서 누락되었습니다. 관련 감지에 대해 Alerting 규칙이 사용 설정되어 있는지 확인합니다. 케이스가 사용자 또는 역할에 올바르게 할당되었는지 확인하고 제한적인 필터가 대기열에 실수로 적용되지 않았는지 확인합니다.
해당 사항 없음 Gemini 요약이 누락되었습니다. 케이스 월에서 Gemini Investigations 상태를 확인합니다. 할당량에 도달한 경우 에이전트를 트리거할 수 없음을 나타내는 메시지가 표시됩니다.

검증 및 테스트

프로세스가 작동하는지 확인하려면 다음을 확인합니다.

  • 높음 및 심각 알림이 필터를 기반으로 예상대로 표시됩니다.
  • 새 알림에서 플레이북이 트리거됩니다.
  • Gemini 분류 및 조사 에이전트 요약이 예상되는 위치에 있습니다.
  • 케이스는 플레이북 로직 및 분석가 결정을 기반으로 에스컬레이션되거나 닫힙니다.
증상 해결 방법
예상되는 긴급 항목이 내 케이스 또는 케이스 대기열에서 누락되었습니다. 관련 감지에 대해 Alerting 규칙이 사용 설정되어 있는지 확인합니다. 케이스가 사용자 또는 역할에 올바르게 할당되었는지 확인하고 제한적인 필터가 대기열에 실수로 적용되지 않았는지 확인합니다.
Gemini 요약이 누락되었습니다. 케이스 월에서 Gemini Investigations 상태를 확인합니다. 할당량에 도달한 경우 에이전트를 트리거할 수 없음을 나타내는 메시지가 표시됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.