Triage Agent를 사용하여 경보 조사

다음에서 지원:

분류 에이전트는 Google Security Operations에 삽입된 AI 기반 조사 어시스턴트입니다. 알림이 참양성인지 거짓양성인지 확인한 다음 평가에 대한 요약된 설명을 제공합니다.

분류 에이전트는 Mandiant 원칙과 업계 권장사항을 사용하여 Google SecOps의 알림을 분석합니다. 들어오는 알림을 평가하고, 조사 계획을 실행하고, 발견한 내용과 추론을 모두 포함하는 구조화된 분석을 제공합니다.

심사 에이전트 사용에 필요한 IAM 권한 목록은 심사 에이전트를 참고하세요.

조사 도구

에이전트는 다음 내장 도구를 사용하여 분석을 완료합니다.

  • 동적 검색어: SecOps에서 검색을 실행하고 개선하여 알림에 대한 추가 컨텍스트를 수집합니다.

  • GTI 보강: 도메인, URL, 해시를 비롯한 Google Threat Intelligence (GTI) 데이터로 IoC를 보강합니다.

  • 명령줄 분석: 명령줄을 분석하여 자연어로 작업을 설명합니다.

  • 프로세스 트리 재구성: 알림의 프로세스를 분석하여 관련 시스템 활동의 전체 시퀀스를 표시합니다.

분류 에이전트 트리거

선별 에이전트는 자동으로 또는 수동으로 트리거할 수 있습니다. 각 테넌트는 시간당 최대 10개의 조사 (수동 5개, 자동 5개)를 실행할 수 있습니다. 각 조사는 일반적으로 3~5분 내에 완료되며 최대 20분 동안 실행됩니다. 조사 대기열이 없습니다. 분류 에이전트는 한도를 초과하여 생성된 알림을 자동으로 분석하지 않습니다.

자동 조사

에이전트는 관련 metadata.log_type 값이 있는 이벤트가 포함된 알림을 자동으로 조사합니다.

다음 표에는 지원되는 metadata.log_type 값과 소스가 나와 있습니다.

소스 metadata.log_type
Amazon 
AWS_CLOUDTRAIL, AWS_IAM, AWS_NETWORK_FIREWALL,
AWS_VPC_FLOW, ELASTIC_EDR
Cisco 
CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI
CrowdStrike 
CROWDSTRIKE_IOC, CS_ALERTS, CS_CEF_EDR, CS_DETECTS, CS_EDR, CS_IDP
Fortinet 
FORTINET_FIREWALL, FORTINET_FORTIEDR, FORTINET_WEBPROXY
Google 
GCP_CLOUDAUDIT, GCP_CLOUDIDENTITY_DEVICES, GCP_CLOUDIDENTITY_DEVICEUSERS, GCP_DNS, GCP_NGFW_ENTERPRISE, GCP_VPC_FLOW, WORKSPACE_ACTIVITY, WORKSPACE_ALERTS, WORKSPACE_USERS
Microsoft 
ADFS, AZURE_AD, AZURE_AD_AUDIT, AZURE_AD_CONTEXT, AZURE_AD_SIGNIN, AZURE_FIREWALL, AZURE_NSG_FLOW, GITHUB, MICROSOFT_DEFENDER_ATP, MICROSOFT_DEFENDER_ENDPOINT, MICROSOFT_DEFENDER_ENDPOINT_IOS, MICROSOFT_DEFENDER_IDENTITY, MICROSOFT_GRAPH_ALERT, OFFICE_365, SENTINELONE_ACTIVITY, SENTINELONE_ALERT, SENTINELONE_CF, SENTINEL_DV, SENTINEL_EDR, WINDOWS_AD, WINDOWS_DEFENDER_ATP, WINDOWS_DEFENDER_AV, WINDOWS_DHCP, WINDOWS_DNS, WINDOWS_FIREWALL, WINDOWS_SYSMON, WINEVTLOG
Okta 
OKTA, OKTA_ACCESS_GATEWAY, OKTA_USER_CONTEXT
기타 
BARRACUDA_FIREWALL, BOX, BRO_DNS, CB_APP_CONTROL, CB_DEFENSE, CB_EDR, CHECKPOINT_EDR, CHECKPOINT_FIREWALL, CLOUDFLARE_WAF, CYBERARK_EPM, CYBEREASON_EDR, DUO_AUTH, DUO_USER_CONTEXT, F5_AFM, F5_ASM, F5_BIGIP_LTM, FIREEYE_HX, FIREEYE_NX, FORCEPOINT_FIREWALL, INFOBLOX_DNS, JUNIPER_FIREWALL, KEYCLOAK, LIMACHARLIE_EDR, MALWAREBYTES_EDR, MCAFEE_EDR, NETFILTER_IPTABLES, ONELOGIN_SSO, ONE_IDENTITY_IDENTITY_MANAGER, OPENSSH, PAN_FIREWALL, PING, SALESFORCE, SEP, SOPHOS_EDR, SOPHOS_FIREWALL, SQUID_WEBPROXY, SURICATA_EVE, SURICATA_IDS, SYMANTEC_EDR, TANIUM_EDR, TANIUM_THREAT_RESPONSE, TRENDMICRO_EDR, UMBRELLA_DNS, UMBRELLA_FIREwall, UMBRELLA_WEBPROXY, ZEEK, ZSCALER_FIREWALL, ZSCALER_WEBPROXY.

수동 조사

조사를 수동으로 실행하려면 다음 단계를 따르세요.

  1. Google SecOps에서 알림 및 IoC 페이지로 이동합니다.

  2. 알림을 선택하고 조사 실행을 클릭합니다.

    케이스의 알림으로 이동하여 조사를 실행할 수도 있습니다. 프로세스가 완료되면 배너가 조사 보기로 업데이트됩니다. 이 배너를 클릭하여 조사 세부정보를 확인할 수 있습니다.

Google SecOps의 어느 곳에서나 이전 조사 또는 진행 중인 조사에 액세스할 수 있습니다.

  1. Google SecOps 인터페이스에서 Gemini 조사용 반짝이 아이콘를 클릭합니다.

  2. 탐색 패널에서 Gemini 조사 열기 버튼을 클릭합니다.

  3. 조사 목록 옆에 있는 keyboard_arrow_down을 클릭하여 패널을 펼칩니다.

  4. 목록에서 항목을 선택하여 조사 결과를 엽니다.

각 조사 항목에는 알림 이름, 완료 시간, Gemini 조사 요약이 포함됩니다. 동일한 알림을 여러 번 조사하는 경우 각 조사가 조사 목록에 별도의 항목으로 표시됩니다.

조사 검토

각 조사 결과는 Gemini의 분석, 추론, 사용된 지원 데이터를 요약하는 세부정보 보기에서 열립니다.

이 뷰에는 다음 구성요소가 있습니다.

요약

패널 상단의 Gemini 요약 섹션에는 알림과 조사 결과에 대한 간략한 설명이 제공됩니다.

요약에서는 다음 정보를 제공합니다.

  • 처분: Gemini가 알림을 참양성 또는 거짓양성으로 판단했는지 나타냅니다.
  • 신뢰도 수준: 평가에 대한 Gemini의 신뢰도를 설명합니다. 이 평가는 알림과 사용 가능한 조사 데이터를 기반으로 합니다.
  • 요약 설명: 알림과 Gemini가 결론에 도달한 방법을 설명합니다.

조사 타임라인

요약 후에는 조사 타임라인에 상담사가 수행하는 분석 단계를 각각 나타내는 카드가 표시됩니다.

각 카드에는 다음이 포함됩니다.

  • 분석 활동을 설명하는 제목
  • Gemini의 검색 결과와 분석을 요약한 본문
  • Gemini가 단계에 사용한 데이터의 소스 링크 (예: GTI 결과 또는 검색어)

알림 보기 또는 조사 다시 실행

조사 패널을 사용하면 다음 작업을 수행할 수 있습니다.

  • 알림 보기: Google SecOps SIEM 보기에서 알림 세부정보를 엽니다.
  • 조사 다시 실행: 동일한 알림에 대한 분석을 다시 실행합니다.

추천하는 다음 단계

모든 조사에 대해 Gemini는 추가 조사 단계를 제공합니다. 이 단계에서는 분석가가 살펴볼 수 있는 추가 작업 또는 데이터 소스를 추천합니다.

에이전트가 업데이트되면 이러한 제안이 수정 안내를 포함하도록 확장될 수 있습니다.

의견 보내기

각 조사에는 의견을 수집하기 위한 thumb_up 좋아요 thumb_down 싫어요 아이콘이 포함됩니다. Gemini의 위협 분류를 개선하는 데 도움이 되므로 심각도 평결에 의견을 집중하세요.

Cloud 감사 로깅

Triage Agent의 감사 로깅을 사용 설정하려면 다음 단계를 따르세요.

  1. Google Google Cloud 콘솔에서 IAM > 감사 로깅으로 이동합니다.
  2. Chronicle API를 검색합니다.
  3. Chronicle API 패널의 권한 유형 탭에서 관리자 읽기 체크박스를 선택합니다.

감사 로그 보기

감사 로그를 보려면 다음 단계를 따르세요.

  1. Google Google Cloud 콘솔에서 모니터링 > 로그 탐색기로 이동합니다.

  2. 보려는 로그를 검색합니다.

    • 모든 Google SecOps 감사 로그를 보려면 protoPayload.serviceName: "chronicle.googleapis.com"를 검색하세요.

    • Triage Agent 로그만 보려면 관련 메서드를 검색하세요.

      예로 protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation"protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"가 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.