분류 및 조사 에이전트를 사용하여 알림 조사
분류 및 조사 에이전트 (TIN)는 Google Security Operations에 내장된 AI 기반 조사 어시스턴트입니다. 알림이 참양성인지 거짓양성인지 확인한 후 평가에 대한 요약 설명을 제공합니다.
TIN은 Mandiant 원칙과 업계 권장사항을 사용하여 Google SecOps의 알림을 분석합니다. 수신 알림을 평가하고, 조사 계획을 실행하며, 발견 항목과 추론을 모두 포함하는 구조화된 분석을 제공합니다.
에이전트 사용에 필요한 IAM 권한 목록은 분류 및 조사 에이전트 (TIN)를 참고하세요.
조사 도구
에이전트는 다음과 같은 기본 제공 도구를 사용하여 분석을 완료합니다.
동적 검색어: SecOps에서 검색을 실행하고 구체화하여 알림에 대한 추가 컨텍스트를 수집합니다.
GTI 보강: 도메인, URL, 해시를 비롯한 Google Threat Intelligence (GTI) 데이터로 IoC를 보강합니다.
명령줄 분석: 명령줄을 분석하여 작업을 자연어로 설명합니다.
프로세스 트리 재구성: 알림의 프로세스를 분석하여 관련 시스템 활동의 전체 시퀀스를 표시합니다.
TIN 트리거
TIN은 자동 또는 수동으로 트리거할 수 있습니다. 각 조사는 일반적으로 평균 60초 이내에 완료되며 최대 20분 동안 실행됩니다. 조사 대기열은 없습니다. 에이전트는 한도를 초과하여 생성된 알림을 자동으로 분석하지 않습니다.
무료 체험판 사용량 한도
모든 Google SecOps Enterprise, Enterprise Plus, Google Unified Security 고객은 2026년 4월 1일부터 2026년 6월 30일까지 TIN 무료 체험판을 이용할 수 있습니다.
무료 체험 기간 중 조직의 사용량에는 다음과 같은 한도가 적용됩니다.
| 고객 등급 | 총 시간당 한도 | 한도 세부정보 |
|---|---|---|
| Enterprise | 조사 10건 | 시간당 최대 5건의 자동 조사 및 5건의 수동 조사 자동 조사가 사용 중지된 경우 시간당 최대 5건의 수동 조사를 실행할 수 있습니다. |
| Enterprise Plus 또는 Google Unified Security | 조사 20건 | 시간당 최대 10건의 자동 조사 및 10건의 수동 조사 자동 조사가 사용 중지된 경우 시간당 최대 10건의 수동 조사를 실행할 수 있습니다. |
사용하지 않은 자동 조사 용량은 수동 조사로 이전되지 않습니다. 조직이 시간당 한도에 도달하면 할당량이 재설정될 때까지 다음 시간까지 기다려야 합니다.
대부분의 조사는 약 60초 이내에 완료되며 최대 20분 동안 실행될 수 있습니다. TIN은 조사를 대기열에 추가하지 않습니다. 시간당 할당량에 도달하면 에이전트가 조사를 시작하지 않습니다.
무료 체험판에 대한 자세한 내용은 에이전트 기반 SOC 체험판 세부정보를 참고하세요.
한도보다 더 많은 용량이 필요한 경우 Google SecOps 고객 엔지니어에게 문의하여 할당량 증가에 대해 논의하세요.
자동 조사 설정
필요한 관리자 권한이 있고 에이전트를 선택한 경우 자동 조사가 기본적으로 사용 설정됩니다. 이 설정을 확인하거나 수정하려면 설정 > SIEM 설정 > Gemini 조사로 이동합니다.
사용 설정되면 에이전트는 기본 설정을 사용하여 기본적으로 지원되는 모든 로그 유형을 조사합니다. 조사 시점과 필터 기준을 맞춤설정하여 조사할 알림을 제어할 수 있습니다.
조사 시점
알림이 생성된 후 조사가 시작되는 시점을 구성할 수 있습니다. 기본적으로 조사는 아직 도착 중이며 상관관계가 필요한 이벤트를 고려하기 위해 알림이 생성된 후 5분 후에 시작됩니다.
설정 패널의 목록에서 이 지연 시간을 최대 20분으로 변경할 수 있습니다.
조사 기준
특정 알림에 대해서만 자동 조사를 트리거하는 맞춤 기준을 정의할 수 있습니다. 맞춤 기준이 정의되지 않은 경우 에이전트는 기본적으로 지원되는 로그 유형에 나열된 지원되는 로그 유형과 일치하는 모든 알림을 조사합니다.
맞춤 자동 조사 설정을 만들려면 다음 단계를 따르세요.
- add를 클릭합니다.
- 목록에서 UDM 필드를 선택합니다. 지원되는 필드는 다음과 같습니다.
detection.rule_iddetection.rule_nameudm.metadata.event_typeudm.metadata.log_typeudm.metadata.product_event_typeudm.metadata.product_nameudm.metadata.vendor_nameudm.about.entity_metadata.product_nameudm.principal.user.userid
- 필드를 평가할 연산자 (
=또는!=)를 선택합니다. - 필드의 값을 입력하거나 선택합니다. 목록의 값은 환경에서 관찰된 값을 기반으로 합니다.
- 논리 연산자 (
AND또는OR)를 사용하여 여러 기준을 결합합니다. - 저장 을 클릭하여 설정을 적용합니다.
기본적으로 지원되는 로그 유형
에이전트는 다음 metadata.log_type 값이 있는 이벤트를 포함하는 알림에 대한 자동 조사를 지원합니다.
| 소스 | metadata.log_type 값 |
|---|---|
| Amazon |
|
| Cisco |
|
| CrowdStrike |
|
| Fortinet |
|
|
|
| Microsoft |
|
| Okta |
|
| 기타 |
|
수동 조사
조사를 수동으로 실행하려면 다음 단계를 따르세요.
Google SecOps에서 알림 및 IOC 페이지로 이동합니다.
알림을 선택하고 조사 실행 을 클릭합니다.
케이스 내에서 직접 조사 결과를 볼 수도 있습니다. 테넌트에 TIN이 사용 설정된 경우 조사가 완료되면 결과가 케이스 요약 콘텐츠에 통합됩니다.
조사가 실행되는 동안 배너에 진행률이 표시됩니다. 완료되면 배너에 판결 요약이 표시됩니다. 배너에서 조사 보기 를 클릭하여 분석을 검토합니다.
조사로 이동
Google SecOps의 어느 곳에서나 과거 조사 또는 진행 중인 조사에 액세스할 수 있습니다.
Google SecOps 인터페이스에서
를 클릭합니다.탐색 패널에서
를 클릭합니다.조사 목록 옆에 있는 keyboard_arrow_down을 클릭하여 패널을 펼칩니다.
목록에서 항목을 선택하여 조사 결과를 엽니다.
각 조사 항목에는 알림 이름, 완료 시간, Gemini 조사 요약이 포함됩니다. 동일한 알림이 여러 번 조사되는 경우 각 조사가 조사 목록에 별도의 항목으로 표시됩니다.
조사 검토
각 조사는 Gemini의 분석, 추론, 사용된 지원 데이터를 요약하는 세부정보 뷰에서 열립니다.
이 뷰에는 다음과 같은 구성요소가 있습니다.
요약
패널 상단의 Gemini의 요약 섹션에는 알림과 조사 결과에 대한 간략한 설명이 제공됩니다.
요약에는 다음 정보가 포함됩니다.
- 처리: Gemini가 알림을 참양성 또는 거짓양성으로 판단했는지 나타냅니다.
- 신뢰도 수준: Gemini가 평가에 대해 갖는 신뢰도를 설명합니다. 이 평가는 알림과 사용 가능한 조사 데이터를 기반으로 합니다.
- 요약 설명: 알림과 Gemini가 결론에 도달한 방법을 설명합니다.
조사 타임라인
TIN 조사는 원시 알림을 실행 가능한 인텔리전스로 변환하도록 설계된 구조화된 다단계 타임라인을 따릅니다. 이러한 중간 단계는 주로 에이전트가 컨텍스트를 빌드하고 분석을 구체화하는 데 사용되지만 웹 인터페이스의 조사 타임라인 내에서도 표시되므로 보안 분석가가 에이전트의 조사 진행 상황을 명확하게 파악할 수 있습니다.
초기 평가 및 위험 우선순위 지정
조사는 기준 컨텍스트를 설정하기 위해 알림을 즉시 평가하는 것으로 시작됩니다. 이 단계에서 에이전트는 알림 세부정보와 메타데이터를 자동으로 분석하여 신뢰도가 높은 정상 활동을 식별합니다. 알림이 위험도가 낮은 것으로 분류되면 에이전트가 조사를 종료합니다.
상황별 보강 및 증거 수집
에이전트는 내부 및 외부 인텔리전스를 활용하여 의심스러운 활동에 대한 포괄적인 그림을 빌드하기 위해 여러 병렬 분석 단계를 실행합니다.
Google Threat Intelligence (GTI) 보강: Google Threat Intelligence 및 VirusTotal에 대해 파일 해시, IP 주소, 도메인과 같은 침해 지표 (IoC)를 식별하고 평가하여 알려진 악성 항목을 식별합니다.
항목 컨텍스트 그래프 (ECG) 분석: 항목이 처음 또는 마지막으로 확인된 시점과 같은 발생률 데이터를 가져와 더 심층적인 환경 컨텍스트를 제공하고 항목 간의 관계를 분석합니다.
네트워크 컨텍스트 수집: 대상 검색을 실행하여 의심스러운 패턴을 식별함으로써 네트워크 트래픽과 관련된 추가 컨텍스트를 추출합니다.
케이스 메타데이터 통합: 알림이 속한 케이스에서 더 넓은 컨텍스트를 가져와 태그 및 우선순위와 같은 메타데이터를 조사에 통합합니다.
프로세스 트리 구성: 시스템 프로세스의 실행 계층 구조를 구성하여 분석가가 의심스러운 작업이 정확히 어떻게 시작되었고 후속 작업이 무엇인지 파악할 수 있도록 합니다.
적응형 조사
에이전트는 이전 조사 단계의 결과를 기반으로 다음 조치를 동적으로 결정합니다.
결과 평가: 이전 단계에서 수집된 정보를 평가하여 잠재적인 격차 또는 새로운 조사 방법을 식별합니다.
심층 조사 실행: GTI 보강, ECG 분석, 고급 명령줄 분석 또는 대상 검색과 같은 특수 도구를 반복적으로 생성하고 실행하여 숨겨진 위협을 찾아냅니다.
알림 보기 또는 조사 다시 실행
조사 패널을 사용하면 다음 작업을 실행할 수 있습니다.
- 알림 보기: Google SecOps SIEM 뷰에서 알림 세부정보를 엽니다.
- 조사 다시 실행: 동일한 알림에 대한 분석을 다시 실행합니다.
권장 후속 조치
모든 조사에서 Gemini는 추가 조사 단계를 제공합니다. 이러한 단계에서는 분석가가 탐색할 추가 작업 또는 데이터 소스를 추천합니다.
에이전트가 업데이트되면 이러한 추천이 수정 안내를 포함하도록 확장될 수 있습니다.
의견
각 조사에는 thumb_up 좋아요 및 thumb_down 싫어요 아이콘 이 포함되어 있습니다. Gemini의 위협 분류를 구체화하는 데 도움이 되므로 심각도 판결에 의견을 집중하세요.
대시보드의 TIN 측정항목
Google SecOps는 TIN 운영 데이터를 대시보드에 통합합니다. 이를 통해 조사 볼륨, 에이전트 성능, 사용자 의견을 모니터링할 수 있습니다. 이러한 측정항목을 사용하면 청구 목적으로 보안 토큰 소비를 명확하게 모니터링하고 에이전트가 제공하는 가치를 평가할 수 있습니다.
자세한 내용은 대시보드로 분류 및 조사 에이전트 (TIN) 성능 모니터링을 참고하세요.
Cloud 감사 로깅
TIN의 감사 로깅을 사용 설정하려면 다음 단계를 따르세요.
- Google Google Cloud console에서 IAM > 감사 로깅으로 이동합니다.
- Chronicle API 를 검색합니다.
- Chronicle API 패널의 권한 유형 탭에서 관리자 읽기 체크박스를 선택합니다.
감사 로그 보기
감사 로그를 보려면 다음 단계를 따르세요.
Google Google Cloud console에서 Monitoring > 로그 탐색기 로 이동합니다.
보려는 로그를 검색합니다.
모든 Google SecOps 감사 로그를 보려면
protoPayload.serviceName: "chronicle.googleapis.com"을 검색합니다.TIN 로그만 보려면 관련 메서드를 검색합니다.
예를 들어
protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation"및protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation"입니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.