시각적 패밀리를 사용하여 보안 이벤트 관계 매핑

다음에서 지원:

Google Security Operations는 여러 일반적인 알림 유형에 적합한 사전 정의된 시각적 패밀리 모음을 제공합니다. 기본 시각적 패밀리에는 모든 항목 유형과 기본 관계가 포함됩니다.

시각적 패밀리는 보안 이벤트의 엔티티 간 관계를 나타내며 주요 행위자와 보안 사고의 흐름을 식별하는 데 도움이 됩니다.

각 시각적 패밀리는 여러 규칙으로 구성됩니다. 각 규칙에는 최대 4개의 소스, 최대 4개의 대상, 연결 유형이 포함됩니다. 소스와 대상 모두 알림과 관련된 항목 유형을 나타내며, 이들 간의 연결은 유형 지정 또는 연결됨입니다.

  • 입력된 연결은 알림 내 기본 항목 (배우)을 연결합니다. 일반적으로 한 항목이 다른 항목 (또는 자체)에서 수행한 작업을 나타내며 화살표가 있는 선으로 표시됩니다. 각 시각적 패밀리에는 하나의 유형이 지정된 연결 규칙이 포함되어야 합니다.
  • 연결된 연결은 호스트 이름과 IP 주소, 이메일과 사용자 이름 등 논리적으로 관련된 두 개 이상의 항목을 연결합니다. 이러한 관계는 점선으로 표시되어 논리적 관계를 나타냅니다.

또한 시각적 제품군은 이벤트에 포함될 수 있는 항목 유형을 정의합니다. 이벤트 필드를 항목에 매핑할 때 허용되는 항목 유형은 해당 이벤트 유형에 할당된 시각적 패밀리에 따라 미리 결정됩니다.

시각적 계열은 특정 유형 또는 제품의 이벤트에 적용되며, 다른 이벤트와 동적으로 집계되어 전체 알림 및 케이스의 시각적 엔티티 그래프를 만듭니다. 이 그래프는 이벤트 구성 > 시각화 페이지 또는 Explore 페이지에서 확인할 수 있습니다.

시각적 계열 정의

다음 단계에 따라 항목 간의 관계와 연결을 보여주는 시각화를 만드세요.

  1. 시각적 계열이 필요한 이벤트를 식별합니다.
  2. 필드를 분류하고 각 항목 유형에 매핑합니다. 이 예시에서는 다음 Suspicious Connection 이벤트를 사용합니다. 
        {
  "name": "Suspicious Connection", 
  "product": "SecOps", 
  "event_type": "Suspicious connection", 
  "hostname": "USER_PC", 
  "process_sha256": "6857fee8812490499164bb7efb7f457d038e82140bb1fa0adbd0dc018e404f84", 
  "process_name": "notepad.exe", 
  "destination_domain": "google.com",
  "destination_ip_address": "8.8.8.8" 
}
  3. 다음과 같이 이벤트 필드를 특정 항목 유형으로 분류합니다.
    필드 항목 유형
    hostname SourceHostName
    process_name SourceProcessName
    process_sha256 FileHash
    destination_domain DestinationDomain
    destination_ip_address DestinationAddress
  4. 설정 > 온톨로지 > 시각적 패밀리로 이동합니다.
  5. 추가 추가를 선택하고 이름과 설명을 입력합니다.
  6. 기본 작업을 식별하여 필수 유형 연결 규칙을 정의합니다. 이 예에서는 프로세스에서 도메인에 대한 연결을 만들었으므로 process 항목이 소스이고 domain 항목이 대상입니다.
  7. 연결된 연결 규칙을 사용하여 논리적으로 관련된 항목을 정의합니다. 동일한 이벤트 예시를 사용하여 다음과 같은 여러 관계를 관찰할 수 있습니다.
    • SourceProcessName이(가) SourceHostName에서 실행되었습니다.
    • SourceProcessName 해시는 FileHash 항목입니다.
    • DestinationDomainDestinationAddress은 프로세스 대상을 나타냅니다.
  8. 시각적 계열을 저장합니다. 저장한 후 설정 > 온톨로지 > 시각적 계열 표에 시각적 계열을 나타내는 이미지를 추가할 수 있습니다(선택사항).

플로팅 항목

플로팅 항목은 다른 항목과의 연결 없이 그래프 시각화에 표시되는 항목입니다. 이러한 현상은 몇 가지 주요 이유로 발생할 수 있으며, 그 이유를 이해하는 것은 효과적인 데이터 분석 및 시각화에 매우 중요합니다.

  • 시각적 패밀리에 연결 규칙이 누락됨: 이벤트가 표시되는 방식을 정의하는 시각적 패밀리에 플로팅 항목 유형을 이벤트 내 기존 항목 유형에 연결하는 규칙이 없을 수 있습니다. 예를 들어 사용자 항목이 정의되어 있지만 '파일 액세스' 이벤트에서 파일 항목에 연결되어야 한다는 규칙이 없습니다.
  • 불완전한 이벤트 데이터: 이벤트 데이터 자체에 링크를 만드는 데 필요한 정보가 누락되었을 수 있습니다. 예를 들어 네트워크 연결 이벤트에 대상 IP 주소가 없어 호스트 엔티티에 연결되지 않을 수 있습니다.
  • 고립된 항목: 항목이 생성되었지만 다른 이벤트에서 참조되지 않아 '고립'될 수 있습니다. 예를 들어 새 사용자 계정이 생성되었지만 아직 연결할 이벤트를 생성하는 작업을 수행하지 않았습니다.

떠 있는 항목을 해결하려면 다음 작업을 수행하세요.

  • 시각적 가족 검토: 시각적 가족에 엔티티 유형을 연결하는 데 필요한 규칙이 있는지 확인합니다. 그렇지 않은 경우 관계를 설정하기 위해 새 규칙을 만들어야 할 수도 있습니다.
  • 원시 이벤트 데이터 검사: 이벤트의 원시 데이터를 검사하여 매핑에 필요한 필드 (예: 소스 IP, 대상 포트, 사용자 ID)가 있는지 확인합니다.
  • 필드 매핑 조정: 데이터가 있지만 올바르게 매핑되지 않는 경우 필드 매핑을 조정하여 올바른 이벤트 필드가 항목 속성에 입력되도록 합니다.

엔티티를 만들고 (매핑 및 모델링) 매핑을 구성하고 시각적 계열을 할당하는 방법을 자세히 알아보세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.