항목 선택

이 문서에서는 Google Security Operations가 수집된 알림에서 엔티티를 추출하고 사용하는 방법을 설명합니다. Google SecOps가 알림을 수집할 때 기본 보안 이벤트도 포함됩니다. 이러한 이벤트는 IP 주소, 사용자 이름, 도메인과 같은 주요 지표를 추출하기 위해 분석되며, 이러한 지표는 엔티티라는 객체로 모델링됩니다. 각 항목에는 자체 속성 집합이 포함됩니다.

엔티티의 속성 보기

1. 케이스 페이지에서 케이스를 선택합니다. 기본 케이스 보기에서 항목은 케이스 개요 및 알림 탭의 항목 정보 섹션에 표시됩니다.
2. 세부정보 보기를 클릭하여 선택한 항목의 모든 속성을 표시하는 측면 패널을 엽니다.
3. 엔티티 이름을 클릭하여 새 탭에서 엔티티 탐색기를 엽니다. 엔티티 탐색기에는 선택한 엔티티와 연결된 모든 케이스가 표시됩니다.

항목 선택 작업

알림이 수집되면 구성된 조건에 따라 플레이북이 자동으로 또는 반자동으로 트리거됩니다. Google SecOps는 이러한 플레이북을 사용하여 알림을 처리하는 방법을 결정합니다.

플레이북 내의 각 작업은 특정 엔티티 그룹에서 작동합니다. 항목 선택 작업을 사용하면 항목 속성을 기반으로 이러한 그룹을 정의할 수 있습니다. 예를 들어 내부 애셋에 맞게 조정된 작업에 사용할 내부 항목만 포함된 그룹을 만들 수 있습니다.

항목 선택 작업을 사용하여 적용하려는 논리에 따라 다양한 그룹을 빌드합니다. 이 메서드를 사용하면 각 작업이 관련 항목에만 작동하도록 할 수 있습니다.

새 항목 그룹 만들기

항목 선택 작업을 사용하여 항목 그룹을 만들려면 다음 단계를 따르세요.

1. 플레이북 페이지로 이동하여 단계 선택 열기를 클릭합니다.
2. 단계 선택 탭에서 작업 > 흐름을 선택합니다.
3. 엔티티 선택을 단계를 여기로 드래그라는 두 번째 상자로 드래그합니다.
4. 항목 선택 상자를 더블클릭하여 새 항목 그룹을 구성합니다.
5. 새 엔티티 그룹을 선택하는 데 필요한 조건을 추가합니다. 예를 들어 VirusTotal v3에 의해 보강되고 10개 이상의 엔진에서 악성으로 표시된 모든 IP 주소 엔티티를 선택합니다.
6. 정의되면 새 엔티티 그룹은 플레이북의 모든 후속 작업에 사용할 수 있습니다.