Google 알림 센터와 Google SecOps 통합

이 문서에서는 Google 알림 센터를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 8.0

Google SecOps 플랫폼에서 알림 센터 통합은 Google 알림 센터라고 합니다.

사용 사례

알림 센터를 Google SecOps와 통합하면 다음 사용 사례를 해결하는 데 도움이 됩니다.

  • 피싱 캠페인 감지: Google SecOps 기능을 사용하여 조직을 타겟팅하는 잠재적 피싱 이메일에 관한 알림 센터 알림을 수집합니다. Google SecOps는 이메일을 조사하고, 악성 URL을 차단하고, 영향을 받는 사용자 계정을 격리하는 자동화된 워크플로를 트리거할 수 있습니다.

  • 데이터 유출 시도: Google SecOps 기능을 사용하여 자동화된 사고 대응을 트리거하고, 영향을 받는 시스템을 격리하고, 악성 행위자를 차단하고, 포렌식 분석을 시작합니다.

  • 멀웨어 감지: Google SecOps 기능을 사용하여 감염된 기기를 격리하고, 멀웨어 검사를 시작하고, 패치를 배포합니다.

  • 취약점 식별: Google SecOps 기능을 사용하여 조직의 시스템에 영향을 미치는 새로 발견된 취약점에 관한 알림을 자동으로 처리하고, 패치 작업을 우선순위로 지정하고, 취약점 검사를 시작하고, 관련 팀에 알립니다.

시작하기 전에

Google 알림 센터 통합을 구성하기 전에 다음을 준비하세요.

  1. 필요한 API를 사용 설정합니다.
  2. 서비스 계정 및 사용자 인증 정보 만들기
  3. 서비스 계정에 Alert Center Viewer 역할 할당
  4. 서비스 계정에 도메인 전체 권한을 위임합니다.

Google Workspace Alert Center API 사용 설정

Google Workspace Alert Center API를 사용 설정하려면 Google Cloud 콘솔의 프로젝트 내에서 사용 설정해야 합니다.

  1. API 및 서비스 > 라이브러리로 이동합니다.

  2. Google Workspace Alert Center API를 검색하여 선택합니다.

  3. 사용 설정을 클릭합니다.

서비스 계정 만들기

통합에서 Google 알림 센터 데이터에 안전하게 액세스하도록 허용하려면 Google Cloud 콘솔에서 서비스 계정을 만들어 통합의 ID로 사용해야 합니다.

서비스 계정 만들기에 관한 안내는 서비스 계정 만들기를 참고하세요.

서비스 계정 JSON 키 만들기

JSON 키를 만들려면 다음 단계를 완료하세요.

  1. 만든 서비스 계정을 선택하고 로 이동합니다.

  2. 키 추가 > 새 키 만들기를 클릭합니다.

  3. 키 유형으로 JSON을 선택하고 만들기를 클릭합니다. 비공개 키가 컴퓨터에 자동으로 다운로드되고 키를 안전하게 저장하라는 확인 대화상자가 표시됩니다.

  4. JSON 파일 내에서 client_id을 찾아 서비스 계정에 도메인 전체 권한을 위임할 때 나중에 사용할 수 있도록 복사합니다.

서비스 계정에 알림 센터 뷰어 역할 할당

  1. Google Cloud 콘솔에서 IAM 및 관리자 > IAM으로 이동합니다.

  2. 목록에서 서비스 계정을 찾아 이름 옆에 있는 수정을 클릭합니다.

  3. 역할 메뉴에서 Alert Center Viewer 역할을 추가합니다.

  4. 변경사항을 저장합니다.

서비스 계정에 도메인 전체 권한 위임

서비스 계정이 사용자 데이터에 액세스하도록 허용하려면 Google 관리 콘솔에서 서비스 계정에 도메인 전체 권한을 부여해야 합니다.

  1. 도메인의 Google 관리 콘솔에서 기본 메뉴 > 보안 > 액세스 및 데이터 컨트롤 > API 컨트롤로 이동합니다.

  2. 도메인 전체 위임 창에서 도메인 전체 위임 관리를 선택합니다.

  3. 새로 추가를 클릭합니다.

  4. 클라이언트 ID 필드에 생성한 JSON 키 (client_id)에서 찾은 클라이언트 ID를 입력합니다.

  5. OAuth 범위 필드에 다음 범위를 입력합니다.

    https://www.googleapis.com/auth/apps.alerts

  6. 승인을 클릭합니다.

Google SecOps에서 알림 센터 통합 구성

통합에는 다음 매개변수가 필요합니다.

매개변수 설명
Service Account JSON Secret 필수

인증을 위해 알림 센터에 사용한 서비스 계정 파일의 전체 JSON 콘텐츠입니다.
Impersonation Email Address 필수

알림 센터에 액세스할 수 있는 사용자를 가장할 이메일 주소입니다. 이 매개변수를 구성하려면 관리자 이메일 주소를 입력합니다. 알림 센터의 데이터는 관리자만 사용할 수 있습니다.
Verify SSL 선택사항

선택하면 통합에서 알림 센터에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되어 있습니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스 구성 및 지원에 대한 자세한 내용은 다중 인스턴스 지원을 참고하세요.

작업

작업에 관한 자세한 내용은 Workdesk의 대기 중인 작업에 응답수동 작업 실행을 참고하세요.

알림 삭제

알림 센터에서 알림을 삭제하려면 알림 삭제 작업을 사용하세요.

알림을 삭제한 후 30일 동안 복구할 수 있습니다. 30일이 지난 알림은 복구할 수 없습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

알림 삭제 작업에는 다음 매개변수가 필요합니다.

매개변수 설명
Alert ID 필수

삭제할 알림의 ID입니다.

작업 출력

알림 삭제 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

알림 삭제 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully deleted alert with ID RECORD_ID in the alert center.

Alert with ID RECORD_ID doesn't exist in the alert center.

 작업이 완료되었습니다.
Error executing action "Delete Alert". Reason: ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 알림 삭제 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

Ping 작업을 사용하여 알림 센터와의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형 가용성
케이스 월 연결 사용할 수 없음
케이스 월 링크 사용할 수 없음
케이스 월 테이블 사용할 수 없음
보강 테이블 사용할 수 없음
JSON 결과 사용할 수 없음
출력 메시지 사용 가능
스크립트 결과 사용 가능
출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명
Successfully connected to the alert center server with the provided connection parameters! 작업이 완료되었습니다.
Failed to connect to the alert center server! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.
스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름
is_success True 또는 False

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 데이터 수집(커넥터)을 참고하세요.

Google 알림 센터 - 알림 커넥터

Google 알림 센터 - 알림 커넥터를 사용하여 알림 센터의 알림에 관한 정보를 가져옵니다.

동적 목록 필터는 type 매개변수와 함께 작동합니다.

Google Alert Center – Alerts Connector에는 다음 매개변수가 필요합니다.

매개변수 설명
Product Field Name 필수

제품 이름이 저장된 필드의 이름입니다.

기본값은 source입니다.
Event Field Name 필수

이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.

기본값은 type입니다.
Environment Field Name 선택사항

환경 이름이 저장된 필드의 이름입니다.

환경 필드를 찾을 수 없으면 환경이 기본 환경으로 설정됩니다.

기본값은 ""입니다.
Environment Regex Pattern 선택사항

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
PythonProcessTimeout 필수

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.

기본값은 180입니다.
Service Account JSON Secret 필수

인증을 위해 알림 센터에 사용한 서비스 계정 파일의 전체 JSON 콘텐츠입니다.
Impersonation Email Address 필수

알림 센터에 액세스할 수 있는 사용자를 가장할 이메일 주소입니다. 이 매개변수를 구성하려면 관리자 이메일 주소를 입력합니다. 알림 센터의 데이터는 관리자만 사용할 수 있습니다.
Verify SSL 선택사항

선택하면 통합에서 알림 센터에 연결하는 데 사용되는 SSL 인증서가 유효한지 확인합니다.

기본적으로 선택되어 있습니다.
Max Hours Backwards 선택사항

첫 번째 커넥터 반복 전에 응답을 가져올 시간입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용됩니다.

기본값은 1시간입니다.
Max Alerts To Fetch 선택사항

커넥터 반복마다 가져올 최대 알림 수입니다.

최대 개수는 100개입니다.
Lowest Severity To Fetch 선택사항

가져올 알림의 가장 낮은 심각도입니다.
Use whitelist as a blacklist 선택사항

선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다.

기본적으로 선택되지 않습니다.
Proxy Server Address 선택사항

사용할 프록시 서버의 주소입니다.
Proxy Username 선택사항

인증할 프록시 사용자 이름입니다.
Proxy Password 선택사항

인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.