Google Security Operations SOAR 시작하기

Google SecOps SOAR 플랫폼에서 작업을 시작하려면 먼저 문서의 기반을 형성하는 핵심 개념을 이해해야 합니다.

커넥터

커넥터는 Google SecOps SOAR로 알림 을 수집하는 데이터 수집 지점입니다. 기본 목표는 서드 파티 도구의 원시 보안 데이터를 정규화된 Google SecOps SOAR 데이터로 변환하는 것입니다. 커넥터는 서드 파티 도구에서 알림 (또는 이에 상응하는 데이터)을 가져와 데이터 처리 레이어로 전달합니다.

케이스, 알림, 이벤트

• 케이스: 커넥터를 사용하여 다양한 소스에서 수집된 하나 이상의 알림으로 구성된 최상위 컨테이너입니다.
• 알림: 하나 이상의 보안 이벤트가 포함된 보안 알림입니다.
• 엔티티: 인그레스 후 플랫폼은 이러한 이벤트를 분석하고, 이러한 이벤트의 지표 (IOC, 대상, 아티팩트)가 추출되어 엔티티라는 동적 객체로 변환됩니다.

항목 및 온톨로지

엔티티는 알림에서 추출된 관심 지점 (침해 지표[IoC], 사용자 계정, IP 주소)을 나타내는 동적 객체입니다.

엔티티는 다음을 지원하므로 중요합니다.

• 자동 기록 추적
• 수동 개입 없이 관련 알림을 그룹화합니다.
• 관계를 기반으로 악성 활동을 추적합니다.

항목 만들기 (매핑 및 모델링)

플랫폼에서 항목과 연결을 시각적으로 설명하기 위해 매핑과 모델링이 포함된 온톨로지 구성 프로세스가 있습니다. 이 과정에서 알림의 시각적 표현과 알림에서 추출해야 하는 항목을 선택합니다.

Google SecOps SOAR은 가장 인기 있는 SIEM 제품에 대한 기본 온톨로지 규칙을 기본적으로 제공합니다. 자세한 내용은 온톨로지 개요를 참고하세요.

Google SecOps SOAR에서 엔티티 만들기

매핑 및 모델링 프로세스는 케이스 (온톨로지) 내에서 항목이 생성되고 시각적으로 연결되는 방식을 정의합니다. 이 프로세스는 새 알림 유형이 처음 수집될 때 한 번 발생합니다.

• 알림의 시각적 표현과 추출해야 하는 항목을 정의합니다.
• 엔티티가 내부인지 외부인지 (구성에 기반) 또는 악성인지 (플레이북 결과에 기반)와 같은 엔티티 속성을 설정합니다.

Google SecOps SOAR는 가장 인기 있는 SIEM 제품에 기본 온톨로지 규칙을 기본적으로 제공합니다.

매핑 및 모델링에 대한 자세한 내용은 항목 만들기 (매핑 및 모델링)를 참고하세요.

매핑 및 모델링을 사용하여 내부인지 외부인지 또는 악성으로 간주되는지 등 엔티티의 속성을 정의할 수 있습니다. 엔티티의 내부 또는 외부 상태는 플랫폼 설정에 따라 결정됩니다. 악성 상태는 플레이북 내에서 실행되는 제품에 의해 결정됩니다. 매핑 및 모델링의 목적은 데이터의 소스, 타임스탬프, 유형과 같은 주요 세부정보를 지정하는 것입니다.

매핑 및 모델링은 데이터가 처음 수집될 때 한 번 발생합니다. 그런 다음 시스템은 새로 수신되는 모든 케이스에 관련 규칙을 적용합니다. 포함됩니다. 

플레이북

플레이북은 사전 정의된 조건에 의해 트리거될 수 있는 자동화 프로세스입니다. 예를 들어 제품 이름 'Mail'이 포함된 각 알림에 대해 플레이북을 트리거할 수 있습니다. 트리거되면 플레이북이 이 제품에서 Google SecOps SOAR로 수집된 각 알림에 첨부됩니다.

또한 정의된 조건 트리 (흐름)에 따라 일련의 작업을 실행합니다.

• 작업은 알림 엔티티 범위에서 수동 또는 자동으로 실행되도록 구성됩니다.
• 트리거 알림의 최종 해결에 도달할 때까지 정의된 순서로 작업이 실행됩니다.

예를 들어 URL 항목과 같은 특정 항목 유형에서만 자동으로 실행되도록 VirusTotal - Scan URL 작업을 구성할 수 있습니다.

환경

환경은 데이터 분리를 달성하는 데 사용되는 논리적 컨테이너입니다.

• 관리자는 다양한 환경을 정의하고 플랫폼 사용자를 하나 이상의 환경에 할당할 수 있습니다.
• 사용자는 자신이 할당된 환경의 케이스와 관련 정보만 볼 수 있습니다.
• 일부 사용자 역할은 모든 환경에 액세스할 수 있으므로 플랫폼 내의 현재 및 향후 모든 데이터에 대한 전체 액세스 권한이 부여됩니다.