이 페이지는 Cloud Translation API를 통해 번역되었습니다.

상관관계가 있는 위협 개요

Security Command Center의 상관관계가 지정된 위협 기능을 사용하면 환경에서 심각한 활성 위협을 발견할 수 있습니다. 상관관계가 있는 위협은 관련 위협 발견 항목을 출력하고 이러한 발견 항목에 관한 심층적인 설명을 제공하므로, 이를 사용하여 이러한 위협의 우선순위를 지정하고, 이해하고, 대응할 수 있습니다.

보안팀은 압도적인 수의 위협 발견 결과를 관리하면서 알림 피로감을 느끼는 경우가 많습니다. 이로 인해 응답이 누락되거나 지연될 수 있습니다. 이러한 팀은 악용 후 활동을 식별하기 위해 우선순위가 지정되고 관련성 있는 정보가 신속하게 필요합니다.

상관관계가 지정된 위협은 여러 관련 위협 발견 사항을 문제로 집계하여 도움을 제공합니다. 이 집계를 통해 조치를 취할 수 있는 더 높은 신뢰도의 감지를 제공할 수 있습니다. 상관관계가 있는 위협은 일련의 관련 악성 활동을 나타내는 문제를 생성합니다.

이 기능은 다음과 같은 몇 가지 이점을 제공합니다.

수많은 발견 항목을 심각한 문제로 통합하여 알림 피로를 줄입니다.
여러 신호를 결합하여 감지 충실도를 높여 악의적인 활동을 감지하는 데 대한 신뢰도를 높입니다.
이벤트가 연결되어 완전한 공격 스토리를 형성하는 방법을 보여주는 공격 체인의 시각화를 제공합니다. 이 접근 방식을 사용하면 적의 움직임을 예측하고 손상된 애셋을 빠르게 식별할 수 있습니다.
중요한 위협을 강조 표시하고 명확한 권장사항을 제공하여 대응의 우선순위를 정하고 대응 속도를 높일 수 있습니다.

상관관계가 있는 위협 작동 방식

상관관계가 있는 위협 기능은 규칙 엔진을 사용하여 관련 보안 발견 항목을 식별하고 그룹화합니다.

규칙 엔진은 사전 정의된 상관관계가 지정된 위협 쿼리를 사용하여 보안 그래프를 쿼리합니다. 그런 다음 엔진이 이러한 쿼리 결과를 문제로 변환합니다. Security Command Center는 이러한 위협 문제의 수명 주기를 관리합니다. 숨기거나 비활성으로 표시하지 않으면 첫 번째 위협 발견 항목이 발견된 후 14일 동안 문제가 활성 상태로 유지됩니다. 이 기간은 자동으로 설정되며 구성할 수 없습니다. VM 또는 Google Kubernetes Engine 노드와 같은 기본 리소스가 삭제되면 상관관계가 지정된 위협이 자동으로 해결됩니다.

상관관계가 있는 위협에는 다른 보안 그래프 규칙보다 더 자주 규칙을 실행해야 합니다. 시스템은 위협 규칙을 시간별로 처리합니다. 이 접근 방식은 기존 Security Command Center 감지 소스와 통합됩니다.

상관관계가 있는 위협 규칙

상관관계가 있는 위협은 클라우드 리소스 전반에서 다양한 다단계 공격 패턴을 식별하는 데 도움이 됩니다. 다음과 같은 상관관계가 있는 위협 규칙을 사용할 수 있습니다.

암호화폐 채굴 소프트웨어의 여러 상관관계가 있는 위협 신호: 이 규칙은 Compute Engine VM 및 Google Kubernetes Engine (GKE) 노드 (및 해당 포드)를 비롯한 Google Cloud 가상 머신에서 발생하는 악성 소프트웨어의 여러 개별 신호를 찾습니다.

예를 들면 다음과 같습니다.
- VM 위협 감지에서 암호화폐 프로그램을 감지하고 이벤트 위협 감지에서 동일한 VM의 암호화폐 IP 주소 또는 도메인에 대한 연결을 감지합니다.
- Container Threat Detection은 암호화폐 채굴 스트라텀 프로토콜을 사용하는 프로그램을 감지하고 Event Threat Detection은 동일한 Google Kubernetes Engine 노드에서 암호화폐 채굴 IP 주소로의 연결을 감지합니다.
악성 소프트웨어의 여러 상관관계가 있는 위협 신호: 이 규칙은 Compute Engine VM 및 GKE 노드 (및 해당 포드)를 비롯한Google Cloud 가상 머신에서 발생하는 악성 소프트웨어의 여러 개별 신호를 찾습니다.

예를 들면 다음과 같습니다.
- Container Threat Detection은 동일한 Pod에서 악성 바이너리와 악성 Python 스크립트의 실행을 모두 감지합니다.
- Event Threat Detection은 멀웨어 IP 주소에 대한 연결을 감지하고 VM Threat Detection은 동일한 VM의 디스크에서 멀웨어를 감지합니다.
침해된 GCE 인스턴스로의 잠재적으로 침해된 GCP 계정 측면 이동: 이 규칙은 VM (GKE 노드 포함)을 수정하는 Compute Engine API에 대한 의심스러운 호출의 증거를 찾습니다. 그런 다음 규칙은 해당 활동을 단기간 내에 VM에서 시작된 악성 활동과 연관시킵니다. 이 일반적인 내부 망 내 이동 패턴은 공격자가 사용합니다. 이 규칙은 VM이 손상되었음을 나타낼 수 있습니다. 이 규칙은 Google Cloud 계정 (사용자 또는 서비스 계정)이 악성 활동의 원인일 수 있음을 나타낼 수도 있습니다.

예를 들면 다음과 같습니다.
- Event Threat Detection은 사용자가 Compute Engine 인스턴스에 새 SSH 키를 추가한 것을 감지하고 VM Threat Detection은 동일한 인스턴스에서 실행되는 암호화폐 채굴자를 감지합니다.
- Event Threat Detection은 서비스 계정이 Tor 네트워크에서 Compute Engine API를 사용하여 인스턴스에 액세스한 것을 감지하고, Event Threat Detection은 동일한 인스턴스에서 악성 IP 주소로의 연결을 감지합니다.

상관관계가 있는 위협 조사

상관관계가 지정된 위협은 구조화된 조사 프로세스를 안내합니다. 이 프로세스를 통해 보안 사고를 효과적으로 이해하고 대응할 수 있습니다. 위협 발견 사항 색인을 사용하여 특정 위협 발견 사항에 관한 자세한 정보를 확인할 수 있습니다. 각 발견 항목별 페이지에는 위협을 조사하고 대응하는 방법이 설명되어 있습니다.

리셉션

Security Command Center를 통해 상관관계가 지정된 위협 문제가 표시됩니다. 이 문제는 시스템에서 의심스러운 발견 항목을 여러 개 감지하여 그룹화했음을 나타냅니다. 이 문제는 활성 위협으로 표시되어 있으므로 우선순위가 높다고 인식합니다. 여러 신호의 상관관계는 즉각적인 집중이 필요한 참양성을 나타냅니다. 자세한 내용은 문제 관리 및 해결을 참고하세요.

해체

문제를 열어 파트를 확인합니다. 문제 세부정보 보기에서 섹션을 펼쳐 개별 검색 결과를 확인할 수 있습니다. 예를 들어 유해한 스크립트가 GKE 노드에서 실행된 후 악성 IP 주소에 연결되면 두 이벤트가 함께 표시됩니다. 발견 항목이 발생한 시점, 관련 프로세스, 악성 IP 주소, 감지 출처 등 각 발견 항목의 세부정보를 확인합니다. 이 정보는 이벤트가 관련이 있을 수 있음을 나타내며 공격의 기술적 세부정보를 설명합니다. 시간순 보기는 이벤트의 순서를 보여줍니다. 시스템은 이러한 세부정보를 MITRE ATT&CK 공격 체인 단계에 매핑하고 공격 체인 시각화에 표시합니다. 이 기능을 사용하면 공격 단계에 관한 컨텍스트를 즉시 확인할 수 있습니다.

범위 식별

위협의 정도를 파악합니다. 영향을 받는 애셋과 해당 프로젝트 또는 클러스터 컨텍스트와 같은 상관관계가 있는 이벤트에 관한 컨텍스트 정보를 확인합니다. 플랫폼은 고유 식별자를 사용하여 이벤트를 동일한 노드에 연결함으로써 리소스별로 문제를 상호 연관시킵니다. 영향을 받은 애셋이 표시됩니다. 다른 애셋에도 유사한 징후가 나타나는지 확인합니다. 악성 스크립트를 실행한 서비스 계정이나 사용자 등 관련 ID를 기록합니다. 이 범위가 지정된 보기를 사용하면 영향을 받는 시스템에 집중하고 인시던트가 국지적인지 아니면 광범위한지 확인할 수 있습니다.

다음 작업

시스템은 상관관계가 있는 위협 문제를 심각한 심각도로 표시합니다. 해결 방법 뷰에서 권장 조치를 확인할 수 있습니다. 영향을 받는 GKE 노드를 격리하거나 종료하는 등 영향을 받는 애셋을 포함합니다. 방화벽 또는 클라우드 VPC 수준에서 알려진 악성 IP를 차단하는 등의 권장사항을 따릅니다. 권장 조치를 통해 더 빠르게 대응하고, 사고를 차단하고, 집중적인 조사를 시작할 수 있습니다. 위협에 대한 자세한 내용은 위협 조사 방법을 참고하세요.