케이스로 발견 항목 그룹화

이 문서에서는 발견 사항을 케이스로 그룹화하는 방법을 설명합니다.

이 단계는 보안 운영 콘솔 페이지를 사용하여 수행됩니다. Google Cloud 콘솔에서 이러한 페이지를 열려면 설정 > SOAR 설정으로 이동합니다.

개요

발견 항목 그룹화 메커니즘은 수집된 발견 항목을 케이스로 자동으로 그룹화합니다. 기본적으로 이 그룹화 메커니즘은 한 케이스에 있는 모든 발견 항목이 다음과 같은 동일 항목에 속하도록 보장합니다.

  • 리소스 소유자
  • Google Cloud 프로젝트
  • AWS 계정
  • 애셋 유형
  • 카테고리
  • 심각도 수준

그룹화 설정 구성

수집된 모든 발견 항목에 적용 가능한 기본 그룹화 설정을 구성하려면 다음 단계를 수행합니다.

  1. 보안 운영 콘솔에서 설정 > 수집 > 커넥터로 이동합니다.

  2. SCC 엔터프라이즈 - 긴급 상황 발견 항목 커넥터를 선택합니다.

  3. 그룹화 메커니즘을 맞춤설정하고 특정 그룹화 옵션을 사용 중지하려면 하나 이상의 다음 파라미터에 대해 체크박스를 해제합니다.

    • Group by AWS Account
    • Group by GCP Project
    • Group by Severity
    • Group by Asset Type

기본적으로 수집된 발견 항목에 다음 그룹화 설정이 적용됩니다.

  • AWS 계정별 그룹화: 포함된 AWS 계정에 따라 발견 항목이 그룹화됩니다.

  • GCP 프로젝트별 그룹화: 포함된 Google Cloud 프로젝트에 따라 발견 사항이 그룹화됩니다.

  • 심각도별 그룹화: HIGH 또는 MEDIUM과 같은 severity 수준에 따라 발견 사항이 그룹화됩니다.

  • 애셋 유형별 그룹화: Compute Engine 인스턴스 또는 IAM 서비스 계정과 같은 애셋 유형(Google Cloud 리소스 유형)에 따라 발견 사항이 그룹화됩니다.

케이스로 그룹화된 모든 발견 사항은 동일한 소유자에 속합니다. 발견 사항이 올바르게 그룹화되도록 하려면 상속된Google Cloud 태그 또는 필수 연락처가 없는 발견 항목을 포함하여 항상 커넥터 Fallback Owner 파라미터를 구성합니다.

예: 그룹화 메커니즘 작동 방법

이 예시에서는 Google Cloud 의 발견 사항만 사용됩니다.

커넥터는 해당 Google Cloud 리소스에서 상속된 심각도 및 값이 서로 다른 4개의 발견 사항을 수집합니다.

  • 발견 사항 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1

  • 발견 사항 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

  • 발견 사항 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1

  • 발견 사항 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

기본 그룹화 메커니즘

기본 설정에서는 발견 항목이 해당 프로젝트, 애셋 유형, 심각도 속성에 따라 그룹화됩니다.

이 예시에서는 모든 발견 항목이 서로 다른 케이스에 포함됩니다.

  • 케이스 1:

    • 발견 사항 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 2:

    • 발견 사항 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

  • 케이스 3:

    • 발견 사항 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 4:

    • 발견 사항 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

커스텀 그룹화 메커니즘

GCP 프로젝트별 그룹화 체크박스만 선택하면 해당 Google Cloud 프로젝트에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일 프로젝트에 속하는 발견 사항만 포함됩니다.

  • 케이스 1:

    • 발견 사항 1: 심각도 Critical, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 사항 3: 심각도 High, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 2:

    • 발견 사항 2: 심각도 Critical, 애셋 유형: IAM, 프로젝트: Project_2
    • 발견 사항 4: 심각도 High, 애셋 유형: Compute, 프로젝트: Project_2

심각도별 그룹화 체크박스만 선택하면 해당 심각도에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일한 심각도 수준의 발견 항목만 포함됩니다.

  • 케이스 1:

    • 발견 사항 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 사항 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

  • 케이스 2:

    • 발견 사항 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 사항 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

애셋 유형별 그룹화 체크박스를 선택하면 애셋 유형( Google Cloud의 리소스 유형)에 따라 발견 항목이 자동으로 그룹화되므로 케이스에 동일 리소스에 속하는 발견 사항만 포함됩니다.

  • 케이스 1:

    • 발견 사항 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 사항 3: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_1
    • 발견 사항 4: 심각도: High, 애셋 유형: Compute, 프로젝트: Project_2

  • 케이스 2:

    • 발견 사항 2: 심각도: Critical, 애셋 유형: IAM, 프로젝트: Project_2

GCP 프로젝트별 그룹화심각도별 그룹화 체크박스를 모두 선택하면 해당 프로젝트 및 심각도 수준에 따라 발견 사항이 자동으로 그룹화되므로 케이스에 동일한 프로젝트에 속하고 그리고 동일한 심각도를 갖는 발견 사항만 포함됩니다. 이 예시에서 커넥터는 다음 4개의 케이스를 만듭니다.

  • 케이스 1:

    • 발견 사항 1: 심각도: Critical, 애셋 유형: Compute, 프로젝트: Project_1

  • 케이스 2:

    • 발견 사항 2: 심각도: Critical, 리소스 유형: IAM, 프로젝트: Project_2

  • 케이스 3:

    • 발견 사항 3: 심각도: High, 리소스 유형: Compute, 프로젝트: Project_1

  • 케이스 4:

    • 발견 사항 4: 심각도: High, 리소스 유형: Compute, 프로젝트: Project_2

다음 단계

  • Google SecOps 문서에서 알림 자세히 알아보기