이 문서에서는 발견 항목을 숨겨 Security Command Center에서 수신하는 발견 항목의 수를 줄이는 방법을 설명합니다.
발견 사항을 숨기면Google Cloud 콘솔의 발견 사항 기본 뷰에서 숨겨집니다. 발견 사항을 수동 또는 프로그래매틱 방식으로 숨길 수 있을 뿐 아니라, 필터를 만들어 지정한 기준에 따라 현재 및 이후의 발견 사항을 자동으로 숨길 수 있습니다.
Security Command Center 감지 서비스는 Google Cloud 배포에 대한 다양한 보안 평가를 제공하지만 일부 발견 사항은 조직이나 프로젝트에 적합하지 않거나 관련이 없을 수 있습니다. 또한 발견 사항이 너무 많으면 보안 분석가가 가장 중요한 위험 요소를 효과적으로 식별하고 처리하기 어려울 수 있습니다. 발견 사항을 숨기면 허용 가능한 비즈니스 파라미터 안에 포함되거나 격리된 애셋의 보안 발견 사항을 검토하거나 이에 대응하는 시간이 줄어듭니다.
발견 사항 숨기기에는 감지기 중지에 비해 몇 가지 이점이 있습니다.
- 숨겨질 발견 사항을 커스텀 필터를 만들어 미세 조정할 수 있습니다.
- 숨기기 규칙을 사용하여 발견 사항을 일시적으로 또는 무기한 숨길 수 있습니다.
- 발견 사항을 숨겨도 기본 애셋 검사는 중지되지 않습니다. 발견 사항이 계속 생성되지만 표시하도록 결정할 때까지는 숨겨진 상태로 유지됩니다.
권한
특정 음소거 작업을 수행하려면 적절한 Identity and Access Management (IAM) 역할이 필요합니다. 각 작업에 필요한 자세한 권한은 다음을 참고하세요.
숨기기 규칙 만들기 및 관리
숨기기 규칙은 지정한 기준에 따라 향후 및 기존 발견 사항을 자동으로 숨기기 위해 만든 필터가 사용되는 Security Command Center 구성입니다. 정적 또는 동적 숨기기 규칙으로 필터를 만들 수 있습니다.
정적 숨기기 규칙은 향후 발견 사항을 무기한 숨깁니다. 동적 숨기기 규칙은 지정된 날짜까지 일시적으로 또는 발견 사항이 구성과 더 이상 일치하지 않을 때까지 무기한으로 향후 및 기존 발견 사항을 숨깁니다.
정적 및 동적 숨기기 규칙
Security Command Center는 정적 및 동적 제외 규칙 구성을 지원합니다. 정적 숨기기 규칙과 동적 숨기기 규칙을 동시에 사용할 수 있지만 권장되지는 않습니다. 정적 숨기기 규칙은 동일한 발견 사항에 적용될 때 동적 숨기기 규칙을 재정의합니다. 따라서 동적 숨기기 규칙이 의도한 대로 작동하지 않아 발견 사항을 관리할 때 혼란이 발생할 수 있습니다. 따라서 제외 규칙 유형 하나만 사용하는 것이 좋습니다.
정적 숨기기 규칙을 이미 사용하고 있는 것이 아니라면 동적 숨기기 규칙이 더 유연하므로 이 규칙만 사용하는 것이 좋습니다.
다음 표에서는 두 제외 규칙 유형을 대략적으로 비교합니다. 자세한 내용은 정적 숨기기 규칙 및 동적 숨기기 규칙을 참고하세요.
| 정적 숨기기 규칙 | 동적 숨기기 규칙 |
|---|---|
| 발견 사항에 무기한으로 작동합니다. | 만료 시간이 있는 경우 일시적으로 또는 만료 시간이 설정되지 않은 경우 무기한으로 발견 사항에 작동할 수 있습니다. |
| 기존 발견 사항에 적용되지 않습니다. | 기존 및 신규 발견 사항에 적용됩니다. |
| 동적 숨기기 규칙보다 우선합니다. | 우선순위가 낮으며 두 유형이 모두 발견 사항에 적용되는 경우 정적 숨기기 규칙이 우선 적용됩니다. |
정적 숨기기 규칙
- 정적 숨기기 규칙은 무기한으로 작동합니다. 발견 사항이 정적 숨기기 구성과 일치하면 Security Command Center는 사용자가 수동으로 변경할 때까지 발견 사항의
mute속성을MUTED로 자동 설정합니다. - 정적 숨기기 규칙은 Google Cloud 콘솔을 사용하여 만들지 않는 한 기존 발견 사항에 영향을 주지 않습니다. 콘솔에서 만든 경우에만 해당 규칙이 기존 발견 사항을 소급해서 숨깁니다. 그렇지 않으면 규칙이 정의된 이후에 새로 생성되거나 업데이트된 발견 사항에만 적용됩니다. Google Cloud 콘솔을 사용하지 않고 비슷한 기존 발견 사항을 숨기고 싶다면, 동일한 필터를 사용하여 발견 사항을 대량으로 숨길 수 있습니다.
- 정적 숨기기 규칙은 동적 숨기기 규칙보다 우선합니다. 따라서 정의된 정적 제외 규칙과 일치하는 모든 새 발견 사항은 정의된 동적 숨기기 규칙과도 일치하더라도 숨겨진 것으로 간주됩니다.
동적 숨기기 규칙
- 동적 숨기기 규칙은 만료 시간이 있는 경우 일시적으로 또는 만료 시간이 설정되지 않은 경우 무기한으로 발견 사항에 작동할 수 있습니다. 기존 또는 새로 생성된 발견 사항이 동적 숨기기 구성과 일치하면 Security Command Center는 지정된 만료일까지 또는 발견 사항이나 구성 자체가 변경될 때까지 발견 사항의
mute속성을MUTED로 자동 설정합니다. 동적 숨기기 규칙이 만료되면 Security Command Center는 발견 항목에서 규칙을 삭제합니다. 발견 사항이 다른 동적 숨기기 규칙과 일치하지 않으면mute속성이 자동으로UNDEFINED로 재설정됩니다. - 동적 숨기기 규칙은 구성과 일치하는 기존 발견 사항은 물론 새로 생성되거나 업데이트된 발견 사항에 자동으로 적용됩니다.
- 동적 숨기기 규칙은 우선순위가 낮으며 두 유형이 모두 발견 사항에 적용되는 경우 정적 숨기기 규칙이 우선 적용됩니다.
동적 숨기기 규칙만 사용하는 것이 좋습니다. 발견 사항을 일시적으로 숨기고 자동으로 숨기기 취소할 수 있어 동적 숨기기 규칙은 정적 숨기기 규칙보다 더 유연한 옵션입니다.
정적 숨기기 규칙을 사용해서 수동으로 검토하는 발견 사항 수를 줄이고 동적 숨기기 규칙으로 마이그레이션하려면 정적 숨기기 규칙에서 동적 숨기기 규칙으로 마이그레이션을 참고하세요.
숨기기 규칙 범위
필터를 만들 때 제외 규칙의 범위를 고려하세요.
예를 들어 필터가 Project A의 발견 사항을 숨기도록 작성되었지만 필터 자체가 Project B에서 작성된 경우에는 해당 필터로 어떤 발견 사항도 일치하지 않을 수 있습니다.
마찬가지로 데이터 레지던시가 사용 설정된 경우 제외 규칙 범위는 제외 규칙이 생성된 Security Command Center 위치로 제한됩니다. 예를 들어 미국(us) 위치에서 숨기기 규칙을 만든 경우 이 숨기기 규칙은 유럽 연합 (eu) 위치에 저장된 발견 사항을 숨기지 않습니다.
필터 만들기에 대한 자세한 내용은 필터 알림을 참조하세요.
제외 규칙 제한사항
숨기기 규칙에서는 일부 발견 사항 속성이 지원되지 않습니다. 숨기기 규칙이 지원하지 않는 속성 목록은 숨기기 규칙에 지원되지 않는 발견 사항 속성을 참고하세요.
IAM 역할의 범위를 기준으로 숨기기 규칙을 생성, 확인, 업데이트, 삭제할 수 있습니다. 조직 수준 역할이 있으면 조직 내 모든 폴더 및 프로젝트에 대한 숨기기 규칙을 볼 수 있습니다. 폴더 수준 역할이 있으면 특정 폴더 및 해당 폴더 내의 모든 하위 폴더 및 프로젝트에 대해 규칙을 액세스하고 관리할 수 있습니다. 프로젝트 수준 역할이 있으면 특정 프로젝트에서 숨기기 규칙을 관리할 수 있습니다.
Security Command Center 프리미엄은 조직, 폴더, 프로젝트 수준에서 역할 부여를 지원합니다. Security Command Center 표준은 조직 수준에서 역할 부여만 지원합니다. 자세한 내용은 액세스 제어를 참조하세요.
Security Command Center는 활성 및 음소거된 발견 사항을 사용하여 규정 준수 페이지 및 규정 준수 보고서의 규정 준수 제어 비율을 계산합니다. 발견 항목을 숨겨도 규정 준수 페이지 또는 규정 준수 보고서에서 제외되지는 않습니다.
데이터 레지던시 및 숨기기 규칙
데이터 레지던시가 사용 설정되면 숨기기 규칙을 정의하는 구성(muteConfig 리소스)에 데이터 레지던시 제어가 적용되며 이 구성은 선택한 Security Command Center 위치에 저장됩니다.
숨기기 규칙을 Security Command Center 위치의 발견 항목에 적용하려면 적용되는 발견 항목과 동일한 위치에 숨기기 규칙을 만들어야 합니다.
숨기기 규칙에 사용되는 필터에는 상주 제어가 적용되는 데이터가 포함될 수 있으므로 이 규칙을 만들기 전에 올바른 위치를 지정해야 합니다. Security Command Center는 숨기기 규칙이나 스트리밍 내보내기를 만드는 위치를 제한하지 않습니다.
숨기기 규칙은 생성되는 위치에만 저장되며 다른 위치에서 이 규칙을 보거나 수정할 수 없습니다.
제외 규칙을 만든 후에는 위치를 변경할 수 없습니다. 위치를 변경하려면 제외 규칙을 삭제하고 새 위치에 다시 만들어야 합니다.
데이터 상주가 사용 설정되었을 때 Security Command Center를 사용하는 방법은 Security Command Center 리전 엔드포인트를 참고하세요.
할 일 음소거하기
특정 숨기기 작업을 실행하는 방법은 다음 페이지를 참고하세요.
숨기기와 관련된 발견 사항 속성
이 섹션에서는 발견 사항의 숨기기 상태와 관련된 발견 사항 속성을 나열하고, 숨기기 작업으로 어떤 영향을 받는지 설명합니다.
mute: 발견 사항이 생성되고 다음 시나리오에서 변경될 때UNDEFINED로 설정됩니다.MUTED: 수동으로 또는 제외 규칙에 따라 발견 사항이 숨겨집니다.UNMUTED: 사용자가 발견 사항을 숨기기 취소합니다.
muteUpdateTime: 발견 사항이 숨겨지거나 숨기기 취소되는 시간입니다.muteInitiator: 발견 사항을 제외한 주 구성원 또는 제외 규칙의 식별자입니다.muteInfo: 발견 사항에 관한 제외 정보(정적 또는 동적 제외 규칙 유형 및 발견 사항이 일치한 제외 규칙 등)입니다.muteInfo.staticMute: 정적 숨기기 상태는 이 발견 사항에 적용되는 모든 동적 숨기기 규칙을 재정의합니다.state: 발견 사항을 직접 숨기거나 정적 제외 규칙을 사용하여 설정할 수 있는 정적 숨기기 상태입니다.applyTime: 정적 숨기기 상태가 발견 사항에 적용된 시간입니다.
muteInfo.dynamicMuteRecords: 발견 사항과 일치하는 동적 제외 규칙의 레코드입니다.muteConfig:: 레코드를 만든 제외 구성으로 표시되는 제외 규칙의 상대적 리소스 이름입니다. 예를 들면organizations/123/muteConfigs/examplemuteconfig입니다.matchTime: 동적 제외 규칙이 발견 사항과 일치한 시간입니다.
다음 단계
발견 사항 필터링 알림 자세히 알아보기
사용할 수 있는 필터 예시 자세히 살펴보기