이 문서에서는 클라우드 환경의 위협을 감지하고 조사하는 데 도움이 되는 Security Command Center 기능을 설명합니다.
아키텍처 개요
Security Command Center는 다단계 접근 방식을 통해 환경의 보안 격차를 해결하여 위협 감지를 제공합니다. 로그 기반, 에이전트 없는, 런타임 감지기는 클라우드 리소스를 모니터링하고 잠재적으로 악의적인 활동을 거의 실시간으로 감지합니다. 이러한 감지기는 할당된 심각도 수준이 있는 발견 항목으로 이러한 문제를 보고합니다.
Security Command Center는 중앙 플랫폼에서 위협 발견 항목과 기타 보안 발견 항목을 함께 제공하여 전반적인 보안 상태를 한눈에 파악할 수 있도록 지원합니다. 발견 사항을 분류할 수 있도록 Security Command Center는 밀접하게 관련된 위협을 상관관계가 있는 위협 문제로 그룹화합니다.
다음 다이어그램은 Security Command Center의 위협 감지 프로세스를 보여줍니다.
위협 감지 계층
Security Command Center는 보안 상태의 격차를 해결하는 데 도움이 되도록 위협 감지를 로그 기반 감지, 에이전트 없는 감지, 런타임 감지의 세 가지 기본 레이어로 구성합니다.
로그 기반 감지
Security Command Center는 조직 또는 프로젝트의 로그 스트림을 지속적으로 모니터링하고 분석하여 의심스러운 패턴, 알려진 침해 지표 (IoC), 민감한 작업을 식별할 수 있습니다.
Event Threat Detection 및 Sensitive Actions Service는 로그 기반 감지를 제공합니다.
로그 기반 위협 감지
Event Threat Detection은 ID 기반 공격, 무단 서비스 사용 등 다양한 Google Cloud 서비스 및리소스 카테고리에서 공격을 감지할 수 있습니다. Event Threat Detection은 다음을 모니터링합니다.
조직 및 프로젝트의 Cloud Logging 스트림(예: 리소스의 구성 또는 메타데이터를 만들거나, 읽거나, 수정하는 API 호출 및 작업 항목) 예를 들면 다음과 같습니다.
- Cloud 감사 로그 (관리자 활동, 데이터 액세스, 시스템 이벤트 로그)
- VPC 흐름 로그
- Cloud DNS 로그
- 기본 로그 소스
Google Workspace 감사 로그: 도메인에 대한 사용자 로그인과 Google Workspace 관리 콘솔에서 수행된 작업을 추적합니다.
Event Threat Detection 감지기와 분석하는 로그의 전체 목록은 Event Threat Detection 규칙을 참고하세요.
조직에서 요구하는 경우 특정 로그의 수집을 사용 설정해야 할 수 있습니다. 자세한 내용은 로그 유형 및 활성화 요구사항을 참고하세요.
로그 기반 민감한 작업 감지
민감한 작업 서비스는 관리자 활동 감사 로그를 모니터링하여 악의적인 행위자가 수행할 경우 비즈니스에 해를 끼칠 수 있는 민감한 작업을 감지합니다. 민감한 작업 서비스 감지기의 전체 목록은 민감한 작업 서비스 발견 항목을 참고하세요.
에이전트 없는 감지
에이전트리스 감지는 하이퍼바이저에서 Compute Engine 가상 머신을 스캔하여 가상 머신(VM) 인스턴스에서 실행되는 악성 애플리케이션(예: 암호화폐 채굴 도구 및 커널 모드 루트킷)을 식별합니다.
에이전트 없는 감지는 게스트 VM 인스턴스 외부에서 작동하며 게스트 내에서 게스트 에이전트, 특수 게스트 OS 구성 또는 네트워크 연결이 필요하지 않습니다. VM의 전체에서 소프트웨어를 설치, 관리 또는 업데이트할 필요가 없습니다. 에이전트리스 감지는 VM 인스턴스 외부에서 작동하므로 VM 내에 있는 멀웨어에 감지되지 않으며 CPU 사이클이나 메모리를 사용하지 않습니다.
Virtual Machine Threat Detection은 에이전트리스 감지를 제공합니다. VM Threat Detection 감지기의 전체 목록은 Virtual Machine Threat Detection 발견 항목을 참고하세요.
런타임 감지
런타임 감지는 동적 환경에서 배포 후 발생하는 위협을 해결합니다. 실행 중인 컨테이너와 서버리스 애플리케이션 내의 활동, 변경사항, 원격 액세스 시도를 지속적으로 모니터링하고 평가하여 일반적인 런타임 공격을 식별합니다. 이러한 공격의 예로는 리버스 셸, 컨테이너 이스케이프, 악성 프로그램 실행이 있습니다.
다음 서비스는 런타임 감지를 제공합니다.
- Container Threat Detection은 커널 수준 계측을 사용하여 GKE 노드의 게스트 커널에서 동작을 수집하고 평가합니다.
- Cloud Run Threat Detection은 지원되는 Cloud Run 리소스를 모니터링합니다.
- Agent Engine 위협 감지(프리뷰)는 Vertex AI Agent Engine에 배포된 에이전트 워크로드를 모니터링합니다.
리소스 카테고리 및 감지 매트릭스
다음 표에는 Security Command Center에서 모니터링할 수 있는 리소스 카테고리, 감지 예시, 사용 가능한 감지 레이어가 나와 있습니다.
| 리소스 카테고리 | 감지된 위협의 예 | 감지 레이어 |
|---|---|---|
| AI | 에이전트가 시작한 데이터 무단 반출, 에이전트형 워크로드에서 실행된 악성 스크립트 | 런타임, 로그 기반 |
| Amazon EC2 | 디스크의 악성 파일 | 에이전트 없음 |
| 백업 및 DR | 백업 및 DR 호스트의 무단 삭제 | 로그 기반 |
| BigQuery | 데이터 무단 반출 | 로그 기반 |
| Cloud Run | 리버스 셸, 정찰 도구 실행, 암호화폐 채굴 명령어 사용 | 런타임, 로그 기반 |
| Cloud Storage | 버킷의 IP 필터링 구성 수정 | 로그 기반 |
| Compute Engine | 암호화폐 채굴, 커널 모드 루트킷, 수정된 부팅 디스크 지속성 | 에이전트 없음, 로그 기반 |
| 데이터베이스 | 데이터 무단 반출, 사용자 테이블에 대한 수퍼유저 수정 | 로그 기반 |
| Google Kubernetes Engine | 악성 바이너리 실행, 컨테이너 이스케이프, 권한이 있는 컨테이너 실행 | 런타임, 로그 기반 |
| Google Workspace | 비밀번호 유출, 의심스러운 로그인 패턴 | 로그 기반 |
| Identity and Access Management | 비정상적인 역할 부여, 민감한 정책 변경, Tor를 통한 액세스 | 로그 기반 |
| 네트워크 | 멀웨어 DNS 쿼리, 알려진 암호화폐 채굴 IP 주소에 대한 연결 | 로그 기반 |
위협 인텔리전스 소스
Security Command Center는 Google의 글로벌 제품 및 서비스 전반에서 수십억 개의 신호를 수집하는 충실도가 높은 인텔리전스 제품군인 Google 위협 인텔리전스의 위협 인텔리전스를 사용합니다. Google Threat Intelligence는 악성 서명, 파일 해시, 주소와 같은 알려진 악성 지표를 식별하고 다음과 같은 이점을 제공합니다.
- 충실도 및 정밀도: 활성 상태의 확인된 위협에 집중하여 거짓양성을 최소화합니다.
- 지속적인 개선: 실제 사고 대응 조사, 글로벌 원격 분석, 내부 인텔리전스, 악성일 수 있는 파일, URL, 도메인에 관한 크라우드소싱 컨텍스트에서 얻은 일선 인텔리전스를 사용하여 적용 범위를 지속적으로 개선합니다. 정보 수집을 강화하기 위해 미끼 시스템 (허니팟이라고도 함)과 같은 다양한 기법도 사용합니다.
위협 우선순위 지정
즉각적인 조치가 필요한 가장 심각한 위협을 식별할 수 있도록 Security Command Center에서는 각 발견 사항에 심각도 수준을 할당합니다.
또한 상관관계가 있는 위협 기능은 여러 관련 발견 항목을 단일 문제로 통합하여 악용 후 활동을 더 높은 신뢰도로 감지합니다. 상관관계가 있는 위협 기능은 공격 체인을 시각화하고 이벤트가 연결되어 완전한 공격 스토리를 형성하는 방법을 보여줍니다. 이 공격 체인을 사용하면 적의 움직임을 예측하고, 손상된 자산을 식별하고, 심각한 위협을 강조하고, 명확한 대응 권장사항을 확인하고, 대응 속도를 높일 수 있습니다.
기본 제공되는 위협 감지 서비스
이 섹션에서는 Security Command Center의 기본 제공 감지 서비스를 간략하게 설명합니다. 이러한 서비스는 다양한 스캔 기법을 사용하고 다양한 레이어에서 작동하여 클라우드 환경의 위협을 감지합니다.
Agent Engine Threat Detection(미리보기)은 Vertex AI Agent Engine 런타임에 배포된 AI 에이전트의 상태를 모니터링하여 일반적인 런타임 공격을 감지합니다. 프리미엄 및 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
이상 감지는 시스템 외부의 동작 신호를 사용하여 서비스 계정에서 유출되었을 수 있는 사용자 인증 정보와 같은 보안 이상을 감지합니다. Standard, Premium, Enterprise 서비스 등급에서 사용할 수 있습니다.
Cloud Run Threat Detection은 지원되는 Cloud Run 리소스의 상태를 모니터링하여 일반적인 런타임 공격을 감지합니다. 프리미엄 및 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
Container Threat Detection은 컨테이너의 게스트 커널에서 하위 수준의 관찰된 동작을 수집하고 분석하여 발견 사항을 생성합니다. 프리미엄 및 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
Event Threat Detection은 Cloud Logging 로그 스트림의 이벤트를 알려진 침해 지표 (IoC)와 일치시키고, 알려진 적대적 기법을 식별하고, 동작 이상을 감지하여 보안 발견 항목을 생성합니다. 프리미엄 및 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
민감한 작업 서비스는 악의적인 행위자가 수행할 경우 비즈니스에 해를 끼칠 수 있는 작업이 Google Cloud 조직, 폴더, 프로젝트에서 수행될 때 이를 감지합니다. Standard, Premium, Enterprise 서비스 등급에서 사용할 수 있습니다.
VM Threat Detection은 Compute Engine 프로젝트 및 VM 인스턴스를 스캔하여 암호화폐 채굴 소프트웨어 및 커널 모드 루트킷과 같은 VM에서 실행되는 잠재적 악성 애플리케이션을 감지합니다. 프리미엄 및 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
이러한 감지 서비스는 Security Command Center에서 발견 사항을 생성합니다. 프리미엄 및 Enterprise 서비스 등급 (조직 수준 활성화 필요)의 경우 Cloud Logging으로 지속적 내보내기를 구성할 수도 있습니다.
위협 감지 사용 설정
프리미엄 및 엔터프라이즈 서비스 등급의 경우 많은 위협 감지 서비스가 기본적으로 사용 설정되어 있습니다. 기본 제공 서비스를 사용 설정하거나 사용 중지하려면 Security Command Center 서비스 구성을 참고하세요.
조직에서 요구하는 경우 특정 로그의 수집을 사용 설정해야 할 수 있습니다. 자세한 내용은 로그 유형 및 활성화 요구사항을 참고하세요.
위협 감지 서비스 사용
기본 제공 위협 감지 서비스를 사용하려면 다음을 참고하세요.
- Agent Engine Threat Detection 사용
- Cloud Run 위협 감지 사용
- Container Threat Detection 사용
- Event Threat Detection 사용
- 민감한 작업 서비스 사용
- 가상 머신 위협 감지 사용
의견 보내기
Security Command Center의 위협 감지 기능에 관한 의견을 보내려면 Google Cloud 콘솔을 통해 의견 보내기를 참고하세요.