Security Command Center는 클라우드 환경 전반에서 위협, 취약점, 잘못된 구성을 식별하는 기본 제공 감지 규칙을 제공합니다. 이 문서에서는 보안 그래프 및 상관관계가 있는 위협에 대한 사전 정의된 규칙을 설명합니다.
기타 기본 제공 서비스의 규칙 및 발견 항목에 대한 자세한 내용은 Event Threat Detection 규칙 및 VM Threat Detection 발견 항목을 참고하세요.
사전 정의된 보안 그래프 규칙
보안 그래프는 노드를 사용하여 애셋, ID, 애플리케이션, 데이터와 같은 클라우드 리소스를 식별합니다. 그래프의 에지는 감지 규칙에 따른 이러한 리소스 간의 위험 관계를 나타냅니다. 관계 위험이 발견되면 보안 그래프에서 문제를 생성합니다.
Security Command Center는 사전 정의된 보안 그래프 규칙을 사용하여 잠재적으로 리소스를 손상시킬 수 있는 문제를 식별합니다.
다음 표에서는 이러한 규칙을 정의합니다. 위험 > 문제 대시보드를 사용하여 생성된 문제를 조사합니다.
| 규칙 | 설명 |
|---|---|
| GCE 인스턴스: 고위험 CVE, SA 가장을 통한 중요도가 높은 리소스 액세스 | 중요한 리소스에 대한 액세스 권한이 있는 서비스 계정(SA)을 가장할 수 있는 고위험 CVE가 Compute Engine 인스턴스에서 감지되었습니다. 이 취약점으로 인해 권한 에스컬레이션 및 민감한 정보 또는 시스템에 대한 무단 액세스의 위험이 증가합니다. |
| GCE 인스턴스: 고위험 CVE, SA 가장을 통해 민감한 정보가 포함된 리소스에 액세스 | 고위험 CVE가 있는 Compute Engine 인스턴스가 서비스 계정(SA) 가장을 사용하여 민감한 정보가 포함된 리소스에 액세스할 수 있습니다. 이 취약점으로 인해 무단 데이터 액세스, 권한 에스컬레이션, 잠재적인 정보 유출의 위험이 증가합니다. |
| GCE 인스턴스: 고위험 CVE, 중요도가 높은 리소스에 대한 직접 액세스 | 고위험 CVE가 있는 Compute Engine 인스턴스가 중요도가 높은 리소스에 직접 액세스할 수 있으므로 익스플로잇, 무단 액세스, 데이터 보안 침해의 가능성이 높아집니다. |
| GCE 인스턴스: 고위험 CVE, 민감한 정보가 포함된 리소스에 대한 직접 액세스 | 고위험 CVE가 있는 Compute Engine 인스턴스가 민감한 정보가 포함된 리소스에 직접 액세스할 수 있습니다. 이 취약점으로 인해 무단 액세스, 정보 유출, 권한 에스컬레이션의 위험이 증가합니다. |
| 외부에 노출된 GCE 인스턴스: 고위험 CVE, 익스플로잇 가능 | Compute Engine 인스턴스가 외부에 노출되어 알려진 익스플로잇이 있는 고위험 CVE의 영향을 받습니다. 이렇게 하면 원격 공격, 무단 액세스, 시스템 보안 침해의 위험이 크게 증가합니다. |
| GCE 인스턴스: 고위험 CVE, SA 가장 기능 | Compute Engine 인스턴스가 고위험 CVE의 영향을 받으며 다른 서비스 계정(SA)을 가장할 수 있는 기능이 있습니다. 이로 인해 권한 에스컬레이션, 무단 액세스, 중요한 클라우드 리소스의 잠재적 보안 침해 위험이 크게 증가합니다. |
| GCE 인스턴스: 고위험 CVE, 과도한 직접 권한 | 고위험 CVE가 있는 Compute Engine 인스턴스가 다른 리소스에 대해 직접적으로 과도한 권한을 가지므로 무단 액세스, 권한 에스컬레이션, 리소스 보안 침해의 위험이 증가합니다. |
| GCE 인스턴스: 고위험 CVE, SA 가장을 통한 과도한 권한 | 고위험 CVE가 있는 Compute Engine 인스턴스가 서비스 계정(SA) 가장을 통해 다른 리소스에 대한 과도한 권한이 있어 권한 에스컬레이션 및 무단 액세스의 위험이 증가합니다. |
| 외부에 노출된 GKE 워크로드: 고위험 CVE, 취약점 공격 가능 | GKE 워크로드가 외부에 노출되어 있으며 알려진 익스플로잇이 있는 고위험 CVE의 영향을 받습니다. 이렇게 하면 원격 공격, 무단 액세스, 시스템 보안 침해의 위험이 크게 증가합니다. |
| GKE 노드 풀: 고위험 게시판, SA 가장을 통해 중요도가 높은 리소스 액세스 | GKE 노드 풀이 중요도가 높은 리소스에 대한 액세스 권한을 부여하는 서비스 계정(SA)을 가장할 수 있는 기능이 있습니다. 이로 인해 권한 에스컬레이션, 무단 액세스, 데이터 보안 침해의 위험이 증가합니다. |
| GKE 노드 풀: 고위험 게시판, SA 가장을 통해 민감한 정보가 포함된 리소스에 액세스 | GKE 노드 풀이 민감한 정보가 포함된 리소스에 대한 액세스 권한을 부여하는 서비스 계정(SA)을 가장할 수 있는 기능이 있습니다. 이로 인해 무단 액세스, 정보 유출, 권한 에스컬레이션 위험이 증가합니다. |
| GKE 노드 풀: 고위험 게시판, 고가치 리소스에 대한 직접 액세스 | GKE 노드 풀이 중요도가 높은 리소스에 직접 액세스할 수 있으므로 무단 액세스, 권한 에스컬레이션, 잠재적인 데이터 보안 침해의 위험이 증가합니다. |
| GKE 노드 풀: 고위험 게시판, 민감한 정보가 포함된 리소스에 대한 직접 액세스 | GKE 노드 풀이 민감한 정보가 포함된 리소스에 직접 액세스할 수 있으므로 무단 액세스, 정보 유출, 권한 에스컬레이션의 위험이 증가합니다. |
| 외부에 노출된 GKE 노드 풀: 고위험 게시판 | GKE 노드 풀이 외부에 노출되어 있으며 고위험 CVE의 영향을 받습니다. 이렇게 하면 원격 공격, 무단 액세스, 시스템 보안 침해의 위험이 크게 증가합니다. |
| GKE 노드 풀: 위험도가 높은 게시판, SA 가장 기능 | 다른 서비스 계정(SA)을 가장할 권한이 있는 GKE 노드 풀에 고위험 게시판이 있어 권한 에스컬레이션 및 중요한 리소스에 대한 무단 액세스 위험이 증가합니다. |
| GKE 노드 풀: 고위험 게시판, 과도한 직접 권한 | 다른 리소스에 대한 과도한 권한을 가진 GKE 노드 풀에 고위험 게시판이 있어 의도하지 않은 액세스 권한을 부여합니다. 이로 인해 권한 에스컬레이션, 무단 액세스, 데이터 노출 위험이 증가합니다. |
| GKE 노드 풀: 고위험 게시판, SA 가장을 통한 과도한 권한 | 서비스 계정(SA) 가장을 통해 다른 리소스에 대한 과도한 권한을 가진 GKE 노드 풀에 고위험 게시판이 있어 권한 에스컬레이션 및 무단 액세스 위험이 증가합니다. |
| 비회전 키가 있는 서비스 계정에 과도한 권한이 있음 | 서비스 계정이 과도한 권한이 있는 장기 비회전 키를 사용 중으로, 사용자 인증 정보 보안 침해, 무단 액세스, 권한 에스컬레이션 위험이 증가합니다. |
| 사용자 관리 키가 있는 서비스 계정에 과도한 권한이 있음 | 사용자 관리 키와 과도한 권한이 있는 서비스 계정으로, 사용자 인증 정보 유출 및 권한 에스컬레이션 위험이 증가합니다. |
| CVE-2025-49844에 취약한 외부에 노출된 GKE 워크로드(익스플로잇 가능, Redis의 심각한 원격 코드 실행) | 알려진 익스플로잇이 있는 심각한 원격 코드 실행 결함인 CVE-2025-49844에 취약한 Redis를 실행하는 외부에 노출된 GKE 워크로드를 식별합니다. |
| CVE-2025-49844에 취약한 외부에 노출된 GCE 인스턴스(익스플로잇 가능, Redis의 심각한 원격 코드 실행) | 알려진 익스플로잇이 있는 심각한 원격 코드 실행 결함인 CVE-2025-49844에 취약하며 Redis를 실행하는 외부에 노출된 GCE 인스턴스를 식별합니다. |
| CVE-2025-32433(Erlang SSH의 심각한 RCE)에 취약한 외부에 노출된 GKE 워크로드 | 공격자가 적극적으로 악용하는 심각한 원격 코드 실행 결함인 CVE-2025-32433에 취약한 Erlang SSH를 실행하는 외부에 노출된 GKE 워크로드를 식별합니다. |
| CVE-2025-32433(Erlang SSH의 심각한 RCE)에 취약한 외부에 노출된 GCE 인스턴스 | 공격자가 적극적으로 악용하는 심각한 원격 코드 실행 결함인 CVE-2025-32433에 취약한 Erlang SSH를 실행하는 외부에 노출된 GCE 인스턴스를 식별합니다. |
| CVE-2023-46604(Apache ActiveMQ의 심각한 RCE, 실제 환경에서 악용됨)에 취약한 외부에 노출된 GKE 워크로드 | 공격자가 적극적으로 악용하는 OpenWire 프로토콜의 심각한 원격 코드 실행 결함인 CVE-2023-46604에 취약한 Apache ActiveMQ를 실행하는 외부에 노출된 GKE 워크로드를 식별합니다. |
| CVE-2023-46604(Apache ActiveMQ의 심각한 RCE, 실제 환경에서 악용됨)에 취약한 외부에 노출된 GCE 인스턴스 | 공격자가 적극적으로 악용하는 OpenWire 프로토콜의 심각한 원격 코드 실행 결함인 CVE-2023-46604에 취약한 Apache ActiveMQ를 실행하는 외부 노출 GCE 인스턴스를 식별합니다. |
| 알려진 익스플로잇이 있는 CVE-2025-32463(Sudo)에 취약한 GCE 인스턴스 | 알려진 익스플로잇이 있는 Sudo의 로컬 권한 에스컬레이션 결함인 CVE-2025-32463에 취약한 GCE 인스턴스를 식별합니다. |
| 심각한 NVIDIA Container Toolkit CVE(CVE-2025-23266)에 취약한 GCE 인스턴스 | NVIDIA Container Toolkit의 심각한 권한 에스컬레이션 결함인 CVE-2025-23266에 취약한 GPU 워크로드를 사용하는 GCE 인스턴스를 식별합니다. |
| 고위험 CVE-2025-59287(현장에서 악용됨, WSUS의 심각한 원격 코드 실행)에 취약한 외부에 노출된 GCE 인스턴스 | 공격자가 적극적으로 악용하는 심각한 원격 코드 실행 결함인 CVE-2025-59287에 취약한 Windows WSUS를 실행하는 외부 노출 GCE 인스턴스를 식별합니다. |
| Vertex AI Workbench: 위험도가 높은 CVE | Gemini Enterprise Agent Platform Workbench 인스턴스에서 고위험 CVE가 감지되었습니다. 이 취약점으로 인해 개발 환경에 대한 무단 액세스의 위험이 증가하여 학습 데이터와 모델 소스 코드가 무단 반출될 수 있습니다. |
| Vertex AI Workbench: 고위험 CVE, 과도한 권한 | 고위험 CVE가 있는 Vertex AI Workbench 인스턴스에서 과도한 권한이 있는 서비스 계정을 사용하고 있습니다. 이 조합을 통해 공격자는 취약점을 악용하여 권한을 에스컬레이션하고 다른 클라우드 리소스를 손상시킬 수 있습니다. |
| 에이전트 런타임: 고위험 CVE, SA 가장을 통해 중요도가 높은 리소스에 액세스할 수 있는 SA ID | 중요한 리소스에 대한 액세스 권한이 있는 서비스 계정을 가장할 수 있는 에이전트 런타임에 배포된 AI 에이전트에서 고위험 CVE가 감지되었습니다. 이 취약점으로 인해 권한 에스컬레이션 및 민감한 정보 또는 시스템에 대한 무단 액세스의 위험이 증가합니다. |
| 에이전트 런타임: 고위험 CVE, SA 가장을 통해 민감한 정보가 포함된 리소스에 액세스할 수 있는 SA ID | 고위험 CVE가 있는 AI 에이전트가 에이전트 런타임에 배포되어 서비스 계정 (SA) 가장을 통해 민감한 정보가 포함된 리소스에 액세스할 수 있습니다. 이 취약점으로 인해 무단 데이터 액세스, 권한 에스컬레이션, 잠재적인 정보 유출의 위험이 증가합니다. |
| 에이전트 런타임: 고위험 CVE, 중요도가 높은 리소스에 직접 액세스할 수 있는 SA ID | 고위험 CVE가 있는 에이전트 런타임에 배포된 AI 에이전트가 중요도가 높은 리소스에 직접 액세스할 수 있으므로 익스플로잇, 무단 액세스, 데이터 보안 침해의 가능성이 높아집니다. |
| 에이전트 런타임: 고위험 CVE, 민감한 정보가 포함된 리소스에 직접 액세스할 수 있는 SA ID | 고위험 CVE가 있는 AI 에이전트가 에이전트 런타임에 배포되어 민감한 정보가 포함된 리소스에 직접 액세스할 수 있습니다. 이 취약점으로 인해 무단 액세스, 정보 유출, 권한 에스컬레이션의 위험이 증가합니다. |
| 에이전트 런타임: 고위험 CVE, 과도한 직접 권한이 있는 SA ID | 고위험 CVE가 있는 에이전트 런타임에 배포된 AI 에이전트가 다른 리소스에 대해 직접적으로 과도한 권한을 가지므로 무단 액세스, 권한 에스컬레이션, 리소스 보안 침해의 위험이 증가합니다. |
| 에이전트 런타임: 고위험 CVE, SA 가장을 통한 과도한 권한이 있는 SA ID | 고위험 CVE가 있는 AI 에이전트가 에이전트 런타임에 배포되어 서비스 계정 (SA) 가장을 통해 다른 리소스에 대한 과도한 권한이 있어 권한 에스컬레이션 및 무단 액세스의 위험이 증가합니다. |
| 에이전트 런타임: 고위험 CVE, SA를 가장할 수 있는 SA ID | 고위험 CVE가 있는 AI 에이전트가 에이전트 런타임에 배포되어 다른 서비스 계정을 가장할 수 있습니다. 이로 인해 권한 에스컬레이션, 무단 액세스, 중요한 클라우드 리소스의 잠재적 보안 침해 위험이 크게 증가합니다. |
| Cloud Storage 버킷: 에이전트 런타임 배포에 사용되는 공개 버킷 | 공개적으로 노출된 Cloud Storage 버킷이 AI 에이전트를 에이전트 런타임에 배포하는 데 사용되었습니다. 이로 인해 에이전트 코드 유출 및 에이전트 포이즈닝 위험이 증가합니다. |
상관관계가 있는 위협 규칙
상관관계가 지정된 위협은 클라우드 리소스 전반에서 다양한 다단계 공격 패턴을 식별하는 데 도움이 됩니다. 다음 표에서는 사용 가능한 상관관계가 지정된 위협 규칙을 정의합니다.
| 규칙 | 설명 |
|---|---|
| 암호화폐 채굴 소프트웨어의 여러 상관관계 위협 신호 |
Compute Engine VM 및 Google Kubernetes Engine (GKE) 노드 (및 해당 포드)를 비롯한 Google Cloud 가상 머신에서 발생하는 악성 소프트웨어의 여러 고유한 신호를 찾습니다.
예를 들면 다음과 같습니다.
|
| 악성 소프트웨어의 여러 상관관계가 있는 위협 신호 |
Compute Engine VM 및 GKE 노드 (및 해당 포드) 또는 에이전트 런타임을 비롯한 Google Cloud가상 머신에서 발생하는 악성 소프트웨어의 여러 고유한 신호를 찾습니다.
예를 들면 다음과 같습니다.
|
| 보안이 침해된 GCP 계정에서 보안이 침해된 컴퓨팅 리소스로의 측면 이동 |
VM 또는 포드를 수정하는 Compute API (Compute Engine 또는 GKE)에 대한 의심스러운 호출의 증거를 찾습니다. 그런 다음 규칙은 해당 활동을 단기간 내에 컴퓨팅 리소스에서 시작된 악성 활동과 연관시킵니다.
공격자는 일반적으로 이 측면 이동 패턴을 사용합니다. 이 규칙은 VM 또는 포드가 손상되었을 가능성이 있음을 나타냅니다. 이 규칙은 Google Cloud 계정(사용자 또는 서비스 계정)이 악성 활동의 원인일 수 있음을 나타냅니다.
예를 들면 다음과 같습니다.
|