이 페이지에서는 Google Cloud 콘솔의 Security Command Center 개요를 제공하고, 탐색을 설명하며, 최상위 페이지의 개요를 제공합니다.
Security Command Center를 설정하지 않은 경우 다음 중 하나에서 활성화 방법을 확인하세요.
- 표준 또는 프리미엄 등급을 활성화하려면 Security Command Center 활성화 개요를 참조하세요.
- Enterprise 등급을 활성화하려면 Security Command Center Enterprise 등급 활성화를 참조하세요.
Security Command Center의 일반적인 개요는 Security Command Center 개요를 참조하세요.
필수 IAM 권한
모든 서비스 등급에서 Security Command Center를 사용하려면 적절한 권한이 포함된 Identity and Access Management(IAM) 역할이 있어야 합니다.
표준
- 보안 센터 관리자 뷰어(
roles/securitycenter.adminViewer
): Security Command Center 열람 가능 - 보안 센터 관리자 편집자(
roles/securitycenter.adminEditor
): Security Command Center 열람 및 변경 가능
프리미엄
- 보안 센터 관리자 뷰어(
roles/securitycenter.adminViewer
): Security Command Center 열람 가능 - 보안 센터 관리자 편집자(
roles/securitycenter.adminEditor
): Security Command Center 열람 및 변경 가능
Enterprise
- 보안 센터 관리자 뷰어(
roles/securitycenter.adminViewer
): Security Command Center 열람 가능 - 보안 센터 관리자 편집자(
roles/securitycenter.adminEditor
): Security Command Center 열람 및 변경 가능 - Chronicle 서비스 뷰어(
roles/chroniclesm.viewer
): 연결된 Google SecOps 인스턴스 열람 가능
또한, 다음 IAM 역할이 필요합니다.
- Chronicle SOAR 관리자(
roles/chronicle.soarAdmin
) - Chronicle SOAR 위협 관리자(
roles/chronicle.soarThreatManager
) - Chronicle SOAR 취약점 관리자(
roles/chronicle.soarVulnerabilityManager
)
SOAR 관련 기능에 대한 액세스를 사용 설정하려면 설정 > SOAR 설정 페이지에서 이러한 Identity and Access Management 역할을 SOC 역할, 권한 그룹, 환경에 매핑해야 합니다. 자세한 내용은 IAM을 사용하여 사용자 매핑 및 승인을 참고하세요.
조직 정책이 도메인별로 ID를 제한하도록 설정된 경우 허용되는 도메인에 있는 계정에서 Google Cloud 콘솔에 로그인해야 합니다.
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 사항, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
Security Command Center 액세스
Google Cloud 콘솔에서 Security Command Center에 액세스하려면 다음 단계를 따르세요.
Security Command Center로 이동:
데이터 상주가 사용 설정되어 있고 조직에서 관할권 Google Cloud 콘솔을 사용하는 경우 관할권 Google Cloud 콘솔 정보를 참고하세요.
확인하려는 프로젝트 또는 조직을 선택합니다.
선택한 조직 또는 프로젝트에서 Security Command Center가 활성 상태이면 위험 개요 페이지가 표시됩니다.
Security Command Center가 활성 상태가 아닌 경우 활성화하라는 메시지가 전송됩니다. Security Command Center 활성화에 대한 자세한 내용은 다음 중 하나를 참고하세요.
- 표준 또는 프리미엄: Security Command Center 활성화 개요
- Enterprise: Security Command Center Enterprise 등급 활성화
Security Command Center 탐색
다음은 Security Command Center의 탐색에 대해 설명합니다. 탐색은 Security Command Center 서비스 등급에 따라 다릅니다. 실행할 수 있는 작업은 사용 설정된 서비스와 부여된 IAM 권한에 따라 다릅니다.
페이지 설명을 보려면 링크를 클릭합니다.
표준
다음은 Security Command Center Standard의 탐색을 설명합니다.
프리미엄
다음은 Security Command Center 프리미엄의 탐색을 설명합니다.
Enterprise
Security Command Center Enterprise 왼쪽 탐색 메뉴에는 Security Command Center Enterprise 활성화 중에 구성된 Google Security Operations 테넌트의 페이지로 연결되는 링크가 포함됩니다.
또한 Security Command Center Enterprise 활성화 중에 구성된 Google Security Operations 테넌트에는 Google Cloud 콘솔 페이지의 하위 집합으로 연결되는 링크가 포함됩니다.
Google Security Operations에서 사용할 수 있는 기능에 대한 자세한 내용은 Security Command Center Enterprise에서 Security Operations 콘솔로 연결되는 링크를 참고하세요.
위험 개요
위험 개요 페이지는 첫 번째 보안 대시보드 역할을 하며, 모든 기본 제공 서비스 및 통합 서비스에서 식별된 클라우드 환경의 우선순위가 높은 위험을 강조 표시합니다.
위험 개요 페이지의 뷰는 서비스 등급에 따라 다릅니다.
표준
위험 개요 페이지에는 다음 패널이 포함되어 있습니다.
- 리소스 유형별 취약점은 프로젝트 또는 조직의 리소스에 대한 활성 취약점을 보여주는 그래픽입니다.
- 활성 취약점은 카테고리 이름, 영향을 받는 리소스, 프로젝트별로 취약점 발견 항목의 탭 뷰를 제공합니다. 발견 사항 심각도별로 각 뷰를 정렬할 수 있습니다.
프리미엄
다음 보기 중 하나를 선택하여 각 조사 보기에 대해 자세히 알아보세요.
Enterprise
다음 보기 중 하나를 선택하여 각 조사 보기에 대해 자세히 알아보세요.
애셋
애셋 페이지에서는 프로젝트나 조직에서 애셋이라고도 하는 모든 Google Cloud리소스를 자세히 표시합니다.
애셋 페이지에서 애셋으로 작업하는 방법은 콘솔에서 리소스 작업을 참고하세요.
규정 준수
기본적으로 Security Command Center를 활성화하면 규정 준수 페이지에 모니터링 탭이 표시됩니다. 이 탭에는 Security Health Analytics를 사용하여 Security Command Center가 지원하는 모든 규제 프레임워크와 벤치마크 기준 통과 비율이 표시됩니다.
모니터링 탭에서는 각 규제 프레임워크를 확인할 수 있으며, Security Health Analytics에서 검토하는 규제 제어 항목, 각 제어 항목별 감지된 위반 수, 해당 규제 프레임워크에 대한 규정 준수 보고서를 내보내는 옵션에 대한 추가 세부정보를 제공합니다.
Security Health Analytics 취약점 스캐너는 Google에서 제공되는 최선의 매핑을 기반으로 일반적인 규정 준수 기준의 위반을 모니터링합니다. Security Health Analytics 규정 준수 보고서는 규정 준수 감사를 대체하는 것은 아니지만 규정 준수 상태를 유지하고 위반 사항을 조기에 발견하는 데 도움이 됩니다.
Security Command Center Enterprise에서 규정 준수 관리자를 사용 설정하면 규정 준수 페이지에 구성, 모니터링 (프리뷰), 감사 (프리뷰)라는 탭이 추가로 표시됩니다. 이 탭을 사용하면 클라우드 제어 및 프레임워크를 만들고 적용하고, 환경을 모니터링하고, 감사를 완료할 수 있습니다.
규정 준수 관리자가 사용 설정되지 않은 경우 Security Command Center에서 규정 준수 관리를 지원하는 방법에 대한 자세한 내용은 규정 준수 관리를 참조하세요.
발견 항목
발견 항목 페이지에서 Security Command Center 서비스가 환경에서 보안 문제를 감지하면 생성하는 레코드인 Security Command Center 발견 항목을 쿼리하고 검토하며 숨기거나 표시할 수 있습니다. 발견 항목 페이지에서 발견 항목으로 작업하는 방법은 발견 항목 검토 및 관리를 참고하세요.
문제
문제는 Security Command Center Enterprise가 클라우드 환경에서 발견한 가장 중요한 보안 위험으로, 이를 통해 취약점과 위협에 빠르게 대응할 수 있습니다. Security Command Center는 가상 레드팀 구성 및 규칙 기반 감지를 통해 문제를 발견합니다. 문제 조사에 대한 자세한 내용은 문제 개요를 참고하세요.
상황 관리
자세 페이지에서 조직에서 만든 보안 자세에 대한 세부정보를 보고 조직, 폴더 또는 프로젝트에 자세를 적용할 수 있습니다. 사용 가능한 사전 정의된 상황 템플릿도 볼 수 있습니다.
SCC 설정
Security Command Center Enterprise에서는 탐색의 SCC 설정 링크에서 설정 페이지를 엽니다. Security Command Center Standard 및 Premium에서는 헤더의 설정 링크에서 페이지를 엽니다.
설정 페이지에서는 다음을 비롯한 Security Command Center를 구성할 수 있습니다.
SCC 설정 가이드
설정 가이드 페이지에서 Security Command Center Enterprise를 활성화하고 추가 서비스를 구성할 수 있습니다. 자세한 내용은 Security Command Center Enterprise 등급 활성화를 참고하세요.
소스
소스 페이지에는 사용 설정한 보안 소스의 애셋 및 발견 사항을 제공하는 카드가 포함되어 있습니다. 각 보안 소스의 카드에는 해당 소스의 몇 가지 발견 사항이 표시됩니다. 발견 사항 카테고리 이름을 클릭하면 해당 카테고리의 모든 발견 사항을 볼 수 있습니다.
소스별 발견 항목
소스별 발견 항목 카드에는 사용 설정된 보안 소스가 제공하는 각 발견 항목의 카테고리가 표시됩니다.
- 특정 소스의 발견 항목에 대한 세부정보를 보려면 소스 이름을 클릭합니다.
- 모든 발견 항목에 대한 세부 정보를 보기 위해서는 발견 항목 페이지를 클릭하고 여기에서 개별 발견 항목에 대한 세부정보를 볼 수 있습니다.
소스 요약
소스별 발견 항목 카드 아래에는 사용 설정한 내장, 통합, 서드 파티 소스에 대한 별도의 카드가 표시됩니다. 각 카드는 해당 소스에 대한 활성 발견 항목 수를 제공합니다.
위협
위협은 클라우드 리소스에서 발생할 수 있는 유해한 이벤트입니다. Security Command Center는 서비스 등급에 따라 다양한 뷰로 위협을 표시합니다.
표준
Security Command Center 표준에서는 위협 페이지가 지원되지 않습니다. 발견 항목 페이지에서 위협 발견 항목을 확인할 수 있습니다.
프리미엄
Security Command Center 프리미엄에서 위협 탐색 링크를 클릭하면 위험 개요 > 위협 대시보드가 열립니다.
Enterprise
Security Command Center Enterprise에서는 위험 개요 > 위협 대시보드에서 위협을 볼 수 있습니다.
기존 취약점 페이지
기존 취약점 페이지에는 Security Command Center의 기본 제공 감지 서비스가 클라우드 환경에서 실행하는 모든 구성 오류 및 소프트웨어 취약점 발견 항목이 나열됩니다. 나열된 각 감지기에 대해 활성 발견 항목 수가 표시됩니다.
Security Command Center에서 취약점 페이지를 보려면 다음 단계를 따르세요.
표준
Google Cloud 콘솔에서 취약점 페이지로 이동합니다.
프리미엄
Google Cloud 콘솔에서 위험 개요 페이지로 이동합니다.
위험 개요 페이지에서 취약점을 클릭합니다.
취약점 대시보드에서 기존 페이지로 이동을 클릭합니다.
Enterprise
Google Cloud 콘솔에서 위험 개요 페이지로 이동합니다.
위험 개요 페이지에서 취약점을 클릭합니다.
취약점 대시보드에서 기존 페이지로 이동을 클릭합니다.
취약점 감지 서비스
취약점 페이지에는 다음과 같이 Security Command Center의 기본 제공 감지 서비스에 대한 감지기가 나열됩니다.
- Notebook Security Scanner(미리보기)
- Security Health Analytics
- Amazon Web Services(AWS)용 취약점 평가
- Web Security Scanner
Security Command Center와 통합된 기타 Google Cloud 서비스도 소프트웨어 취약점과 구성 오류를 감지합니다. 이러한 일부 서비스의 발견 사항도 취약점 페이지에 표시됩니다. Security Command Center에서 취약점 발견 항목을 생성하는 서비스에 대한 자세한 내용은 감지 서비스를 참고하세요.
취약점 감지기 카테고리 관련 정보
각 구성 오류 또는 소프트웨어 취약점 감지기에 대해서는 취약점 페이지에 다음 정보가 표시됩니다.
- 상태: 감지기가 활성 상태인지, 감지기가 해결해야 할 발견 항목을 찾았는지 아이콘으로 나타냅니다. 상태 아이콘 위에 마우스 포인터를 올려놓으면 도움말에 감지기가 결과를 찾은 날짜 및 시간과 권장사항을 확인하는 방법에 대한 정보가 표시됩니다.
- 최근 스캔 시간: 감지기의 최근 스캔이 실행된 날짜와 시간입니다.
- 카테고리: 취약점의 카테고리 또는 유형입니다. 각 Security Command Center 서비스가 감지하는 카테고리 목록은 다음을 참조하세요.
권장사항: 발견 항목의 구제 조치 방법에 대한 요약입니다. 자세한 내용은 다음을 참조하세요.
활성: 카테고리의 총 발견 항목 수입니다.
표준: 찾기 카테고리가 적용되는 규정 준수 벤치마크(있는 경우)입니다. 벤치마크에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.
취약점 발견 항목 필터링
대규모 조직에서는 검토, 분류, 추적을 위한 배포 전반에 걸쳐 많은 취약점 발견 사항이 발생할 수 있습니다. Google Cloud 콘솔의 Security Command Center 취약점 및 발견 사항 페이지에서 사용 가능한 필터를 적용하면 조직 전체에서 심각도가 가장 높은 취약점을 중점적으로 확인하고, 애셋 유형, 프로젝트 등을 기준으로 취약점을 검토할 수 있습니다.
취약점 발견 사항 필터링에 대한 자세한 내용은 Security Command Center의 취약점 발견 사항 필터링을 참조하세요.
Security Command Center Enterprise에서 Security Operations 콘솔로 연결되는 링크
Security Command Center Enterprise 등급에는 Google Cloud 콘솔 페이지와 Security Operations 콘솔 페이지 모두에서 사용할 수 있는 기능이 포함되어 있습니다.
Google Cloud 콘솔에 로그인하고 Google Cloud 콘솔 탐색에서 보안 운영 콘솔 페이지로 이동합니다. 이 섹션에서는 각 페이지에서 실행할 수 있는 작업과 보안 운영 콘솔 페이지를 여는 탐색 링크에 대해 설명합니다.
Google Cloud 콘솔 페이지
Google Cloud 콘솔 페이지를 사용하면 다음과 같은 작업을 수행할 수 있습니다.
- Security Command Center 활성화
- 모든 Security Command Center 사용자에 대해 Identity and Access Management(IAM) 권한 설정
- 다른 클라우드 환경에 연결하여 리소스 및 구성 데이터 수집
- 발견 사항 작업 수행 및 내보내기
- 공격 노출 점수로 위험 평가
- Security Command Center Enterprise의 클라우드 환경에서 발견한 가장 중요한 보안 위험 문제 작업
- Sensitive Data Protection으로 민감도가 높은 데이터 식별
- 개별 발견 항목을 조사하고 해결합니다.
- Security Health Analytics, Web Security Scanner, 기타 Google Cloud통합 서비스 구성
- 보안 태세 관리
- 클라우드 컨트롤 및 프레임워크를 구성합니다.
- 데이터 보안 태세를 관리합니다.
- 일반적인 보안 표준 또는 벤치마크를 준수하는지 평가하여 보고합니다.
- Google Cloud 애셋을 열람하고 검색합니다.
다음 이미지는Google Cloud 콘솔의 Security Command Center 콘텐츠를 보여줍니다.
Security Operations 콘솔 페이지
Security Operations 콘솔 페이지를 이용하여 다음과 같은 태스크를 수행할 수 있습니다.
- 다른 클라우드 환경에 연결하여 보안 정보 및 이벤트 관리(SIEM)의 선별된 탐지를 위한 로그 데이터 수집
- 보안 조정, 자동화, 응답(SOAR) 설정 구성
- 인시던트 및 케이스 관리를 위해 사용자 및 그룹 구성
- 발견 사항 그룹화, 티켓 할당, 알림 작업 등을 포함한 케이스 작업 수행
- 플레이북이라고 하는 자동화된 단계 시퀀스를 사용해서 문제 해결
- Workdesk를 사용하여 미해결 케이스 및 플레이북에서 대기 중인 작업과 태스크 관리
다음 이미지는 Security Operations 콘솔을 보여줍니다.
Security Operations 콘솔 페이지의 URL은 다음 패턴과 유사합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/cases
여기에서 CUSTOMER_SUBDOMAIN
은 고객별 식별자입니다.
알림 및 IOC
이 Security Operations 콘솔 페이지를 사용하면 선별된 감지 및 맞춤 규칙으로 생성된 알림을 볼 수 있습니다. 알림 조사에 대한 자세한 내용은 Google Security Operations 문서의 다음 항목을 참고하세요.
- 선별된 감지에 의해 생성된 GCTI 알림 조사
- 알림 조사
케이스
Security Operations 콘솔에서 케이스를 사용하여 발견 항목에 대한 세부정보를 가져오고, 발견 항목 알림에 플레이북을 연결하고, 자동 위협 응답을 적용하고, 보안 문제 해결을 추적할 수 있습니다.
자세한 내용은 Google Security Operations 문서의 케이스 개요를 참고하세요.
플레이북
이 보안 운영 콘솔 페이지에서는 SCC Enterprise - Cloud 조정 및 해결 사용 사례에 포함된 플레이북을 관리할 수 있습니다.
이 사용 사례에서 사용할 수 있는 통합에 대한 자세한 내용은 Security Command Center 서비스 등급을 참고하세요.
사용 가능한 플레이북에 대한 자세한 내용은 Enterprise 사용 사례 업데이트를 참고하세요.
Security Operations 콘솔 플레이북 페이지 사용에 관한 자세한 내용은 Google Security Operations 문서의 플레이북 페이지에는 무엇이 표시되나요?를 참고하세요.
규칙 및 감지
이 Security Operations 콘솔 페이지를 사용하면 선별된 감지를 사용 설정하고 Security Operations 콘솔 로그 데이터 수집 메커니즘을 사용하여 수집된 데이터의 패턴을 식별하는 맞춤 규칙을 만들 수 있습니다. Security Command Center Enterprise에서 사용할 수 있는 선별된 감지에 대한 자세한 내용은 선별된 감지로 위협 조사하기를 참고하세요.
SIEM 대시보드
이 Security Operations 콘솔 페이지를 사용하면 Google Security Operations SIEM 대시보드를 통해 Google Security Operations 규칙으로 생성된 알림과 Security Operations 콘솔 로그 데이터 수집 기능을 사용하여 수집된 데이터를 분석할 수 있습니다.
SIEM 대시보드 사용에 대한 자세한 내용은 Google Security Operations 문서의 대시보드 개요를 참고하세요.
SIEM 검색
이 Security Operations 콘솔 페이지를 사용하면 Google Security Operations 인스턴스 내에서 통합 데이터 모델(UDM) 이벤트와 알림을 찾을 수 있습니다. 자세한 내용은 Google Security Operations 문서의 SIEM 검색을 참고하세요.
SIEM 설정
이 Security Operations 콘솔 페이지를 사용하면 Google Security Operations SIEM과 관련된 기능의 구성을 변경할 수 있습니다. 이러한 기능 사용에 대한 자세한 내용은 Google Security Operations 문서를 참고하세요.
SOAR 대시보드
이 Security Operations 콘솔 페이지를 사용하면 응답과 케이스를 분석하는 데 사용할 수 있는 SOAR 데이터를 사용하여 대시보드를 보고 만들 수 있습니다. SOAR 대시보드 사용에 관한 자세한 내용은 Google Security Operations 문서의 SOAR 대시보드 개요를 참고하세요.
SOAR 보고서
이 Security Operations 콘솔 페이지를 사용하면 SOAR 데이터에 대한 보고서를 볼 수 있습니다. SOAR 보고서 사용에 대한 자세한 내용은 Google Security Operations 문서의 SOAR 보고서 이해하기를 참고하세요.
SOAR 검색
이 Security Operations 콘솔 페이지를 사용하면 Google Security Operations SOAR에서 색인을 생성한 특정 케이스 또는 엔티티를 찾을 수 있습니다. 자세한 내용은 Google Security Operations 문서의 SOAR에서 검색 페이지 사용을 참고하세요.
SOAR 설정
이 Security Operations 콘솔 페이지를 사용하면 Google Security Operations SOAR과 관련된 기능의 구성을 변경할 수 있습니다. 이러한 기능 사용에 대한 자세한 내용은 Google Security Operations 문서를 참고하세요.
다음 단계
- 감지 서비스 알아보기
- 보안 표시 사용 방법 알아보기
- Security Command Center 구성 방법 알아보기