클라우드 위협 카테고리 개요

이 문서에서는 클라우드 위협 카테고리의 규칙 집합, 필요한 데이터 소스, 각 규칙 집합에서 생성된 알림을 조정하는 데 사용할 수 있는 구성에 대해 간략하게 설명합니다. 이러한 규칙 집합은 Google Cloud 데이터를 사용하는 Google Cloud 환경과 AWS 데이터를 사용하는 AWS 환경에서 위협을 식별하는 데 도움을 줄 수 있습니다.

규칙 집합 설명

다음 규칙 집합은 클라우드 위협 카테고리에서 제공됩니다.

CDIR 약어는 Cloud 감지, 조사, 응답을 나타냅니다.

Google Cloud 데이터에 대해 선별된 감지

Google Cloud 규칙 집합은 이벤트 및 문맥 데이터를 사용하여 Google Cloud 환경에서 위협을 식별하는 데 도움을 줄 수 있으며, 다음 규칙 집합을 포함합니다.

  • 관리자 작업: 의심스러운 것으로 간주될 수 있지만 조직 상황에 따라 합법적일 수 있는 관리 활동과 연결된 활동입니다.
  • CDIR SCC 향상된 유출: Security Command Center 유출 발견 항목을 Cloud 감사 로그, Sensitive Data Protection 컨텍스트, BigQuery 컨텍스트, Security Command Center 구성 오류 로그와 같은 다른 로그 소스와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 방어 회피: Security Command Center 회피 또는 방어 회피 발견 항목을 Cloud 감사 로그와 같은 다른 Google Cloud 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 멀웨어: Cloud DNS 로그 같은 다른 데이터 소스 외에도 IP 주소 및 도메인 어커런스와 보급 점수와 같은 데이터와 Security Command Center 멀웨어 발견 항목을 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 지속성: Security Command Center 지속성 발견 항목을 Cloud DNS 로그 및 IAM 분석 로그와 같은 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 권한 에스컬레이션: Security Command Center 권한 에스컬레이션 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 사용자 인증 정보 액세스: Security Command Center 사용자 인증 정보 액세스 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 향상된 검색: Security Command Center Discovery 에스컬레이션 발견 항목을 Google Cloud 서비스 및 Cloud 감사 로그와 같은 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 무작위 공격: Security Command Center 무작위 에스컬레이션 발견 항목을 Cloud DNS 로그와 같은 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 데이터 폐기: Security Command Center 데이터 폐기 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 시스템 복구 차단: Security Command Center 시스템 복구 차단 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 실행: Security Command Center 실행 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 초기 액세스: Security Command Center 초기 액세스 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 방어력 손상: Security Command Center 방어력 손상 발견 항목을 Cloud 감사 로그와 같은 다른 여러 데이터 소스의 데이터와 연관시키는 컨텍스트 인식 규칙을 포함합니다.
  • CDIR SCC 영향: Security Command Center의 영향 발견 항목을 감지하는 규칙을 포함합니다. 심각도는 중요, 높음, 중간, 낮음으로 분류됩니다.
  • CDIR SCC Cloud IDS: Security Command Center의 Cloud Intrusion Detection System 발견 항목을 감지하는 규칙을 포함합니다. 심각도는 중요, 높음, 중간, 낮음으로 분류됩니다.
  • CDIR SCC Cloud Armor: Security Command Center의 Google Cloud Armor 발견 항목을 감지하는 규칙을 포함합니다.
  • CDIR SCC 커스텀 모듈: Security Command Center의 Event Threat Detection 커스텀 모듈 발견 항목을 감지하는 규칙을 포함합니다.
  • Cloud Hacktool: 알려진 공격적인 보안 플랫폼 또는 특정 클라우드 리소스를 대상으로 하는 위협 행위자가 실제 상황에서 사용하는 공격적인 도구나 소프트웨어에서 감지된 활동입니다.
  • Cloud SQL 금전 요구: Cloud SQL 데이터베이스 내부의 데이터 유출 또는 금전 요구와 관련된 활동을 감지합니다.
  • Kubernetes 의심스러운 도구: 오픈소스 Kubernetes 도구에서 정찰 및 악용 동작을 감지합니다.
  • Kubernetes RBAC 악용: 권한 에스컬레이션 또는 측면 이동을 시도하는 역할 기반 액세스 제어(RBAC)의 악용과 연관된 Kubernetes 활동을 감지합니다.
  • Kubernetes 인증서 민감한 작업: 지속성을 설정하거나 권한을 에스컬레이션하는 데 사용할 수 있는 Kubernetes 인증서 및 인증서 서명 요청(CSR) 작업을 감지합니다.
  • IAM 악용: 특정 클라우드 프로젝트 또는 클라우드 조직 내에서 잠재적으로 권한을 에스컬레이션하거나 측면 이동할 수 있는 IAM 역할 및 권한 남용과 관련된 활동입니다.
  • 잠재적 Exfil 활동: 데이터 무단 반출과 관련된 활동을 감지합니다.
  • 리소스 매스커레이딩: 다른 리소스 또는 리소스 유형의 이름 또는 특성으로 생성된 Google Cloud 리소스를 감지합니다. 이렇게 하면 리소스에서 또는 리소스 내에서 수행되며 적법한 의도로 보이는 악의적인 활동을 마스킹하는 데 사용될 수 있습니다.
  • 서버리스 위협: Cloud Run 및 Cloud Functions 등의 Google Cloud에서 서버리스 리소스에 대한 잠재적인 손상 또는 악용과 관련된 활동을 감지합니다.
  • 서비스 중단: 작동 중인 프로덕션 환경에서 수행할 경우 상당한 중단을 초래할 수 있는 파괴적이거나 중단을 유발하는 작업을 감지합니다. 감지된 행동은 일반적이며 테스트 및 개발 환경에서 무해할 가능성이 높습니다.
  • 의심스러운 행동: 대부분의 환경에서 일반적이지 않고 의심스러운 것으로 간주되는 활동입니다.
  • 의심스러운 인프라 변경: 알려진 지속성 전술에 맞는 프로덕션 인프라에 대한 수정을 감지합니다.
  • 약한 구성: 보안 제어의 약화 또는 저하와 관련된 활동입니다. 의심스러운 활동으로 간주되며 조직 사용에 따라 적법한 활동일 수도 있습니다.
  • Chrome에서 잠재적인 내부자 데이터 무단 반출: 데이터 무단 반출 또는 Google Workspace 조직 외부에서 잠재적으로 민감한 정보 손실과 같은 잠재적인 내부자 위협 동작과 관련된 활동을 감지합니다. 여기에는 Chrome에서 30일 기준 대비 비정상으로 간주된 동작이 포함됩니다.
  • Drive에서 잠재적인 내부자 데이터 무단 반출: 데이터 무단 반출 또는 Google Workspace 조직 외부에서 잠재적으로 민감한 정보 손실과 같은 잠재적인 내부자 위협 동작과 관련된 활동을 감지합니다. 여기에는 Drive에서 30일 기준 대비 비정상으로 간주된 동작이 포함됩니다.
  • Gmail에서 잠재적인 내부자 데이터 무단 반출: 데이터 무단 반출 또는 Google Workspace 조직 외부에서 잠재적으로 민감한 정보 손실과 같은 잠재적인 내부자 위협 동작과 관련된 활동을 감지합니다. 여기에는 Gmail에서 30일 기준 대비 비정상으로 간주된 동작이 포함됩니다.
  • 잠재적인 Workspace 계정 침해: 계정이 침해되었을 가능성이 있으며 Google Workspace 조직 내에서 권한 에스컬레이션 시도 또는 측면 이동 시도로 이어질 수 있음을 나타내는 내부자 위협 동작을 감지합니다. 여기에는 30일 기준 대비 드물게 또는 비정상으로 간주되는 동작이 포함됩니다.
  • 의심스러운 Workspace 관리 작업: 관리자 등 더 높은 권한을 가진 사용자에게 지난 30일 동안 발생하지 않은 잠재적인 회피, 보안 다운그레이드 또는 드물게 발생하는 비정상 동작을 감지합니다.

CDIR 약어는 Cloud 감지, 조사, 응답을 나타냅니다.

지원되는 기기 및 로그 유형

다음 섹션에서는 클라우드 위협 카테고리의 규칙 집합에 필요한 필수 데이터를 설명합니다.

Google Cloud 서비스에서 데이터를 수집하려면 Google Security Operations에 Cloud 로그 수집을 참조하세요. 다른 메커니즘을 사용하여 이러한 로그를 수집해야 할 경우 Google Security Operations 담당자에게 문의하세요.

Google Security Operations는 Google Cloud 서비스의 원시 로그를 파싱하고 정규화하여 이러한 규칙 집합에 필요한 데이터로 UDM 레코드를 만드는 기본 파서를 제공합니다.

지원되는 모든 Google Security Operations 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.

모든 규칙 집합

규칙 집합을 사용하려면 Google Cloud의 Cloud 감사 로그를 수집하는 것이 좋습니다. 특정 규칙의 경우 고객이 Cloud DNS 로깅을 사용 설정해야 합니다. Google Cloud 서비스가 다음 로그에 데이터를 기록하도록 구성되었는지 확인합니다.

Cloud SQL 금전 요구 규칙 집합

Cloud SQL 랜섬 규칙 집합을 사용하려면 다음 Google Cloud 데이터를 수집하는 것이 좋습니다.

CDIR SCC 향상된 규칙 집합

이름이 CDIR SCC 향상된으로 시작하는 모든 규칙 집합은 다음을 포함한 다른 여러 Google Cloud 로그 소스와 컨텍스트가 연결된 Security Command Center 프리미엄 발견 항목을 사용합니다.

  • Cloud 감사 로그
  • Cloud DNS 로그
  • Identity and Access Management(IAM) 분석
  • Sensitive Data Protection 컨텍스트
  • BigQuery 컨텍스트
  • Compute Engine 컨텍스트

CDIR SCC 향상된 규칙 집합을 사용하려면 다음 Google Cloud 데이터를 수집하는 것이 좋습니다.

  • 모든 규칙 집합 섹션에 나열된 로그 데이터

  • 제품 이름 및 Google Security Operations 수집 라벨별로 나열된 다음 로그 데이터:

    • BigQuery(GCP_BIGQUERY_CONTEXT)
    • Compute Engine(GCP_COMPUTE_CONTEXT)
    • IAM(GCP_IAM_CONTEXT)
    • Sensitive Data Protection(GCP_DLP_CONTEXT)
    • Cloud 감사 로그(GCP_CLOUDAUDIT)
    • Google Workspace 활동(WORKSPACE_ACTIVITY)
    • Cloud DNS 쿼리(GCP_DNS)

  • findingClass 식별자와 Google Security Operations 수집 라벨로 나열된 다음 Security Command Center 발견 항목 클래스

    • Threat(GCP_SECURITYCENTER_THREAT)
    • Misconfiguration(GCP_SECURITYCENTER_MISCONFIGURATION)
    • Vulnerability(GCP_SECURITYCENTER_VULNERABILITY)
    • SCC Error(GCP_SECURITYCENTER_ERROR)

CDIR SCC 향상된 규칙 집합도 Google Cloud 서비스의 데이터에 따라 달라집니다. Google Security Operations에 필수 데이터를 전송하려면 다음을 완료해야 합니다.

다음 규칙 집합은 Security Command Center Event Threat Detection, Google Cloud Armor .Security Command Center 민감한 작업 서비스Event Threat Detection용 커스텀 모듈의 발견 항목이 식별될 때 생성됩니다.

  • CDIR SCC Cloud IDS
  • CDIR SCC Cloud Armor
  • CDIR SCC 영향
  • CDIR SCC 향상된 지속성
  • CDIR SCC 향상된 방어 회피
  • CDIR SCC 커스텀 모듈

Kubernetes 의심스러운 도구 규칙 집합

Kubernetes 의심스러운 도구 규칙 집합을 사용하려면 모든 규칙 집합 섹션에 나열된 데이터를 수집하는 것이 좋습니다. Google Cloud 서비스가 Google Kubernetes Engine(GKE) 노드 로그에 데이터를 기록하도록 구성되었는지 확인합니다.

Kubernetes RBAC 악용 규칙 집합

Kubernetes RBAC 악용 규칙 집합을 사용하려면 모든 규칙 집합 섹션에 나열된 Cloud 감사 로그를 수집하는 것이 좋습니다.

Kubernetes 인증서 민감한 작업 규칙 집합

Kubernetes 인증서 민감한 작업 규칙 집합을 사용하려면 모든 규칙 집합 섹션에 나열된 Cloud 감사 로그를 수집하는 것이 좋습니다.

Google Workspace 관련 규칙 집합

다음 규칙은 Google Workspace 데이터의 감지 패턴을 설정합니다.

  • Chrome에서 잠재적인 내부자 데이터 유출
  • Chrome에서 잠재적인 내부자 데이터 유출
  • Gmail에서 잠재적인 내부자 데이터 유출
  • 잠재적인 Workspace 계정 침해
  • 의심스러운 Workspace 관리 작업

이러한 규칙 집합에는 제품 이름 및 Google Security Operations 수집 라벨로 나열된 다음 로그 유형이 필요합니다.

  • Workspace 활동(WORKSPACE_ACTIVITY)
  • Workspace 알림(WORKSPACE_ALERTS)
  • Workspace Chrome OS 기기(WORKSPACE_CHROMEOS)
  • Workspace 휴대기기(WORKSPACE_MOBILE)
  • Workspace 사용자(WORKSPACE_USERS)
  • Google Chrome 브라우저 클라우드 관리(CHROME_MANAGEMENT)
  • Gmail 로그(GMAIL_LOGS)

필요한 데이터를 수집하려면 다음을 수행합니다.

서버리스 위협 규칙 집합

Cloud Run 로그에는 Google Security Operations에서 GCP_RUN 로그 유형으로 수집되는 요청 로그 및 컨테이너 로그가 포함됩니다. GCP_RUN 로그는 직접 수집을 사용하거나 피드 및 Cloud Storage를 사용하여 수집할 수 있습니다. 특정 로그 필터와 추가 수집 세부정보는 Google Security Operations에 Google Cloud 로그 내보내기를 참조하세요. 다음 내보내기 필터는 직접 수집 메커니즘뿐만 아니라 Cloud Storage 및 싱크를 통해서도 기본 로그와 함께 Google Cloud Cloud Run(GCP_RUN)로그를 내보냅니다.

log_id("run.googleapis.com/stdout") OR
log_id("run.googleapis.com/stderr") OR
log_id("run.googleapis.com/requests") OR
log_id("run.googleapis.com/varlog/system)

AWS 규칙 집합에 대해 선별된 감지

이 카테고리의 AWS 규칙 집합은 이벤트 및 문맥 데이터를 사용하여 AWS 환경에서 위협을 식별하는 데 도움이 되며, 다음 규칙 집합을 포함합니다.

  • AWS - 컴퓨팅: EC2 및 Lambda와 같은 AWS 컴퓨터 리소스 주변의 이상 활동을 감지합니다.
  • AWS - 데이터: 공개적으로 사용 가능한 RDS 스냅샷 또는 S3 버킷과 같은 데이터 리소스와 관련된 AWS 활동을 감지합니다.
  • AWS - GuardDuty: 동작, 사용자 인증 정보 액세스, 암호화폐 채굴, 검색, 회피, 실행, 유출, 영향, 초기 액세스, 멀웨어, 침투 테스트, 지속성, 정책, 권한 에스컬레이션 및 무단 액세스에 대한 문맥 인지형 AWS GuardDuty 알림.
  • AWS - Hacktools: 스캐너, 툴킷, 프레임워크와 같은 AWS 환경에서 Hacktools의 사용을 감지합니다.
  • AWS - ID: 여러 지리적 위치에서 비정상적인 로그인, 과도한 권한이 부여된 역할 생성, 의심스러운 도구의 IAM 활동 등 IAM 및 인증 활동과 관련된 AWS 활동을 감지합니다.
  • AWS - 로깅 및 모니터링: CloudTrail, CloudWatch, GuardDuty와 같은 로깅 및 모니터링 서비스의 사용 중지와 관련된 AWS 활동을 감지합니다.
  • AWS - 네트워크: 보안 그룹 및 방화벽과 같은 AWS 네트워크 설정에 대한 안전하지 않은 변경이 있는 경우 이를 감지합니다.
  • AWS - 조직: 계정 추가 또는 삭제와 같이 조직과 관련된 AWS 활동을 비롯해 리전 사용과 관련된 예기치 않은 이벤트를 감지합니다.
  • AWS - 보안 비밀: KMS 보안 비밀 또는 Secrets Manager 보안 비밀 삭제와 같은 보안 비밀, 토큰, 비밀번호와 관련된 AWS 활동을 감지합니다.

지원되는 기기 및 로그 유형

이러한 규칙 집합은 테스트를 거쳤으며 제품 이름 및 수집 라벨로 나열된 다음 Google Security Operations 데이터 소스에서 지원됩니다.

AWS 데이터 수집 설정에 대한 자세한 내용은 AWS 데이터 수집 구성을 참조하세요.

지원되는 모든 데이터 소스 목록은 지원되는 기본 파서를 참조하세요.

다음 섹션에서는 데이터의 패턴을 식별하는 규칙 집합에 필요한 필수 데이터를 설명합니다.

Amazon Simple Storage Service(Amazon S3) 버킷을 소스 유형으로 사용하거나 선택적으로 Amazon Simple Queue Service(Amazon SQS)와 함께 Amazon S3를 사용하여 AWS 데이터를 수집할 수 있습니다. 대략적으로 다음을 수행해야 합니다.

  • Amazon SQS를 사용하여 로그 데이터를 수집하도록 Amazon S3 또는 Amazon S3를 구성합니다.
  • Amazon S3 또는 Amazon SQS에서 데이터를 수집하도록 Google Security Operations 피드 구성

AWS 서비스를 구성하고 AWS 데이터를 수집하도록 Google Security Operations 피드를 구성하는 데 필요한 세부 단계는 Google Security Operations에 AWS 로그 수집을 참조하세요.

AWS 관리형 감지 테스트 테스트 규칙을 사용하여 AWS 데이터가 Google Security Operations SIEM으로 수집되는지 확인할 수 있습니다. 이러한 테스트 규칙은 AWS 로그 데이터가 예상대로 수집되는지 확인하는 데 도움이 됩니다. AWS 데이터 수집을 설정한 후 AWS에서 테스트 규칙을 트리거하는 작업을 수행합니다.

AWS 관리형 감지 테스트 테스트 규칙을 사용하여 AWS 데이터 수집을 확인하는 방법은 Cloud Threats 카테고리의 AWS 데이터 수집 확인을 참조하세요.

규칙 집합에서 반환된 알림 조정

규칙 제외를 사용해서 규칙 또는 규칙 집합으로 생성되는 감지 수를 줄일 수 있습니다.

규칙 제외 항목은 규칙 집합 또는 규칙 집합의 특정 규칙에서 이벤트 평가를 제외하는 데 사용되는 기준을 정의합니다. 감지 볼륨을 줄이는 데 도움이 되는 규칙 제외 항목을 하나 이상 만듭니다. 이를 수행하는 방법은 규칙 제외 항목 구성을 참조하세요.

다음 단계