Google Security Operations SIEM 개요

Google Security Operations SIEM은 핵심 Google 인프라를 기반으로 하는 특수한 레이어로 빌드된 클라우드 서비스로, 기업에서 생성하는 방대한 보안 및 네트워크 원격 분석을 비공개로 보관, 분석, 검색할 수 있도록 설계되었습니다. Google Security Operations는 데이터를 정규화하고 색인을 생성하고 상관관계를 지정하고 분석하며 위험한 활동에 대한 즉각적인 분석과 컨텍스트를 제공합니다.

Google Security Operations를 사용하면 몇 달 또는 그 이상에 해당하는 기간 동안 기업에서 집계한 보안 정보를 검사할 수 있습니다. Google Security Operations를 사용하여 기업 내에서 액세스하는 모든 도메인을 검색합니다. 특정 애셋, 도메인 또는 IP 주소로 검색 범위를 좁혀 보안 침해가 발생했는지 확인할 수 있습니다.

Google Security Operations 플랫폼 개요

Google Security Operations 플랫폼 개요

데이터 수집

Google Security Operations는 다음을 포함한 다양한 방법을 통해 여러 보안 원격 분석 유형을 수집할 수 있습니다.

  • 전달자: 고객의 네트워크에 배포된 경량 소프트웨어 구성요소로, syslog, 패킷 캡처, 기존 로그 관리 또는 보안 정보 및 이벤트 관리(SIEM) 데이터 저장소를 지원합니다.

  • 수집 API: 로그를 직접 Google Security Operations 플랫폼에 보낼 수 있는 API로, 고객 환경에 하드웨어나 소프트웨어를 추가할 필요가 없습니다.

  • 서드파티 통합: Office 365 및 Azure AD와 같은 소스를 비롯한 로그 수집을 지원하기 위해 서드파티 클라우드 API와 통합합니다.

데이터 분석

Chronicle Security Operations의 분석 기능은 간단한 브라우저 기반 애플리케이션으로 보안 전문가에게 제공됩니다. 이러한 기능 중 대부분은 읽기 API를 통해 프로그래매틱 방식으로 액세스할 수도 있습니다. Google Security Operations는 분석가에게 잠재적 위협이 발견될 때 어떤 위협인지, 무엇을 하고 있는지, 문제가 되는지, 어떻게 대응하는 것이 최선인지를 결정할 수 있는 방법을 제공합니다.

보안 및 규정 준수

핵심 Google 인프라를 기반으로 빌드된 특수한 비공개 레이어인 Google Security Operations는 컴퓨팅 및 스토리지 기능은 물론 해당 인프라의 보안 설계와 기능을 상속합니다.

보안 설계의 일환으로 Google Security Operations는 사용자 인증 정보(예: Google Security Operations 피드에서 서드 파티 API의 로그 데이터를 수집할 수 있도록 제공하는 사용자 인증 정보)를 Secret Manager에 저장합니다.

Google Security Operations 기능

  • 원시 로그 스캔: 파싱되지 않은 원시 로그를 검색합니다.
  • 정규 표현식: 정규 표현식을 사용하여 파싱되지 않은 원시 로그를 검색합니다.

조사 뷰

  • 엔터프라이즈 통계: 조사가 가장 필요한 도메인과 애셋을 표시합니다.
  • 애셋 뷰: 기업 내 애셋을 조사하고 의심스러운 도메인과 관련되었는지 여부를 확인합니다.
  • IP 주소 뷰: 기업 내 특정 IP 주소와 해당 주소가 애셋에 미치는 영향을 조사합니다.
  • 해시 뷰: 해시 값을 기준으로 파일을 검색하고 조사합니다.
  • 도메인 뷰: 기업 내 특정 도메인과 해당 도메인이 애셋에 미치는 영향을 조사합니다.
  • 사용자 뷰: 보안 관련 활동으로 영향을 받았을 수 있는 기업 내 사용자를 조사합니다.
  • 절차적 필터링: 이벤트 유형, 로그 소스, 네트워크 연결 상태, 최상위 도메인(TLD) 등 애셋에 대한 정보를 세부적으로 조정합니다.

선별된 정보

  • 애셋 통계 블록: 추가 조사가 필요할 수 있는 도메인 및 알림을 강조표시합니다.
  • 보급률 그래프: 지정된 기간 동안 애셋이 연결된 도메인 수를 보여줍니다.
  • 인기 있는 보안 제품의 알림

Detection Engine

Google Security Operations 감지 엔진을 사용하면 데이터에서 보안 문제 검색 프로세스를 자동화할 수 있습니다. 모든 수신 데이터를 검색하고 기업에 잠재적 위협과 알려진 위협이 표시되면 이를 알리는 규칙을 지정할 수 있습니다.

VirusTotal

Google Security Operations에서 VirusTotal을 실행하여 VT 컨텍스트를 클릭해 애셋, 도메인 또는 IP 주소를 추가로 조사할 수 있습니다.