Enterprise 사용 사례 업데이트

2024년 7월 10일, SCC Enterprise - 클라우드 조정 및 해결 사용 사례의 업데이트가 제공됩니다. 되도록 빠른 시일 내에 사용 사례를 업데이트하세요.

이 사용 사례는 Security Command Center 엔터프라이즈 등급의 보안 운영 기능에 대한 업데이트를 제공합니다. 업데이트를 적용하려면 이 페이지의 절차를 따르세요.

업데이트 절차에는 다음과 같은 대략적인 단계가 포함됩니다.

커넥터를 중지하고 특정 기존 플레이북을 삭제하여 시스템 업데이트를 준비합니다.
최신 버전의 SCC Enterprise – Cloud 조정 및 해결 사용 사례를 설치합니다.
설치를 검증하고 업데이트된 플레이북을 실행합니다.

필수 역할이 있는지 확인

이 절차를 완료하려면 보안 운영 콘솔에서 다음 SOC 역할을 부여받아야 합니다.

관리자
취약점 관리자
위협 관리자

보안 운영 콘솔의 SOC 역할과 사용자에게 필요한 권한에 대한 자세한 내용은 보안 운영 콘솔의 기능에 대한 액세스 제어를 참조하세요.

업데이트를 할 수 있도록 시스템 준비

사용 사례를 업데이트하기 전에 SCC Enterprise – 긴급 상황 발견 항목 커넥터를 중지하고 현재 사용 사례 버전에서 제공한 플레이북을 삭제해야 합니다.

커넥터 중지

플레이북이 연결되지 않은 알림 발생을 방지하려면 플레이북을 삭제하기 전에 SCC Enterprise – 긴급 상황 발견 항목 커넥터를 중지합니다. Security Command Center는 개발자가 커넥터를 업데이트하고 사용 설정할 때 커넥터가 중지된 동안 수집된 발견 항목을 수집합니다.

커넥터를 중지하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCCEnterprise를 선택합니다.
전환 버튼을 전환하여 커넥터를 중지합니다.
저장을 클릭합니다.

플레이북 삭제

플레이북 중복을 방지하려면 현재 버전의 사용 사례에서 사용하는 기본 플레이북을 삭제합니다. 사용 사례를 업그레이드하기 전에 플레이북을 삭제해도 케이스 관리는 영향을 받지 않습니다.

기본 플레이북을 삭제하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
플레이북 페이지의 블록에서 플레이북을 필터링하려면 드롭다운 필터를 모두 표시에서 플레이북으로 변경합니다.
Siemplify 사용 사례를 선택합니다. 이 폴더에는 다음 기본 플레이북이 포함됩니다.
- AWS 위협 대응 플레이북
- GCP 위협 대응 플레이북
- IAM 추천자 응답
- 상황 발견 항목 - 일반
- Jira를 통한 상황 발견 항목
- ServiceNow를 통한 상황 발견 항목
플레이북 페이지 탐색에서 수정을 클릭하여 항목 여러 개를 선택합니다.
Siemplify 사용 사례 옆에 있는 done_all 모두 선택을 클릭하여 폴더의 모든 플레이북을 선택합니다.
플레이북 페이지 탐색에서 나열 메뉴 > 삭제를 클릭합니다. 선택한 플레이북을 확인하거나 취소해야 하는 창이 표시됩니다.
확인을 클릭합니다.

이제 사용 사례 버전을 업데이트할 수 있습니다.

Security Command Center Enterprise 사용 사례 설치

최신 버전 SCC Enterprise 사용 사례를 최신 버전으로 설치하고 사용 사례에서 제공되는 모든 통합이 최신 상태인지 확인합니다.

새로운 사용 사례 구성 적용 및 검증

최신 사용 사례에 포함된 다양한 기능이 올바르게 업데이트되었는지 검증해야 합니다. 특정 기능의 경우 새 사용 사례의 업데이트를 수동으로 적용해야 합니다.

사용 사례에서 통합 버전 검증

사용 사례의 통합이 최신 상태인지 확인하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 Marketplace > 통합으로 이동합니다.
유형 필드에서 모든 통합을 선택합니다.
상태 필드에서 사용 가능한 업그레이드를 선택합니다. 업그레이드가 필요한 모든 통합이 표시됩니다.
통합을 업그레이드하려면 통합 카드에서 순환 업그레이드 아이콘을 클릭하고 업그레이드 마법사를 완료합니다. Security Command Center Enterprises 통합을 업그레이드해야 합니다.

동기화 작업 유효성 검사

최신 사용 사례 버전을 설치하고 통합 버전을 검증한 후 SCC 데이터 동기화 작업에 업데이트된 매개변수가 포함되어 있는지 확인합니다.

동기화 작업 유효성을 검사하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
GoogleSecurityCommandCenter에서 GoogleSecurityCommandCenter를 선택합니다.
매개변수 섹션에서 프로젝트 ID 및 할당량 프로젝트 ID 매개변수 값이 같은지 확인합니다.

값이 같으면 작업이 최신 상태입니다. 케이스 뷰 위젯 업데이트로 진행할 수 있습니다.

값이 다르면 다음 섹션으로 진행합니다.

동기화 작업 매개변수 업데이트

사용 사례 업데이트 중에 동기화 작업이 자동으로 업데이트할 수 없으면 프로젝트 ID 및 할당량 프로젝트 ID 매개변수 값을 수동으로 입력해야 합니다.

올바른 매개변수 값을 지정하려면 다음 단계를 완료합니다.

설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCCEnterprise를 선택합니다.
매개변수 섹션에서 할당량 프로젝트 ID 매개변수 값을 복사합니다.
응답 > 작업 스케줄러로 이동합니다.
GoogleSecurityCommandCenter에서 GoogleSecurityCommandCenter를 선택합니다.
SCC 데이터 동기화 작업의 매개변수 섹션에 있는 프로젝트 ID 및 할당량 프로젝트 ID 필드에 복사된 값을 입력합니다.
저장을 클릭합니다.

케이스 뷰 위젯 업데이트

보안 운영 콘솔에서 설정 > SOAR 설정 > 케이스 데이터 > 뷰로 이동합니다.
기본 케이스 뷰를 선택합니다.
사전 정의됨 탭을 선택합니다.
기본 케이스 뷰 패널에서 다음 위젯을 삭제합니다.
- 발견 항목 요약(잘못된 구성)
- 발견 항목 요약(취약점)
- SCC - 발견 항목 상태
- SCC 다음 단계
- 티켓 정보
다음 권장 순서에 따라 위젯을 사전 정의됨 탭에서 기본 케이스 뷰로 드래그합니다.
1. 케이스 요약
2. 유해한 조합 공격 경로
3. 발견 항목
4. AI 조사/Gemini 요약
5. 발견 항목 요약
6. SCC - 발견 항목 상태
7. 영향을 받는 애셋
8. 영향을 받는 AWS 애셋
9. 티켓 정보
10. 대기 중인 작업
11. 알림
12. 항목 그래프
13. 항목 하이라이트
14. 최근 케이스 월 활동
15. 권장사항
16. 통계
뷰 저장을 클릭합니다.

위젯 유효성 검사

올바른 정보를 가져왔는지 확인하려면 다음 위젯에 올바른 조건이 포함되어 있는지 검증합니다.

유해한 조합 공격 경로
발견 항목
항목 그래프
AI 조사/Gemini 요약

위젯 유효성을 검사하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 설정 > SOAR 설정 > 케이스 데이터 > 뷰로 이동합니다.
기본 케이스 뷰를 선택합니다.
유해한 조합 공격 경로 및 발견 항목 위젯 모두의 경우 설정 구성을 클릭합니다.
조건 섹션의 고급 설정에서 조건이 [Case.Tags] () Toxic Combination과 같이 표시되어야 합니다. 그렇지 않으면 조건을 업데이트하고 저장을 클릭합니다.
항목 그래프 및 AI 조사/Gemini 요약 위젯 모두의 경우 설정 구성을 클릭합니다.
조건 섹션의 고급 설정에서 조건이 [Case.Tags] !() Toxic Combination과 같이 표시되어야 합니다. 그렇지 않으면 조건을 업데이트하고 저장을 클릭합니다.

알림 그룹화 규칙 만들기

최신 사용 사례 버전 업데이트를 지원하려면 새 알림 그룹화 규칙을 만듭니다.

알림 규칙을 만들려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 설정 > SOAR 설정 > 고급 > 알림 그룹화로 이동합니다.
규칙 섹션에서 추가 추가를 클릭합니다. 그룹화 규칙 추가 창이 열립니다.
카테고리 필드에서 데이터 소스를 선택합니다.
데이터 소스 필드에서 SCCEnterprise를 선택합니다.
그룹화 기준 필드에서 소스 그룹화 식별자를 선택합니다.
만들기를 클릭합니다.
알림 그룹화 페이지에서 저장을 클릭합니다.

플레이북 사용 설정

취약점과 잘못된 구성을 처리할 수 있는 플레이북을 사용 설정하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 응답 > 플레이북으로 이동합니다.
Siemplify 사용 사례 폴더를 선택합니다.

티켓팅 시스템과 통합하지 않은 경우 상황 발견 항목 - 일반 플레이북이 사용 설정되었는지 확인합니다.

티켓팅 시스템과 통합한 경우 다음 단계를 완료합니다.
1. 상황 발견 항목 - 일반 플레이북을 선택합니다.
2. 전환 버튼을 전환하여 중지합니다.
3. 저장을 클릭합니다.
4. Jira와 통합한 경우 Jira를 통한 상황 발견 항목 플레이북을 선택합니다.
  1. 전환 버튼을 전환하여 플레이북을 사용 설정합니다.
  2. 저장을 클릭합니다.
5. ServiceNow와 통합한 경우 ServiceNow를 통한 상황 발견 항목 플레이북을 선택합니다.
  1. 전환 버튼을 전환하여 플레이북을 사용 설정합니다.
  2. 저장을 클릭합니다.

플레이북 다시 실행

새 플레이북을 기존 알림에 적용하려면 플레이북을 다시 실행합니다. 플레이북을 다시 실행해도 기존 알림의 새 티켓은 생성되지 않습니다.

플레이북을 다시 실행하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 케이스로 이동합니다.
진행 중인 케이스를 선택합니다.
케이스 뷰에서 플레이북을 다시 실행할 알림을 선택합니다.
플레이북 이름 옆에 있는 플레이북 탭에서 플레이북 다시 실행을 클릭합니다.

커넥터 업데이트

사용 사례를 업데이트해도 커넥터가 자동으로 업데이트되지 않습니다. 사용 사례 업데이트 후 데이터 수집이 예상대로 작동하는지 확인하려면 커넥터를 업데이트합니다.

커넥터를 업데이트하려면 다음 단계를 완료합니다.

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCCEnterprise를 선택합니다.
캐시된 업데이트를 클릭합니다.
전환 버튼을 전환하여 커넥터를 사용 설정합니다.
저장을 클릭합니다.

업데이트 구성 확인

모든 사용 사례 구성요소가 성공적으로 업데이트되었는지 확인하려면 커넥터와 작업을 테스트합니다.

커넥터 테스트

보안 운영 콘솔에서 설정 > SOAR 설정 > 수집 > 커넥터로 이동합니다.
SCCEnterprise에서 SCCEnterprise를 선택합니다.
테스트 탭으로 이동합니다.
커넥터 한 번 실행을 클릭합니다. 커넥터 구성이 올바르면 체크표시가 나타납니다.

작업 테스트

보안 운영 콘솔에서 응답 > 작업 스케줄러로 이동합니다.
GoogleSecurityCommandCenter에서 GoogleSecurityCommandCenter를 선택합니다.
지금 실행을 클릭합니다. 작업이 예상대로 작동하면 작업 상태는 Success입니다.

문제 해결

발견 항목 알림의 다음 단계 섹션 형식이 올바르게 지정되지 않거나 누락되면 발견 항목 요약 위젯의 영향을 받은 케이스의 알람 하나에서 플레이북을 다시 실행합니다.
SCC 데이터 동기화 작업에 다음 오류가 표시됩니다.
```
TIPCommon.exceptions.JobSetupError: Resource already exists in the project (resource={identifier}_topic)
```
10분 정도 기다린 후 지금 실행을 클릭합니다. 오류가 계속되면 다음 단계를 완료합니다.
1. 작업 매개변수 섹션에서 조직 ID 매개변수 값을 삭제합니다.
2. 조직 ID 매개변수 값을 입력합니다.
3. 저장을 클릭합니다.
4. 지금 실행을 클릭합니다.