보안 제어: 로깅 및 위협 탐지
로깅 및 위협 탐지는 클라우드에서 위협을 탐지하고, 클라우드 서비스의 기본 위협 탐지를 사용하여 높은 품질의 경고를 생성하는 컨트롤을 통해 탐지, 조사, 수정 프로세스를 사용하도록 설정하는 것을 비롯하여 클라우드에서 위협을 탐지하고 클라우드 서비스에 대한 감사 로그를 활성화, 수집, 저장하고는 컨트롤을 포함합니다. 또한 클라우드 모니터링 서비스를 통한 로그 수집, SIEM을 통한 보안 분석 중앙 집중화, 시간 동기화, 로그 보존을 포함합니다.
LT-1: 위협 탐지 기능 사용하도록 설정
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
보안 원칙: 위협 탐지 시나리오를 지원하려면 알려진 모든 알려진 리소스 종류와 예상 위협 및 변칙을 모니터링합니다. 가양성을 줄이기 위해 로그 데이터, 에이전트 또는 기타 데이터 원본에서 고품질 경고를 추출하도록 경고 필터링 및 분석 규칙을 구성합니다.
Azure 지침: 해당 Azure 서비스에 클라우드용 Microsoft Defender 위협 탐지 기능을 사용합니다.
Microsoft Defender 서비스에 포함되지 않은 위협 탐지는 해당 서비스에 대한 Microsoft Cloud Security Benchmark 서비스 기준을 참조하여 서비스 내에서 위협 탐지 또는 보안 경고 기능을 사용하도록 설정합니다. 클라우드용 Microsoft Defender, Microsoft 365 Defender 및 로그 데이터를 다른 리소스에서 Azure Monitor 또는 Microsoft Sentinel 인스턴스로 수집하여 위협을 감지하고 환경 전체의 특정 기준과 일치하는 경고를 만드는 분석 규칙을 빌드합니다.
ICS(산업 제어 시스템) 또는 SCADA(감독 제어 및 데이터 취득) 리소스를 제어하거나 모니터링하는 컴퓨터를 포함하는 OT(운영 기술) 환경의 경우 IoT용 Microsoft Defender 사용하여 자산을 인벤토리에 추가하고 위협 및 취약성을 검색합니다.
네이티브 위협 탐지 기능이 없는 서비스의 경우 데이터 평면 로그를 수집하고 Microsoft Sentinel을 통해 위협을 분석하는 것이 좋습니다.
Azure 구현 및 추가 컨텍스트:
- 클라우드용 Microft Defender 소개
- 클라우드용 Microsoft Defender 보안 경고 참조 가이드
- 위협 탐지를 위한 사용자 지정 분석 규칙 만들기
- Microsoft Sentinel의 사이버 위협 인텔리전스에 대한 위협 지표
AWS 지침: VPC 흐름 로그, AWS CloudTrail 관리 이벤트 로그, CloudTrail S3 데이터 이벤트 로그, EKS 감사 로그 및 DNS 로그와 같은 데이터 원본을 분석하고 처리하는 위협 검색에 Amazon GuardDuty를 사용합니다. GuardDuty는 권한 에스컬레이션, 노출된 자격 증명 사용 또는 악의적인 IP 주소 또는 도메인과의 통신과 같은 보안 문제에 대해 보고할 수 있습니다.
구성 드리프트와 같은 규정 준수 모니터링을 위해 SecurityHub의 규칙을 검사 필요한 경우 결과를 만들도록 AWS 구성을 구성합니다.
GuardDuty 및 SecurityHub에 포함되지 않은 위협 탐지의 경우 지원되는 AWS 서비스 내에서 위협 탐지 또는 보안 경고 기능을 사용하도록 설정합니다. CloudTrail, CloudWatch 또는 Microsoft Sentinel에 대한 경고를 추출하여 환경 전체의 특정 기준과 일치하는 위협을 헌팅하는 분석 규칙을 빌드합니다.
클라우드용 Microsoft Defender 사용하여 EC2 인스턴스와 같은 AWS의 특정 서비스를 모니터링할 수도 있습니다.
ICS(산업 제어 시스템) 또는 SCADA(감독 제어 및 데이터 취득) 리소스를 제어하거나 모니터링하는 컴퓨터를 포함하는 OT(운영 기술) 환경의 경우 IoT용 Microsoft Defender 사용하여 자산을 인벤토리에 추가하고 위협 및 취약성을 검색합니다.
AWS 구현 및 추가 컨텍스트:
- Amazon GuardDuty
- Amazon GuardDuty 데이터 원본
- 클라우드용 Microsoft Defender에 AWS 계정 연결
- 클라우드용 Defender Apps이 AWS(Amazon Web Services) 환경을 보호하는 방법
- AWS 리소스에 대한 보안 권장 사항 - 참조 가이드
GCP 지침: google Cloud Security Command Center의 이벤트 위협 검색을 사용하여 관리 활동, GKE 데이터 액세스, VPC 흐름 로그, 클라우드 DNS 및 방화벽 로그와 같은 로그 데이터를 사용하여 위협 탐지를 수행합니다.
또한 크로니클 SIEM 및 SOAR를 사용하는 최신 SOC용 보안 운영 제품군을 사용합니다. 크로니클 SIEM 및 SOAR는 위협 탐지, 조사 및 헌팅 기능을 제공합니다.
클라우드용 Microsoft Defender 사용하여 컴퓨팅 VM 인스턴스와 같은 GCP의 특정 서비스를 모니터링할 수도 있습니다.
ICS(산업 제어 시스템) 또는 SCADA(감독 제어 및 데이터 취득) 리소스를 제어하거나 모니터링하는 컴퓨터를 포함하는 OT(운영 기술) 환경의 경우 IoT용 Microsoft Defender 사용하여 자산을 인벤토리에 추가하고 위협 및 취약성을 검색합니다.
GCP 구현 및 추가 컨텍스트:
- Security Command Center 이벤트 위협 검색 개요
- 크로니클 SOAR
- Defender for Cloud Apps가 GCP(Google Cloud Platform) 환경을 보호하는 방법
- GCP 리소스에 대한 보안 권장 사항 - 참조 가이드
고객 보안 관련자(자세한 정보):
LT-2: ID 및 액세스 관리에 대한 위협 탐지 사용
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.11 | AU-3, AU-6, AU-12, SI-4 | 10.6, 10.8, A3.5 |
보안 원칙: 사용자 및 애플리케이션 로그인을 모니터링하고 변칙에 액세스하여 ID 및 액세스 관리에 대한 위협을 검색합니다. 로그인 시도 실패 횟수 및 구독에서 더 이상 사용되지 않는 계정과 같은 동작 패턴을 경고해야 합니다.
Azure 지침: Azure AD 보다 정교한 모니터링 및 분석 사용 사례를 위해 Azure AD 보고에서 보거나 Azure Monitor, Microsoft Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음 로그를 제공합니다.
- 로그인: 로그인 보고서는 관리형 애플리케이션 및 사용자 로그인 활동의 사용에 대한 정보를 제공합니다.
- 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.
- 위험한 로그인: 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.
- 위험 플래그가 지정된 사용자: 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.
Azure AD 또한 ID 보호 모듈을 제공하여 사용자 계정 및 로그인 동작과 관련된 위험을 감지하고 수정합니다. 위험의 예로는 유출된 자격 증명, 익명 또는 맬웨어 연결 IP 주소에서 로그인, 암호 스프레이 등이 있습니다. Azure AD ID 보호의 정책을 사용하면 사용자 계정에 대한 Azure 조건부 액세스와 함께 위험 기반 MFA 인증을 적용할 수 있습니다.
또한 클라우드용 Microsoft Defender는 구독에서 더 이상 사용되지 않는 계정과 실패한 인증 시도 횟수와 같은 의심스러운 작업에 대해 경고하도록 구성할 수 있습니다. 기본 보안 위생 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 개별 Azure 컴퓨팅 리소스(예: 가상 머신, 컨테이너, App Service), 데이터 리소스(예: SQL DB 및 스토리지) 및 Azure 서비스 계층으로부터 보다 심층적인 보안 경고를 수집할 수도 있습니다. 해당 기능을 사용하면 개별 리소스 내에서 비정상 계정 활동을 볼 수 있습니다.
참고: 동기화를 위해 온-프레미스 Active Directory를 연결하는 경우 Microsoft Defender for Identity 솔루션의 온-프레미스 Active Directory 신호를 사용하여 조직을 대상으로 하는 지능형 위협, 손상된 ID 및 악의적인 내부 작업을 식별, 검색 및 조사합니다.
Azure 구현 및 추가 컨텍스트:
- Azure AD에서 활동 보고서 감사
- Azure ID 보호 사용
- 클라우드용 Microsoft Defender의 위협 방지
- Microsoft Defender for Identity 개요
AWS 지침: AWS IAM은 IAM Access Advisor 및 IAM 자격 증명 보고서를 통해 콘솔 사용자 활동에 대한 로그 및 보고서를 다음과 같이 보고합니다.
- 모든 성공적인 로그인 및 실패한 로그인 시도.
- MFA(다단계 인증)는 각 사용자에 대해 상태.
- 휴면 IAM 사용자
API 수준 액세스 모니터링 및 위협 검색의 경우 Amazon GuadDuty를 사용하여 IAM과 관련된 결과를 식별합니다. 이러한 결과의 예는 다음과 같습니다.
- AWS 환경에 액세스하는 데 사용되는 API는 비정상적인 방식으로 호출되었거나 방어 조치를 회피하는 데 사용되었습니다.
- 다음을 위해 사용되는 API입니다.
- 리소스 검색이 비정상적인 방식으로 호출되었습니다.
- AWS 환경에서 데이터를 수집하는 것은 비정상적인 방식으로 호출되었습니다.
- AWS 환경의 데이터 또는 프로세스에 대한 변조가 비정상적인 방식으로 호출되었습니다.
- 비정상적인 방식으로 호출된 AWS 환경에 대한 무단 액세스 권한을 얻습니다.
- AWS 환경에 대한 무단 액세스 유지 관리가 비정상적인 방식으로 호출되었습니다.
- AWS 환경에 대한 높은 수준의 권한을 획득하는 것은 비정상적인 방식으로 호출되었습니다.
- 알려진 악성 IP 주소에서 호출됩니다.
- 루트 자격 증명을 사용하여 호출됩니다.
- AWS CloudTrail 로깅을 사용하지 않도록 설정했습니다.
- 계정 암호 정책이 약화되었습니다.
- 전 세계적으로 여러 성공적인 콘솔 로그인이 관찰되었습니다.
- 인스턴스 시작 역할을 통해 EC2 instance 전용으로 생성된 자격 증명은 AWS 내의 다른 계정에서 사용됩니다.
- 인스턴스 시작 역할을 통해 EC2 instance 전용으로 만들어진 자격 증명은 외부 IP 주소에서 사용됩니다.
- 알려진 악성 IP 주소에서 API가 호출되었습니다.
- 사용자 지정 위협 목록의 IP 주소에서 API가 호출되었습니다.
- Tor 종료 노드 IP 주소에서 API가 호출되었습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 유휴 사용자 관리 서비스 계정에 하나 이상의 중요한 IAM 역할이 부여된 이벤트 검색과 같은 특정 유형의 IAM 관련 위협 검색에 Google 클라우드 보안 명령 센터의 이벤트 위협 검색을 사용합니다.
Google ID 로그와 Google Cloud IAM 로그는 모두 관리자 활동 로그를 생성하지만 다른 scope. Google ID 로그는 ID 플랫폼에 해당하는 작업에만 해당하지만 IAM 로그는 Google Cloud용 IAM에 해당하는 작업에만 해당합니다. IAM 로그에는 API 호출의 로그 항목 또는 리소스의 구성 또는 메타데이터를 수정하는 기타 작업이 포함됩니다. 예를 들어 이러한 로그는 사용자가 VM 인스턴스를 만들거나 ID 및 액세스 관리 권한을 변경할 때 기록됩니다.
클라우드 ID 및 IAM 보고서를 사용하여 특정 의심스러운 활동 패턴에 대한 경고를 표시합니다. 정책 인텔리전스를 사용하여 서비스 계정 활동을 분석하여 지난 90일 동안 프로젝트의 서비스 계정과 같은 활동을 식별할 수도 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
LT-3: 보안 조사를 위한 로깅 사용하도록 설정
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.2, 8.5, 8.12 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3 |
보안 원칙: 보안 인시던트 조사 및 보안 대응 및 규정 준수 목적에 대한 요구 사항을 충족하기 위해 클라우드 리소스에 대한 로깅을 사용하도록 설정합니다.
Azure 지침: Azure 리소스에 대한 로그, VM 내의 운영 체제 및 애플리케이션 및 기타 로그 유형과 같은 다양한 계층의 리소스에 대한 로깅 기능을 사용하도록 설정합니다.
관리/제어 평면 및 데이터 평면 계층의 보안, 감사 및 기타 운영 로그에 대한 다양한 유형의 로그에 유의하세요. Azure 플랫폼에서 사용할 수 있는 로그에는 세 가지 유형이 있습니다.
- Azure 리소스 로그: Azure 리소스(데이터 평면) 내에서 수행되는 작업의 로깅입니다. 예를 들어 키 자격 증명 모음에서 비밀을 가져오거나 데이터베이스에 요청을 수행할 수 있습니다. 이러한 로그의 내용은 Azure 서비스와 리소스 종류에 따라 달라집니다.
- Azure 활동 로그: 외부(관리 평면)에서 구독 계층의 각 Azure 리소스에 대한 작업의 로깅입니다. 활동 로그를 사용하여 구독의 리소스에 대해 수행된 쓰기 작업(PUT, POST, DELETE)에 대한 대상, 사용자 및 시기를 확인할 수 있습니다. Azure 구독마다 하나의 활동 로그가 있습니다.
- Azure Active Directory 로그: 로그인 작업의 기록 및 특정 테넌트에 대한 Azure Active Directory의 변경 내용 감사 내역에 대한 로그입니다.
또한 클라우드용 Microsoft Defender 및 Azure Policy를 사용하여 Azure 리소스에서 리소스 로그 및 로그 데이터 수집을 사용하도록 설정할 수 있습니다.
Azure 구현 및 추가 컨텍스트:
- Azure의 로깅 및 여러 가지 로그 형식 이해
- 클라우드용 Microsoft Defender 데이터 수집 이해
- 맬웨어 방지 모니터링 사용하도록 설정 및 구성
- 컴퓨팅 리소스 내부의 운영 체제 및 애플리케이션 로그
AWS 지침: 관리 이벤트(컨트롤 플레인 작업) 및 데이터 이벤트(데이터 평면 작업)에 AWS CloudTrail 로깅을 사용하고 CloudWatch를 사용하여 이러한 추적을 모니터링하여 자동화된 작업을 수행합니다.
Amazon CloudWatch 로그 서비스를 사용하면 리소스, 애플리케이션 및 서비스에서 로그를 거의 실시간으로 수집하고 저장할 수 있습니다. 세 가지 기본 범주의 로그가 있습니다.
- 자동 판매 로그: 사용자를 대신하여 AWS 서비스에서 기본적으로 게시한 로그입니다. 현재 Amazon VPC 흐름 로그와 Amazon Route 53 로그는 지원되는 두 가지 유형입니다. 이러한 두 로그는 기본적으로 사용하도록 설정됩니다.
- AWS 서비스에서 게시한 로그: 30개 이상의 AWS 서비스의 로그가 CloudWatch에 게시됩니다. 여기에는 Amazon API Gateway, AWS Lambda, AWS CloudTrail 등이 포함됩니다. 이러한 로그는 서비스 및 CloudWatch에서 직접 사용하도록 설정할 수 있습니다.
- 사용자 지정 로그: 사용자 고유의 애플리케이션 및 온-프레미스 리소스에서 로그합니다. 운영 체제에 CloudWatch 에이전트를 설치하여 이러한 로그를 수집하고 CloudWatch에 전달해야 할 수 있습니다.
많은 서비스가 CloudWatch 로그에만 로그를 게시하지만, 일부 AWS 서비스는 다른 로깅 스토리지 및 보존 정책을 사용할 수 있는 AmazonS3 또는 Amazon Kinesis Data Firehose에 직접 로그를 게시할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Azure 리소스에 대한 로그, VM 내의 운영 체제 및 애플리케이션 및 기타 로그 유형과 같은 다양한 계층의 리소스에 대한 로깅 기능을 사용하도록 설정합니다.
관리/제어 평면 및 데이터 평면 계층의 보안, 감사 및 기타 운영 로그에 대한 다양한 유형의 로그에 유의하세요. Operations Suite 클라우드 로깅 서비스는 리소스 계층에서 모든 종류의 로그 이벤트를 수집하고 집계합니다. 클라우드 로깅에서는 네 가지 범주의 로그가 지원됩니다.
- 플랫폼 로그 - Google Cloud 서비스에서 작성한 로그입니다.
- 구성 요소 로그 - 플랫폼 로그와 유사하지만 시스템에서 실행되는 Google 제공 소프트웨어 구성 요소에서 생성된 로그입니다.
- 보안 로그 - 주로 리소스 내에서 관리 활동 및 액세스를 기록하는 감사 로그입니다.
- 사용자 작성 - 사용자 지정 애플리케이션 및 서비스에서 작성한 로그
- 다중 클라우드 로그 및 하이브리드 클라우드 로그 - Microsoft Azure와 같은 다른 클라우드 공급자의 로그 및 온-프레미스 인프라의 로그입니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
LT-4: 보안 조사를 위해 네트워크 로깅 사용하도록 설정
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.2, 8.5, 8.6, 8.7, 13.6 | AU-3, AU-6, AU-12, SI-4 | 10.8 |
보안 원칙: 네트워크 관련 인시던트 조사, 위협 헌팅 및 보안 경고 생성을 지원하기 위해 네트워크 서비스에 대한 로깅을 사용하도록 설정합니다. 네트워크 로그에는 IP 필터링, 네트워크 및 애플리케이션 방화벽, DNS, 흐름 모니터링 등과 같은 네트워크 서비스의 로그가 포함될 수 있습니다.
Azure 지침: 보안 분석을 위해 보안 분석을 위해 네트워크 트래픽 데이터 수집 에이전트를 통해 가상 머신에서 NSG(네트워크 보안 그룹) 리소스 로그, NSG 흐름 로그, Azure Firewall 로그 및 WAF(Web Application Firewall) 로그 및 로그를 사용하도록 설정하고 수집하여 인시던트 조사 및 보안 경고 생성을 지원합니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.
다른 네트워크 데이터의 상관 관계를 지원하기 위해 DNS 쿼리 로그를 수집합니다.
Azure 구현 및 추가 컨텍스트:
- 네트워크 보안 그룹 흐름 로그를 사용하도록 설정하는 방법
- Azure Firewall 로그 및 메트릭
- Azure Monitor의 Azure 네트워킹 모니터링 솔루션
- DNS 분석 솔루션으로 DNS 인프라에 대한 인사이트 수집
AWS 지침: 보안 분석을 위해 VPC 흐름 로그, WAF 로그 및 Route53 확인자 쿼리 로그와 같은 네트워크 로그를 사용하도록 설정하고 수집하여 인시던트 조사 및 보안 경고 생성을 지원합니다. 모니터링을 위해 CloudWatch로 로그를 내보내거나 중앙 집중식 분석을 위해 Microsoft Sentinel 솔루션으로 수집하기 위한 S3 스토리지 버킷을 내보낼 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 대부분의 네트워크 활동 로그는 Google Compute VM, Kubernetes 엔진 노드로 사용되는 인스턴스를 포함하여 리소스에서 보내고 받는 네트워크 흐름 샘플을 기록하는 VPC 흐름 로그를 통해 사용할 수 있습니다. 이러한 로그는 네트워크 모니터링, 포렌식, 실시간 보안 분석 및 비용 최적화에 사용할 수 있습니다.
클라우드 로깅에서 흐름 로그를 보고 클라우드 로깅 내보내기에서 지원하는 대상으로 로그를 내보낼 수 있습니다. 흐름 로그는 컴퓨팅 엔진 VM의 연결에 의해 집계되고 실시간으로 내보냅니다. Pub/Sub를 구독하면 실시간 스트리밍 API를 사용하여 흐름 로그를 분석할 수 있습니다.
참고: 패킷 미러링을 사용하면 VPC(가상 프라이빗 클라우드) 네트워크에서 지정된 인스턴스의 트래픽을 복제하고 검사를 위해 전달할 수도 있습니다. 패킷 미러링 은 페이로드 및 헤더를 포함한 모든 트래픽 및 패킷 데이터를 캡처합니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
LT-5: 보안 로그 관리 및 분석 중앙 집중화
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.9, 8.11, 13.1 | AU-3, AU-6, AU-12, SI-4 | 해당 없음 |
보안 원칙: 로깅 스토리지 및 분석을 중앙 집중화하여 로그 데이터 간에 상관 관계를 설정합니다. 각 로그 원본에 대해 데이터 소유자, 액세스 지침, 스토리지 위치, 데이터를 처리하고 액세스하는 데 사용되는 도구, 데이터 보존 요구 사항을 할당했는지 확인합니다.
CSP용 기존 SIEM 솔루션이 없는 경우 클라우드 네이티브 SIEM을 사용합니다. 또는 기존 SIEM에 로그/경고를 집계합니다.
Azure 지침: 중앙 집중식 Log Analytics 작업 영역에 Azure 활동 로그를 통합하는지 확인합니다. Azure Monitor를 사용하여 분석을 쿼리 및 수행하고 Azure 서비스, 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에서 집계된 로그를 사용하여 경고 규칙을 만듭니다.
또한 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공하는 Microsoft Sentinel에 데이터를 사용하도록 설정하고 온보딩합니다.
Azure 구현 및 추가 컨텍스트:
AWS 지침: 스토리지 및 분석을 위해 AWS 로그를 중앙 집중식 리소스에 통합해야 합니다. CloudWatch를 사용하여 분석을 쿼리 및 수행하고 AWS 서비스, 서비스, 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에서 집계된 로그를 사용하여 경고 규칙을 만듭니다.
또한 S3 스토리지 버킷에서 로그를 집계하고 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공하는 Microsoft Sentinel에 로그 데이터를 온보딩할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 스토리지 및 분석을 위해 GCP 로그를 중앙 집중식 리소스(예: Operations Suite 클라우드 로깅 버킷)에 통합해야 합니다. 클라우드 로깅은 대부분의 Google Cloud 네이티브 서비스 로깅과 타사 애플리케이션 및 온-프레미스 애플리케이션을 지원합니다. 클라우드 로깅을 사용하여 쿼리 및 분석을 수행하고 GCP 서비스, 서비스, 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에서 집계된 로그를 사용하여 경고 규칙을 만들 수 있습니다.
CSP에 대한 기존 SIEM 솔루션이 없거나 기존 SIEM에 로그/경고를 집계하지 않는 경우 클라우드 네이티브 SIEM을 사용합니다.
참고: Google은 두 개의 로그 쿼리 프런트 엔드인 Logs Explorer 및 Log Analytics를 제공하여 로그를 쿼리, 보기 및 분석합니다. 로그 데이터의 문제 해결 및 탐색을 위해 로그 Explorer 사용하는 것이 좋습니다. 인사이트와 추세를 생성하려면 Log Analytics를 사용하는 것이 좋습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
LT-6: 로그 스토리지 보존 구성
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.3, 8.10 | AU-11 | 10.5, 10.7 |
보안 원칙: 규정 준수, 규정 및 비즈니스 요구 사항에 따라 로그 보존 전략을 계획합니다. 로그가 적절하게 보관되도록 개별 로깅 서비스에서 로그 보존 정책을 구성합니다.
Azure 지침: Azure 활동 로그와 같은 로그는 90일 동안 보존된 다음 삭제됩니다. 필요에 따라 진단 설정을 만들고 로그를 다른 위치(예: Azure Monitor Log Analytics 작업 영역, Event Hubs 또는 Azure Storage)로 라우팅해야 합니다. 이 전략은 VM 내의 운영 체제 및 애플리케이션의 로그와 같이 직접 관리하는 다른 리소스 로그 및 리소스에도 적용됩니다.
다음과 같은 로그 보존 옵션이 있습니다.
- 최대 1년의 로그 보존 기간 또는 대응 팀 요구 사항에 따라 Azure Monitor Log Analytics 작업 영역을 사용합니다.
- Azure Storage, Data Explorer 또는 Data Lake를 1년 이상의 기간 동안 장기 보관 및 보관용 스토리지로 사용하고 보안 규정 준수 요구 사항을 충족합니다.
- Azure Event Hubs 사용하여 로그를 Azure 외부의 외부 리소스로 전달합니다.
참고: Microsoft Sentinel은 Log Analytics 작업 영역을 로그 스토리지의 백 엔드로 사용합니다. SIEM 로그를 장기간 보관하려면 장기 스토리지 전략을 고려해야 합니다.
Azure 구현 및 추가 컨텍스트:
- Log Analytics에서 데이터 보존 기간 변경
- Azure Storage 계정 로그에 관한 보존 정책을 구성하는 방법
- 클라우드용 Microsoft Defender 경고 및 권장 사항 내보내기
AWS 지침: 기본적으로 로그는 무기한으로 유지되며 CloudWatch에서 만료되지 않습니다. 각 로그 그룹에 대한 보존 정책을 조정하거나, 무기한 보존을 유지하거나, 10년에서 1일 사이의 보존 기간을 선택할 수 있습니다.
CloudWatch의 로그 보관에 Amazon S3을 사용하고 개체 수명 주기 관리 및 보관 정책을 버킷에 적용합니다. Amazon S3에서 Azure Storage로 파일을 전송하여 중앙 로그 보관에 Azure Storage를 사용할 수 있습니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: 기본적으로 Operations Suite Cloud Logging은 클라우드 로깅 버킷에 대한 사용자 지정 보존을 구성하지 않는 한 30일 동안 로그를 유지합니다. 관리 활동 감사 로그, 시스템 이벤트 감사 로그 및 액세스 투명성 로그는 기본적으로 400일 동안 유지됩니다. 1일에서 3650일 사이에 로그를 유지하도록 클라우드 로깅을 구성할 수 있습니다.
Cloud Logging의 로그 보관에 Cloud Storage를 사용하고 개체 수명 주기 관리 및 보관 정책을 버킷에 적용합니다. Google Cloud Storage에서 Azure Storage로 파일을 전송하여 중앙 로그 보관에 Azure Storage를 사용할 수 있습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보) :
LT-7: 승인된 시간 동기화 원본 사용
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
8.4 | AU-8 | 10.4 |
보안 원칙: 날짜, 시간 및 표준 시간대 정보를 포함하는 로깅 타임스탬프를 위해 승인된 시간 동기화 원본을 사용합니다.
Azure 지침: Microsoft는 대부분의 Azure PaaS 및 SaaS 서비스에 대한 시간 원본을 유지 관리합니다. 컴퓨팅 리소스 운영 체제의 경우 특정 요구 사항이 없는 한 시간 동기화를 위해 Microsoft 기본 NTP 서버를 사용합니다. 자체 NTP(네트워크 시간 프로토콜) 서버를 설정해야 하는 경우 UDP 서비스 포트 123을 보호해야 합니다.
Azure 내의 리소스에서 생성된 모든 로그는 기본적으로 지정된 표준 시간대의 타임스탬프를 제공합니다.
Azure 구현 및 추가 컨텍스트:
- Azure Windows 컴퓨팅 리소스에 대한 시간 동기화를 구성하는 방법
- Azure Linux 컴퓨팅 리소스에 대한 시간 동기화를 구성하는 방법
- Azure 서비스용 인바운드 UDP를 사용하지 않도록 설정하는 방법
AWS 지침: AWS는 대부분의 AWS 서비스에 대한 시간 원본을 유지 관리합니다. 운영 체제 시간 설정이 구성된 리소스 또는 서비스의 경우 특정 요구 사항이 없는 한 시간 동기화에 AWS 기본 Amazon Time Sync Service를 사용합니다. 자체 NTP(네트워크 시간 프로토콜) 서버를 설정해야 하는 경우 UDP 서비스 포트 123을 보호해야 합니다.
AWS 내의 리소스에서 생성된 모든 로그는 기본적으로 지정된 표준 시간대를 사용하여 타임스탬프를 제공합니다.
AWS 구현 및 추가 컨텍스트:
GCP 지침: Google Cloud는 대부분의 Google Cloud PaaS 및 SaaS 서비스에 대한 시간 원본을 유지 관리합니다. 컴퓨팅 리소스 운영 체제의 경우 특정 요구 사항이 없는 한 시간 동기화에 Google Cloud 기본 NTP 서버를 사용합니다. 고유한 NTP(네트워크 시간 프로토콜) 서버를 설치해야 하는 경우 UDP 서비스 포트 123을 보호해야 합니다.
참고: 컴퓨팅 엔진 가상 머신에서 외부 NTP 원본을 사용하지 않고 Google에서 제공하는 내부 NTP 서버를 사용하는 것이 좋습니다.
GCP 구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):