복합 감지 개요

다음에서 지원:

이 문서에서는 복합 감지 기능과 여러 규칙의 출력을 상호 연관시켜 위협 감지 워크플로를 개선하는 방법을 소개합니다.

복합 감지는 다른 규칙의 감지를 입력으로 사용하는 규칙에 의해 생성되며, 이벤트, 측정항목 또는 엔티티 위험 신호와 결합됩니다. 그런 다음 이러한 규칙을 이벤트, 측정항목 또는 엔티티 위험 신호와 결합하여 개별 규칙에서 놓칠 수 있는 복잡한 다단계 위협을 감지합니다.

컴포지트 감지는 정의된 규칙 상호작용과 트리거를 통해 이벤트를 분석하는 데 도움이 됩니다. 이를 통해 정확도가 향상되고 거짓양성이 줄어들며, 다양한 소스와 공격 단계의 데이터를 상호 연관시켜 보안 위협에 대한 포괄적인 뷰를 제공합니다.

다음 개념은 복합 규칙의 구성요소를 정의하고 감지 워크플로 내에서 작동하는 방식을 명확히 합니다.

  • 복합 규칙: 감지 또는 알림 (또는 둘 다)을 입력으로 사용합니다. 선택적으로 항목 그래프의 이벤트, 측정항목, 다양한 컨텍스트 데이터(예: 유병률 데이터, 위협 인텔리전스, 항목 위험 점수)로 보강할 수 있습니다. 이러한 규칙에는 항상 일치 섹션이 있어야 하며 입력 규칙의 메타 필드, match 변수, outcome 변수를 참조할 수 있습니다.

  • 감지: 규칙의 조건이 충족될 때 생성되는 출력입니다.

  • 감지 전용 규칙: 감지 또는 알림만 입력으로 사용하는 복합 규칙입니다.

복합 감지를 사용해야 하는 경우

복합 감지는 다음 목표를 달성하는 데 유용할 수 있습니다.

  • 두 개 이상의 규칙의 결과를 연관시킵니다 (예: 동일한 호스트에서 다운로드된 멀웨어 감지를 후속 C2 비콘 알림과 연결).

  • 관련 이벤트 데이터로 알림을 보강합니다.

  • 소음이 많고 신뢰도가 낮은 감지가 여러 번 발생하거나 다른 의심스러운 활동과 결합된 경우에만 최종 알림을 트리거하여 알림 피로를 줄입니다.

  • 각 단계가 이미 자체 규칙으로 식별된 복잡한 다단계 공격에 대한 알림을 빌드합니다.

복합 감지의 이점

복합 감지에는 다음과 같은 이점이 있습니다.

  • 다단계 공격 마스크 해제: 사이버 공격은 다면적이고 상호 연결되어 있는 경우가 많습니다. 복합 감지는 고립된 것으로 보이는 보안 이벤트를 연결하여 더 광범위한 공격 내러티브를 보여줍니다. 예를 들어 복합 감지를 통해 초기 침해 후 권한 에스컬레이션 및 데이터 유출과 같은 공격의 전체 시퀀스를 식별할 수 있습니다.

  • 알림 피로도 줄이기: 복합 규칙은 노이즈가 많은 알림을 통합하고 필터링하여 더 집중적인 대응을 지원합니다. 이 접근 방식은 영향이 큰 인시던트의 우선순위를 지정하고 전반적인 알림 피로를 줄이는 데 도움이 됩니다.

  • 감지 정확도 향상: 통합 데이터 모델(UDM) 이벤트, 규칙 감지, 항목 컨텍스트, 사용자 및 항목 행동 분석 (UEBA) 결과, 데이터 표의 통계를 결합하여 더 정확한 감지 로직을 빌드합니다.

  • 복잡한 로직 간소화: 복잡한 감지 시나리오를 관리 가능하고 상호 연결되어 있으며 재사용 가능한 규칙으로 분류하여 개발 및 유지관리 간소화

  • 대시보드에서 사용: Google SecOps 대시보드의 데이터 소스로 복합 감지를 원활하게 통합합니다. 이를 사용하여 다단계 공격 패턴을 요약하는 시각화 자료를 만들어 복잡한 위험을 더 쉽게 이해할 수 있습니다.

일반적인 사용 사례 및 예시

이 섹션에서는 복합 감지의 몇 가지 일반적인 사용 사례를 설명합니다.

로그인 후 사용자 활동 추적

사용자의 로그인 이벤트를 후속 의심스러운 활동과 연결하는 데 중점을 둔 기본 사용 사례입니다. 표준 다중 이벤트 규칙은 짧은 시퀀스를 추적할 수 있지만, 복합 탐지는 사용자의 전체 세션에 대한 포괄적인 위험 프로필을 빌드하는 데 더 적합합니다.

  • 목표: 위험도가 높은 로그인과 같은 단일 이벤트를 하루와 같은 긴 기간에 걸쳐 발생하는 다양한 후속 '약한 신호' 활동과 연관시킵니다.

  • : 하위 수준 감지를 생성하는 여러 규칙을 만듭니다. 그런 다음 긴 매칭 기간 (예: 24시간)이 있는 복합 규칙을 사용하여 초기 의심스러운 로그인을 트리거하고 동일한 사용자의 다음 감지와 연관시킵니다.

    • 명령줄 기록을 지우는 사용자

    • 새 로컬 관리자 계정 생성

    • 개인 Cloud Storage 사이트에 대량의 데이터를 업로드합니다.

UEBA 측정항목과 결합

이 사용 사례는 기존 UEBA 측정항목을 복합 감지의 시작점으로 활용하여 더 복잡하고 장기적인 동작을 찾습니다.

  • 목표: UEBA 측정항목의 급증을 다른 비정상 활동과 연관시킵니다.

  • :

    1. UEBA 규칙에서 사용자의 로그인 실패가 과도하게 감지됩니다.

    2. 다른 UEBA 규칙에서 동일한 사용자의 대량의 이그레스 바이트를 감지합니다.

    3. 복합 감지는 며칠에 걸쳐 이러한 두 가지 별도의 UEBA 발견 항목을 연결하여 데이터 도용이 뒤따르는 잠재적인 계정 도용을 식별합니다.

데이터 무단 반출 시도 감지

여기에는 결합되었을 때 데이터 유출 시도를 나타낼 수 있는 여러 개의 개별 사용자 작업을 상호 연관시키는 작업이 포함됩니다.

  • 목표: 여러 기기와 작업에서 단일 사용자의 위험한 데이터 처리 프로필을 빌드합니다.

  • 상관관계가 있는 작업:

    • 여러 기기에서 로그인하는 경우 (예: 집과 직장 컴퓨터)

    • 평소보다 많은 데이터 소스에 액세스하는 경우

    • 데이터를 동시에 다운로드, 인쇄, 이메일로 전송합니다.

    • 사용자가 특정 기간 내에 터치하는 분류된 문서의 수를 계산합니다.

    • 사직서를 제출한 경우

복합 감지 작동 방식

규칙이 사전 정의된 조건을 충족하면 감지 항목이 생성됩니다. 이러한 감지에는 특정 데이터 또는 이벤트 상태를 캡처하는 결과 변수가 선택적으로 포함될 수 있습니다.

컴포지트 규칙은 다른 규칙의 이러한 감지를 입력의 일부로 사용합니다. 평가는 원래 규칙의 메타 섹션, 결과 변수, 일치 변수의 정보를 기반으로 할 수 있습니다.

이 평가를 기반으로 복합 규칙을 사용하여 조사를 위한 중간 표현으로 사용되고 후속 규칙으로 알림을 받을 새 감지를 만들 수 있습니다. 이를 통해 다양한 감지에서 여러 요인을 상호 연관시켜 복잡한 위협을 식별할 수 있습니다.

문법 및 예시에 대한 자세한 내용은 복합 규칙 문법예시를 참고하세요.

전략 정의

복합 규칙을 만들기 전에 전략을 계획하여 새 규칙이 효과적이고 효율적이며 올바른 문제를 해결하는지 확인하세요.

  1. 현재 감지 전략 평가 기존 규칙을 검토하여 너무 많은 알림을 생성하거나, 오탐이 많거나, 지나치게 복잡하여 관리하기 어려운 규칙을 식별합니다.

  2. 복합 규칙이 유용한 특정 시나리오를 파악합니다. 여기에는 다단계 공격 감지, 신뢰도가 낮은 여러 알림을 신뢰도가 높은 단일 알림으로 상호 연관시키거나 다른 데이터 소스의 추가 컨텍스트로 감지 결과를 보강하는 작업이 포함됩니다.

  3. 평가를 바탕으로 구현 계획을 수립합니다. 수정해야 하는 노이즈가 많은 규칙, 간소화해야 하는 복잡한 규칙, 우선순위를 지정해야 하는 새로운 다단계 감지를 결정합니다.

정의된 계획은 타겟팅되고 효과적인 복합 규칙을 만들기 위한 로드맵을 제공합니다. 기술적 제약사항을 관리하면서 복합 감지에서 최대한의 가치를 얻으려면 다음의 개략적인 전략을 고려하세요.

적절한 방법 선택

다른 대안으로 원하는 결과를 얻을 수 있는 경우 복합 감지를 빌드하지 마세요. 기존 UEBA 탐지로 복잡한 패턴을 식별할 수 있는지 분석합니다. 탐지를 지나치게 복잡하게 만들면 유지관리 오버헤드가 증가하고 규칙 할당량이 소모될 수 있습니다.

  • 다음과 같은 경우 복합 감지 사용: 목표가 기존의 서로 다른 규칙 2개 이상의 최종 결과를 상호 연관시키는 것입니다. 이렇게 하면 개념적으로 별개의 공격 단계를 연결할 수 있습니다.

    : 악성코드 다운로드 규칙의 감지를 C2 비컨 감지 규칙의 후속 감지와 연관시킵니다.

  • 기존 UEBA 감지 사용: 사용자 또는 기기가 정상적인 활동 패턴을 깨는 시점을 찾으려는 경우

    : 평소에는 1GB만 다운로드하는 사용자가 오늘 100GB의 데이터를 다운로드한 것을 자동으로 감지합니다.

규칙 할당량 및 위험 점수 관리

조직의 리소스를 관리하려면 다양한 규칙 유형이 규칙 할당량에 미치는 영향을 이해해야 합니다.

  • 선별된 규칙은 맞춤 규칙 할당량에 포함되지 않습니다.

  • 복합 규칙과 맞춤 다중 이벤트 규칙은 할당량에 포함됩니다.

'감지 전용'으로 설정하여 선별된 감지를 사용할 수 있습니다. 이렇게 하면 선별된 규칙이 알림을 생성하지 않고 초기 광범위한 탐지를 실행할 수 있습니다. 그런 다음 복합 규칙을 사용하여 이러한 결과에 특정 로직을 적용하여 할당량을 전략적으로 관리하면서 더 많은 가치를 제공할 수 있습니다.

위험과 맥락의 차이 이해

감지 로직을 설계할 때는 위험을 평가하는 규칙과 컨텍스트를 제공하는 규칙을 구분하세요.

위험은 일련의 활동이 얼마나 위험한지 평가한 것입니다. 위험을 위해 설계된 규칙은 판단을 내리기 위해 여러 컨텍스트 이벤트 또는 감지를 집계하는 경우가 많습니다. 예를 들어 로그인 실패가 한 번 발생하면 컨텍스트가 제공되지만 로그인 실패가 많이 발생하면 무차별 대입 공격의 위험이 표시됩니다.

컨텍스트는 이벤트와 관련된 사실적인 세부정보를 의미합니다. 컨텍스트용으로 설계된 규칙은 한 이벤트에 다른 이벤트의 세부정보를 추가합니다. 예를 들어 규칙은 사용자의 로그인 성공을 감지할 수 있지만, 컨텍스트 규칙은 이 로그인이 새롭고 비정상적인 국가에서 이루어졌다는 중요한 컨텍스트를 제공합니다.

: 초기 감지를 통해 악성 도메인에 대한 DNS 호출과 같은 잠재적 위험을 알릴 수 있습니다. 그런 다음 복합 규칙은 Google SecOps의 이벤트 로그와 알림을 상호 연관시켜 통화를 시작한 특정 명령줄 프로세스를 찾습니다. 이렇게 하면 실행 가능한 중요한 컨텍스트로 고급 위험 알림이 보강됩니다.

긴 일치 기간을 전략적으로 사용

긴 일치 기간 (예: 14일)으로 구성된 복합 규칙은 실행 빈도가 낮습니다. 지연 시간이 길어 시간에 민감한 알림에는 적합하지 않을 수 있습니다. 장기간에 걸쳐 느리고 지속적인 적대적 활동을 감지하려면 이러한 긴 기간을 사용하는 것이 좋습니다.

시각화를 위해 감지 사용

노이즈가 많은 규칙을 관리하는 한 가지 전략은 출력을 대시보드의 시각화로 변환하는 것입니다. 이 접근 방식은 규칙 할당량을 사용하지 않으며 대량의 충실도가 낮은 데이터를 유용한 통계로 전환할 수 있습니다.

감지만 하도록 규칙을 설정한 다음 대시보드 위젯에 감지를 표시하면 개별 알림에 압도되지 않고 트렌드를 추적하고, 이상치를 식별하고, 활동에 대한 개요 감사 보기를 얻을 수 있습니다.

예: 개인 식별 정보 데이터 처리 추적

규칙은 사용자가 민감한 PII 데이터를 처리할 때마다 추적합니다. 매번 알림을 보내는 대신 감지만 하도록 설정되어 있습니다. 그러면 대시보드 위젯에 일일 출구 한도 (예: 10,000바이트)에 근접한 사용자가 표시됩니다. 이렇게 하면 지속적인 알림을 생성하지 않고도 위험한 행동을 빠르게 감사할 수 있습니다.

예: 특정 DLP 위험 모니터링

위젯은 매우 구체적인 DLP 규칙 하위 집합의 위험 점수를 집계합니다. 이를 통해 특정 팀 (예: 데이터 손실 방지 (DLP) 관리자)은 관련 위험만 모니터링하고 다른 보안 도메인의 노이즈를 필터링할 수 있습니다.

복합 탐지 빌드

다음 워크플로는 복합 규칙을 만드는 일반적인 여정을 간략하게 보여줍니다. 전체 구문 및 세부정보는 컴포지트 규칙 구문를 참고하세요.

  1. 위협 시나리오 정의: 감지하려는 특정 위협을 정의합니다.

  2. 입력 규칙 만들기 또는 식별: 위협 시나리오의 각 단계에 대해 특정 활동을 감지하는 입력 규칙을 만들거나 식별합니다.

  3. 조인 조건 정의: 규칙 라벨, 변수, 감지 필드 등 입력 규칙의 감지를 연결하는 공통 정보를 확인합니다.

  4. 복합 규칙 빌드: 입력 규칙에서 감지를 수집하는 규칙을 작성합니다.

    • 이름, ID 또는 공유 메타 라벨로 입력 규칙을 참조하여 events 섹션을 정의합니다.

    • match 섹션을 정의하여 조인 키와 일치 시간 범위를 지정합니다.

    • condition 섹션을 정의하여 최종 알림이 트리거되기 위해 충족해야 하는 조건을 설정합니다.

  5. 규칙 체인 테스트 및 배포: 시퀀스의 각 규칙에 대해 수동으로 레트로헌트를 실행하는 것이 좋습니다.

    복합 규칙에서 규칙 테스트 기능을 사용하면 규칙의 입력 기준과 일치하는 기존 감지에 대해서만 실행됩니다. 기본 규칙을 자동으로 실행하여 테스트를 위한 새 입력을 생성하지 않으므로 단일 작업으로 전체 규칙 체인을 검증할 수 없습니다.

    규칙 시퀀스에 대해 레트로헌트를 실행하려면 다음 단계를 따르세요.

    1. 시퀀스의 첫 번째 규칙부터 수동으로 역추적을 시작합니다.

    2. 완료될 때까지 기다립니다.

    3. 다음 규칙으로 계속 진행합니다.

복합 감지 발견 항목 보기

감지 페이지에서 복합 감지 결과를 볼 수 있습니다. 입력 열에 감지가 소스로 표시되고 감지 유형 열에 숫자 (예: Alert (3))가 옆에 있는 알림 라벨이 표시되면 알림은 복합 감지입니다.

참고: SIEM과 SOAR이 모두 있는 경우 케이스 탭에서 결과를 볼 수 있습니다.

복합 감지 최적화

복합 규칙을 빌드할 때는 다음 권장사항을 따르는 것이 좋습니다.

지연 시간 최적화

감지 파이프라인의 지연 시간을 최소화하려면 초기 트리거와 같이 가능한 경우 단일 이벤트 규칙을 사용하세요. 복합 규칙은 감지를 사용하여 다른 이벤트, 항목 또는 감지와 더 복잡한 상관관계를 수행할 수 있으므로 전체 지연 시간을 줄일 수 있습니다.

효율적인 방법을 사용하여 감지 결합

결과 변수, 메타 라벨, 일치 변수를 사용하여 감지를 조인하는 것이 좋습니다. 이러한 메서드는 이벤트 샘플을 사용하는 것보다 더 결정적이고 신뢰할 수 있는 결과를 제공합니다. 메타 라벨은 복합 규칙이 해당 라벨이 있는 모든 감지를 타겟팅할 수 있도록 규칙을 분류할 수 있으므로 특히 유연합니다.

예를 들어 여러 규칙이 동일한 메타 라벨 tactic: exfiltration를 공유하는 경우 전술 라벨의 값이 exfiltration인 모든 감지를 타겟팅하는 복합 규칙을 사용할 수 있습니다.

함수 라이브러리로 감지 기능 강화

복합 규칙 내 전략적 지점에서 YARA-L 함수 라이브러리를 사용하여 신호를 늘리고 더 복잡한 논리를 추가할 수 있습니다.

규칙 업데이트 관리

하나 이상의 복합 규칙에 사용되는 규칙을 업데이트하면 시스템에서 규칙의 새 버전을 자동으로 만듭니다. 복합 규칙은 새 버전을 자동으로 사용합니다. 의도한 동작을 확인하려면 업데이트된 전체 규칙 시퀀스를 테스트하는 것이 좋습니다.

제한사항

복합 감지를 설계하고 구현할 때는 다음 제한사항을 고려하세요.

  • 복합 규칙: Google SecOps는 복합 규칙에 대해 최대 깊이 10을 지원합니다. 깊이는 기본 규칙에서 최종 복합 규칙까지의 규칙 수입니다.

  • 감지 전용 규칙: 최대 일치 기간이 14일입니다. 단, 다음과 같은 조건이 적용됩니다.

    • 규칙에서 수집된 이벤트, 항목 그래프 데이터, 데이터 테이블 또는 참조 목록을 사용하는 경우 일치 기간은 48시간으로 제한됩니다.

    • 감지 전용 규칙에는 규칙당 일일 감지 한도인 10,000개의 감지가 적용됩니다.

  • 결과 변수: 각 규칙은 최대 20개의 결과 변수로 제한됩니다. 또한 반복되는 결과 변수는 각각 25개 값으로 제한됩니다.

  • 이벤트 샘플: 규칙의 이벤트 변수당 10개의 이벤트 샘플만 저장됩니다(예: $e1에 10개, $e2에 10개).

감지 한도에 대한 자세한 내용은 감지 한도를 참고하세요.

다음 단계

복합 감지 규칙을 빌드하는 방법에 대한 자세한 내용은 복합 감지 규칙을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.