규칙 편집기를 사용하여 규칙 관리

규칙 편집기를 사용하여 규칙을 만들고 수정하려면 다음 단계를 따르세요.

1. 감지 > 규칙 및 감지 > 규칙 편집기 탭을 클릭합니다.

2. 규칙 검색 필드를 사용하여 기존 규칙을 검색합니다. 스크롤바를 사용하여 규칙을 스크롤할 수도 있습니다. 왼쪽 패널에서 규칙을 클릭하여 규칙 표시 패널에서 규칙을 확인합니다.

3. 규칙 목록에서 원하는 규칙을 선택합니다. 규칙이 규칙 수정 창에 표시됩니다. 규칙을 선택하여 규칙 메뉴를 열고 다음 옵션 중에서 선택할 수 있습니다.

   • 실시간 규칙 - 규칙을 사용 설정하거나 중지합니다.
   • 중복 규칙 - 규칙의 사본을 만들며 비슷한 규칙을 만들려는 경우에 유용합니다.
   • 규칙 감지 보기 - 규칙 감지 창을 열어 이 규칙에서 캡처한 감지를 표시합니다.

4. 규칙 수정 창에서 기존 규칙을 수정하고 새 규칙을 만듭니다. 규칙 수정 창에는 규칙의 각 섹션에 사용할 수 있는 올바른 YARA-L 구문을 볼 수 있는 자동 완성 기능이 포함되어 있습니다. 규칙을 작성하거나 수정할 때마다 Google Security Operations는 완성된 규칙에서 올바른 구문을 사용하도록 자동 추천을 안내합니다. 규칙 범위를 업데이트하려면 범위에 결합 메뉴에서 범위를 선택합니다. 범위를 규칙과 연결하는 방법에 대한 자세한 내용은 데이터 RBAC가 규칙에 미치는 영향을 참조하세요. 자세한 내용은 YARA-L 2.0 언어 구문을 참고하세요.

5. 규칙 편집기에서 새로 만들기를 클릭하여 규칙 편집기 창을 엽니다. 자동으로 기본 규칙 템플릿으로 채워집니다. Google SecOps는 규칙의 고유 이름을 자동으로 생성합니다. YARA-L에서 새 규칙을 만듭니다. 규칙에 범위를 추가하려면 범위에 결합 메뉴에서 범위를 선택합니다. 규칙에 범위 추가에 대한 자세한 내용은 데이터 RBAC가 규칙에 미치는 영향을 참조하세요. 완료되면 새 규칙 저장을 클릭합니다. Google SecOps는 규칙 구문을 검사합니다. 규칙이 유효한 경우 저장되고 자동으로 사용 설정됩니다. 구문이 잘못된 경우 오류를 반환합니다. 새 규칙을 삭제하려면 삭제를 클릭합니다.

멀티 이벤트 규칙의 실행 빈도는 규칙의 일치 기간에 따라 자동으로 설정됩니다.

• 기간이 1~48시간인 경우 실행 빈도는 1시간입니다.
• 기간이 48시간을 초과하는 경우 실행 빈도는 24시간입니다.

자세한 내용은 실행 빈도 설정을 참고하세요.

1. 규칙과 관련된 현재 감지에 대한 정보를 확인하려면 규칙 목록에서 규칙을 클릭하고 규칙 감지 보기를 클릭하여 규칙 감지 뷰를 엽니다.

   규칙 감지 뷰에는 규칙에 연결된 메타데이터와 최근 며칠 동안 규칙에 의해 발견된 감지 횟수를 보여주는 그래프가 표시됩니다.

2. 규칙 수정을 클릭하여 규칙 편집기로 돌아갑니다.

   여러 열 보기

   타임라인 탭도 사용할 수 있으며 규칙에서 감지한 이벤트가 나열됩니다. 다른 Google SecOps 뷰의 타임라인 탭과 마찬가지로 이벤트를 선택하고 연결된 원시 로그나 UDM 이벤트를 열 수 있습니다.

view_column 열을 클릭하여 여러 열 보기 옵션을 열고 타임라인 탭에 표시되는 정보를 변경합니다. 멀티 열 보기를 사용하면 hostname, user과 같은 일반적인 유형과 UDM에서 제공하는 보다 구체적인 여러 카테고리 등 다양한 로그 정보 카테고리 중에서 선택할 수 있습니다.

1. 테스트 실행을 클릭하여 규칙을 테스트합니다. Google SecOps는 지정된 시간 범위의 이벤트에 대해 규칙을 실행하고 결과를 생성하여 규칙 결과 테스트 창에 표시합니다.
   언제든지 테스트 취소를 클릭하여 프로세스를 중지할 수 있습니다.

규칙 관리 방법에 대한 커뮤니티 블로그는 다음을 참조하세요.

• 규칙 편집기 탐색

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.