실시간 데이터에 대한 규칙 실행

규칙을 만들면 처음에는 Google Security Operations 계정에서 수신된 이벤트를 기준으로 감지를 실시간으로 검색하지 않습니다. 하지만 실시간 규칙 토글을 사용 설정하여 실시간으로 감지를 검색하는 규칙을 설정합니다.

규칙을 적용하려면 다음 단계를 완료합니다.

  1. 규칙 대시보드로 이동합니다.

  2. 규칙의 규칙 옵션 아이콘을 클릭하고 라이브 규칙이 사용 설정되도록 전환합니다.

    실시간 규칙

    실시간 규칙

  3. 규칙 감지 보기를 선택하면 실시간 규칙으로 생성된 감지를 볼 수 있습니다.

규칙 할당량

용량 버튼을 클릭하여 실시간으로 사용 설정할 수 있는 규칙 수의 한도를 표시합니다. 이 버튼은 규칙 대시보드의 오른쪽 상단에 있습니다.

Google Security Operations에서 적용하는 규칙 한도는 다음과 같습니다.

  • 여러 이벤트 규칙 할당량: 현재 실시간으로 사용 설정된 여러 이벤트 규칙의 수와 실시간으로 사용 설정할 수 있는 최대 규칙 수를 표시합니다. 단일 이벤트와 여러 이벤트 규칙의 차이점에 대한 자세한 내용은 여기를 참조하세요.
  • 총 규칙 할당량: 모든 규칙 유형에서 현재 실시간으로 사용 설정된 총 규칙 수와 실시간으로 사용 설정할 수 있는 최대 규칙 수를 표시합니다.

다양한 유형의 규칙에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

규칙 실행

지정된 이벤트 시간 버킷의 실시간 규칙 실행은 빈도 감소로 트리거됩니다. 최종 정리 실행이며 이후에는 더 이상 실행이 시작되지 않습니다.

각 실행은 규칙에 사용된 최신 버전의 참조 목록과 최신 이벤트 및 항목 데이터 보강에서 실행됩니다.

즉, 일부 감지는 이후 실행에서만 감지될 경우 소급해서 생성될 수 있습니다. 예를 들어 마지막 실행에서 최신 버전의 참조 목록을 사용하므로 이제 더 많은 이벤트가 감지되고 새로운 보강으로 인해 이벤트와 항목 데이터가 다시 처리될 수 있습니다.

감지 지연 시간

실시간 규칙에서 감지가 생성되는 데 걸리는 시간은 다양한 요인에 따라 결정됩니다. 다음 목록에는 감지 지연에 기여하는 다양한 요인이 포함되어 있습니다.

  • 규칙 유형
  • 실행 빈도
  • 수집 지연
  • 문맥 조인
  • 보강된 UDM 데이터
  • 시간대 문제
  • 참조 목록

규칙 유형

  • 단일 이벤트 규칙은 거의 실시간으로 스트리밍 방식으로 실행됩니다. 가능하면 이러한 규칙을 사용하여 지연 시간을 최소화하세요.
  • 다중 이벤트 규칙은 예약된 방식으로 실행되므로 예약된 실행 사이의 시간으로 인해 지연 시간이 길어집니다.

실행 빈도

더 빠르게 감지하려면 실행 빈도를 줄이고 일치 기간을 더 짧게 설정하세요. 더 짧은 일치 기간(1시간 미만)을 사용하면 더 자주 실행됩니다.

수집 지연

이벤트가 발생하는 즉시 데이터가 Google Security Operations로 전송되도록 합니다. 감지를 검토할 때는 UDM 이벤트 및 처리 타임스탬프에 주의를 기울여야 합니다.

문맥 조인

UEBA 또는 항목 그래프와 같은 문맥 데이터가 포함된 멀티 이벤트 규칙은 지연 시간이 더 길 수 있습니다. 먼저 Google SecOps에서 문맥 데이터를 생성해야 합니다.

보강된 UDM 데이터

Google SecOps는 다른 이벤트의 데이터로 이벤트를 보강합니다. 규칙에서 보강된 필드를 평가하는지 확인하려면 이벤트 뷰어를 검토하세요. 규칙에서 보강된 필드를 평가하는 경우 감지가 지연될 수 있습니다.

시간대 문제

실시간 데이터의 경우 규칙이 더 자주 실행됩니다. 데이터는 실시간으로 도착할 수 있지만 시간대 문제로 인해 이벤트 시간이 잘못된 경우 Google SecOps에서 이를 늦게 도착하는 데이터로 취급할 수 있습니다. Google SecOps SIEM의 기본 시간대는 UTC입니다. 원본 데이터의 이벤트 타임스탬프가 UTC가 아닌 다른 시간대로 설정된 경우 데이터 시간대를 업데이트합니다. 로그 소스에서 시간대를 업데이트할 수 없는 경우 시간대를 재정의할 수 있도록 지원에 문의하세요.

존재하지 않는 규칙

존재하지 않음을 확인하는 규칙(예: !$e 또는 #e=0을 포함하는 규칙)은 데이터가 도착할 시간을 보장하기 위해 최소 1시간의 지연 후 실행됩니다.

참조 목록

규칙을 실행할 때는 항상 최신 버전의 참조 목록을 사용합니다. 참조 목록이 최근에 업데이트된 경우 나중에 예약된 규칙을 실행하는 동안 업데이트된 목록의 새 콘텐츠에 감지가 포함될 수 있으므로 새로운 감지가 늦게 표시될 수 있습니다.

감지 지연 시간을 줄이려면 다음을 수행하는 것이 좋습니다.

  • 이벤트가 발생하는 즉시 로그 데이터를 Google Security Operations에 전송합니다.
  • 존재하지 않는 데이터 또는 컨텍스트가 보강된 데이터를 사용해야 하는지 확인하기 위해 규칙을 감사합니다.
  • 실행 빈도를 더 적게 구성합니다.

규칙 상태

실시간 규칙에는 다음 상태 중 하나가 포함될 수 있습니다.

  • 사용 설정됨: 규칙이 활성 상태이고 실시간 규칙으로 정상 작동합니다.

  • 사용 중지: 규칙이 사용 중지되었습니다.

  • 제한됨: 리소스 사용량이 비정상적으로 높은 경우 실시간 규칙이 이 상태로 전환될 수 있습니다. 제한됨 규칙은 Google Security Operations의 안정성이 유지되도록 시스템의 다른 실시간 규칙과 격리됩니다.

    제한됨 실시간 규칙의 경우 성공적인 규칙 실행이 보장되지 않습니다. 그러나 규칙 실행이 성공하면 감지 항목이 보관되고 이를 검토할 수 있습니다. 제한됨 라이브 규칙은 항상 오류 메시지를 생성합니다. 여기에는 규칙의 성능을 향상시키는 방법에 대한 정보가 포함됩니다.

    제한됨 규칙의 성능이 3일 이내에 개선되지 않으면 상태가 일시중지됨으로 변경됩니다.

  • 일시중지됨: 실시간 규칙이 3일 동안 제한됨 상태로 유지되고 성능 향상이 나타나지 않으면 이 상태로 전환됩니다. 이 규칙의 실행이 일시중지되고 규칙 성능 향상 방법이 포함된 오류 메시지가 반환됩니다.

실시간 규칙을 사용 설정됨 상태로 되돌리려면 YARA-L 권장사항에 따라 규칙 성능을 향상시키고 저장합니다. 규칙이 저장된 후 사용 설정됨 상태로 재설정되고 규칙이 제한됨 상태에 다시 도달하기 전까지 최소 한 시간 이상 걸립니다.

실행 빈도를 낮게 구성하면 잠재적으로 규칙의 성능 문제를 해결할 가능성이 있습니다. 예를 들어 10분마다 실행되는 규칙을 1시간 또는 24시간에 한 번만 실행되도록 재구성할 수 있습니다. 그러나 규칙의 실행 빈도를 변경해도 해당 상태가 다시 사용 설정됨으로 변경되지는 않습니다. 규칙을 일부 수정하고 저장하면 해당 상태가 자동으로 사용 설정됨으로 재설정됩니다.

규칙 상태는 규칙 대시보드에 표시되고 Detection Engine API를 통해서도 액세스할 수 있습니다. 제한됨 또는 일시중지됨 상태의 규칙으로 생성된 오류는 ListErrors API 메서드를 사용해서 제공됩니다. 이 오류는 해당 규칙이 제한됨 또는 일시중지됨 상태임을 나타내고 문제 해결 방법에 대한 문서를 참조하도록 안내합니다.