실시간 데이터에 대한 규칙 실행

규칙을 만들면 처음에는 Google Security Operations 계정에서 수신된 이벤트를 기준으로 감지를 실시간으로 검색하지 않습니다. 하지만 실시간 규칙 토글을 사용 설정하여 실시간으로 감지를 검색하는 규칙을 설정합니다.

규칙을 적용하려면 다음 단계를 완료합니다.

  1. 규칙 대시보드로 이동합니다.

  2. 규칙의 규칙 옵션 아이콘을 클릭하고 라이브 규칙이 사용 설정되도록 전환합니다.

    실시간 규칙

    실시간 규칙

  3. 규칙 감지 보기를 선택하면 실시간 규칙으로 생성된 감지를 볼 수 있습니다.

규칙 할당량

용량 버튼을 클릭하여 실시간으로 사용 설정할 수 있는 규칙 수의 한도를 표시합니다. 이 버튼은 규칙 대시보드의 오른쪽 상단에 있습니다.

Google Security Operations에서 적용하는 규칙 한도는 다음과 같습니다.

  • 여러 이벤트 규칙 할당량: 현재 실시간으로 사용 설정된 여러 이벤트 규칙의 수와 실시간으로 사용 설정할 수 있는 최대 규칙 수를 표시합니다. 단일 이벤트와 여러 이벤트 규칙의 차이점에 대한 자세한 내용은 여기를 참조하세요.
  • 총 규칙 할당량: 모든 규칙 유형에서 현재 실시간으로 사용 설정된 총 규칙 수와 실시간으로 사용 설정할 수 있는 최대 규칙 수를 표시합니다.

다양한 유형의 규칙에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

규칙 실행

지정된 이벤트 시간 버킷의 실시간 규칙 실행은 빈도 감소로 트리거됩니다. 최종 정리 실행이며 이후에는 더 이상 실행이 시작되지 않습니다.

각 실행은 규칙에 사용된 최신 버전의 참조 목록과 최신 이벤트 및 항목 데이터 보강에서 실행됩니다.

즉, 일부 감지는 이후 실행에서만 감지될 경우 소급해서 생성될 수 있습니다. 예를 들어 마지막 실행에서 최신 버전의 참조 목록을 사용하므로 이제 더 많은 이벤트가 감지되고 새로운 보강으로 인해 이벤트와 항목 데이터가 다시 처리될 수 있습니다.

감지 지연 시간

실시간 규칙에서 감지가 생성되는 데 걸리는 시간은 다양한 요소에 따라 결정됩니다. 예를 들면 다음과 같습니다.

  • 원본 로그 데이터의 수집 시간입니다.
  • 규칙에서 컨텍스트 보강 데이터를 사용할지 여부입니다. 보강으로 인해 감지가 지연될 수 있습니다.
  • 규칙이 존재하지 않는지 여부입니다. 존재하지 않는 규칙(조건 섹션에 !$e 또는 #e = 0이 포함된 규칙)의 경우 감지 엔진이 예상 지연 시간에 최소 1시간의 지연을 추가하여(규칙 실행 빈도에 따라) 늦게 도착하는 데이터를 허용합니다.

감지 지연 시간을 줄이려면 다음을 수행하는 것이 좋습니다.

  • 이벤트가 발생하는 즉시 로그 데이터를 Google Security Operations에 전송합니다.
  • 존재하지 않는 데이터 또는 컨텍스트가 보강된 데이터를 사용해야 하는지 확인하기 위해 규칙을 감사합니다.
  • 실행 빈도를 더 적게 구성합니다.

규칙 상태

실시간 규칙에는 다음 상태 중 하나가 포함될 수 있습니다.

  • 사용 설정됨: 규칙이 활성 상태이고 실시간 규칙으로 정상 작동합니다.

  • 사용 중지: 규칙이 사용 중지되었습니다.

  • 제한됨: 리소스 사용량이 비정상적으로 높은 경우 실시간 규칙이 이 상태로 전환될 수 있습니다. 제한됨 규칙은 Google Security Operations의 안정성이 유지되도록 시스템의 다른 실시간 규칙과 격리됩니다.

    제한됨 실시간 규칙의 경우 성공적인 규칙 실행이 보장되지 않습니다. 그러나 규칙 실행이 성공하면 감지 항목이 보관되고 이를 검토할 수 있습니다. 제한됨 라이브 규칙은 항상 오류 메시지를 생성합니다. 여기에는 규칙의 성능을 향상시키는 방법에 대한 정보가 포함됩니다.

    제한됨 규칙의 성능이 3일 이내에 개선되지 않으면 상태가 일시중지됨으로 변경됩니다.

  • 일시중지됨: 실시간 규칙이 3일 동안 제한됨 상태로 유지되고 성능 향상이 나타나지 않으면 이 상태로 전환됩니다. 이 규칙의 실행이 일시중지되고 규칙 성능 향상 방법이 포함된 오류 메시지가 반환됩니다.

실시간 규칙을 사용 설정됨 상태로 되돌리려면 YARA-L 권장사항에 따라 규칙 성능을 향상시키고 저장합니다. 규칙이 저장된 후 사용 설정됨 상태로 재설정되고 규칙이 제한됨 상태에 다시 도달하기 전까지 최소 한 시간 이상 걸립니다.

실행 빈도를 낮게 구성하면 잠재적으로 규칙의 성능 문제를 해결할 가능성이 있습니다. 예를 들어 10분마다 실행되는 규칙을 1시간 또는 24시간에 한 번만 실행되도록 재구성할 수 있습니다. 그러나 규칙의 실행 빈도를 변경해도 해당 상태가 다시 사용 설정됨으로 변경되지는 않습니다. 규칙을 일부 수정하고 저장하면 해당 상태가 자동으로 사용 설정됨으로 재설정됩니다.

규칙 상태는 규칙 대시보드에 표시되고 Detection Engine API를 통해서도 액세스할 수 있습니다. 제한됨 또는 일시중지됨 상태의 규칙으로 생성된 오류는 ListErrors API 메서드를 사용해서 제공됩니다. 이 오류는 해당 규칙이 제한됨 또는 일시중지됨 상태임을 나타내고 문제 해결 방법에 대한 문서를 참조하도록 안내합니다.