이 페이지는 Cloud Translation API를 통해 번역되었습니다.

실시간 데이터에 규칙을 적용하는 방법 알아보기

다음에서 지원:

Google SecOps SIEM

규칙을 만들면 처음에는 Google Security Operations 계정에서 수신된 이벤트를 기준으로 감지를 실시간으로 검색하지 않습니다. 하지만 실시간 규칙 토글을 사용 설정하여 실시간으로 감지를 검색하는 규칙을 설정합니다.

실시간으로 감지를 검색하도록 규칙이 구성되면 즉각적인 위협 감지를 위해 실시간 데이터가 우선순위로 지정됩니다.

규칙을 적용하려면 다음 단계를 완료합니다.

감지 > 규칙 및 감지를 클릭합니다.
규칙 대시보드 탭을 클릭합니다.
규칙의 more_vert 규칙 옵션 아이콘을 클릭하고 라이브 규칙이 사용 설정되도록 전환합니다.

실시간 규칙
규칙 감지 보기를 선택하여 실시간 규칙의 감지를 확인합니다.

디스플레이 규칙 할당량

규칙 대시보드의 오른쪽 상단에서 규칙 용량을 클릭하여 실시간으로 사용 설정할 수 있는 규칙 수의 한도를 표시합니다.

Google SecOps에서 적용하는 규칙 한도는 다음과 같습니다.

여러 이벤트 규칙 할당량: 현재 사용 설정된 여러 이벤트 규칙의 수와 허용되는 최대 수를 표시합니다. 단일 이벤트와 여러 이벤트 규칙의 차이점에 대해 자세히 알아보세요.
총 규칙 할당량: 모든 규칙 유형에서 현재 실시간으로 사용 설정된 총 규칙 수와 실시간으로 사용 설정할 수 있는 최대 규칙 수를 표시합니다.

규칙 실행

지정된 이벤트 시간 버킷의 실시간 규칙 실행은 빈도 감소로 트리거됩니다. 최종 정리 실행이 발생하며 이후에는 더 이상 실행이 시작되지 않습니다.

각 실행은 규칙에 사용된 최신 버전의 참조 목록과 최신 이벤트 및 항목 데이터 보강에서 실행됩니다.

일부 감지는 나중에 실행에서만 감지될 경우 소급해서 생성될 수 있습니다. 예를 들어 마지막 실행에서 최신 버전의 참조 목록을 사용하므로 이제 더 많은 이벤트가 감지되고 새로운 보강으로 인해 이벤트와 항목 데이터가 다시 처리될 수 있습니다.

중복 삭제

Google SecOps는 규칙에서 중복된 감지 항목을 자동으로 식별하고 삭제합니다. 이 프로세스는 시간 기반 기간을 사용하는 일치 변수가 있는 규칙에만 적용됩니다. 일치 변수 값이 동일하고 시간 기간이 중복되는 발견 항목은 중복으로 간주되어 표시되지 않습니다.

Google SecOps는 각 규칙 버전을 별도의 새로운 논리로 취급합니다. 따라서 규칙이 업데이트되면 과거 이벤트를 기반으로 감지가 반복될 수 있습니다. 이러한 감지는 중복으로 표시되더라도 삭제되지 않습니다.

감지 지연 시간

실시간 규칙에서 감지가 생성되는 데 걸리는 시간은 다양한 요소에 따라 결정됩니다. 다음 목록에는 감지 지연에 영향을 미치는 다양한 요인이 포함되어 있습니다.

규칙 유형
실행 빈도
수집 지연
컨텍스트 조인
보강된 UDM 데이터
시간대 문제
참조 목록

규칙 유형

단일 이벤트 규칙은 스트리밍 방식으로 거의 실시간으로 실행됩니다. 가능한 경우 이러한 규칙을 사용하여 지연 시간을 최소화하세요.
다중 이벤트 규칙은 예약된 일정에 따라 실행되므로 예약된 실행 간의 시간으로 인해 지연 시간이 길어집니다.

실행 빈도

더 빠른 감지를 위해서는 더 짧은 실행 빈도와 더 작은 일치 기간을 사용하세요. 더 짧은 일치 기간(1시간 미만)을 사용하면 더 자주 실행됩니다.

수집 지연

이벤트가 발생하는 즉시 데이터가 Google Security Operations로 전송되는지 확인합니다. 감지를 검토할 때는 UDM 이벤트와 수집 타임스탬프를 주의 깊게 확인하세요.

컨텍스트 조인

UEBA 또는 항목 그래프와 같은 문맥 데이터를 사용하는 멀티 이벤트 규칙은 지연 시간이 더 길 수 있습니다. 컨텍스트 데이터는 먼저 Google SecOps에서 생성해야 합니다.

보강된 UDM 데이터

Google SecOps는 다른 이벤트의 데이터로 이벤트를 보강합니다. 규칙에서 보강된 필드를 평가하는지 확인하려면 이벤트 뷰어를 검토하세요. 규칙에서 보강된 필드를 평가하는 경우 감지가 지연될 수 있습니다.

시간대 문제

실시간 데이터의 경우 규칙이 더 자주 실행됩니다. 데이터가 실시간으로 도착할 수 있지만, 시간대 불일치로 인해 이벤트 시간이 잘못된 경우 Google SecOps에서 데이터가 늦게 도착한 것으로 처리할 수 있습니다.

Google SecOps SIEM 기본 시간대는 UTC입니다. 원래 데이터의 이벤트 타임스탬프가 UTC 이외의 시간대로 설정된 경우 데이터 시간대를 업데이트합니다. 로그 소스에서 시간대를 업데이트할 수 없는 경우 시간대를 재정의할 수 있도록 지원팀에 문의하세요.

존재하지 않는 규칙

존재하지 않음을 확인하는 규칙 (예: !$e 또는 #e=0을 포함하는 규칙)은 데이터가 도착할 시간을 보장하기 위해 최소 1시간의 지연 후 실행됩니다.

참조 목록

규칙 실행은 항상 최신 버전의 참조 목록을 사용합니다. 참조 목록이 최근에 업데이트된 경우 새로운 감지가 늦게 표시될 수 있습니다. 이는 감지가 예약된 규칙의 후속 실행 중에 업데이트된 목록의 새 콘텐츠에만 포함될 수 있기 때문입니다.

감지 지연 시간을 줄이려면 다음을 수행하는 것이 좋습니다.

이벤트가 발생하는 즉시 로그 데이터를 Google SecOps에 전송합니다.
감사 규칙을 검토하여 존재하지 않는 데이터 또는 컨텍스트가 보강된 데이터를 사용해야 하는지 확인합니다.
실행 빈도를 더 적게 구성합니다.

규칙 상태

실시간 규칙에는 다음 상태 중 하나가 포함될 수 있습니다.

사용 설정됨: 규칙이 활성 상태이고 실시간 규칙으로 정상 작동합니다.
사용 중지: 규칙이 사용 중지되었습니다.
제한됨: 리소스 사용량이 비정상적으로 높은 경우 실시간 규칙이 이 상태로 설정될 수 있습니다. 제한됨 규칙은 Google SecOps의 안정성이 유지되도록 시스템의 다른 실시간 규칙과 격리됩니다.

제한됨 라이브 규칙의 경우 성공적인 규칙 실행이 항상 가능한 것은 아닙니다. 그러나 규칙 실행이 성공하면 감지 항목이 보관되고 이를 검토할 수 있습니다. 제한됨 라이브 규칙은 항상 오류 메시지를 생성합니다. 여기에는 규칙의 성능을 향상시키는 방법에 대한 추천이 포함됩니다.

제한됨 규칙의 성능이 3일 이내에 개선되지 않으면 상태가 일시중지됨으로 변경됩니다.

참고: 최근에 이 규칙을 변경하지 않았다면 오류가 간헐적으로 발생할 수 있으며 자동으로 해결될 수 있습니다.
일시중지됨: 실시간 규칙이 3일 동안 제한됨 상태로 유지되고 성능 향상이 나타나지 않으면 이 상태로 전환됩니다. 이 규칙의 실행이 일시중지되고 규칙 성능 향상에 관한 제안이 포함된 오류 메시지가 반환됩니다.

실시간 규칙을 사용 설정됨 상태로 되돌리려면 YARA-L 권장사항에 따라 규칙 성능을 최적화하고 변경사항을 저장합니다. 규칙이 저장된 후 사용 설정됨 상태로 재설정되고 제한됨 상태에 다시 도달하기 전까지 최소 한 시간 이상 걸립니다.

실행 빈도를 낮게 구성하면 잠재적으로 규칙의 성능 문제를 해결할 가능성이 있습니다. 예를 들어 10분마다 실행되는 규칙을 1시간 또는 24시간에 한 번만 실행되도록 재구성할 수 있습니다. 그러나 규칙의 실행 빈도를 변경해도 해당 상태가 다시 사용 설정됨으로 변경되지는 않습니다. 규칙을 일부 수정하고 저장하면 해당 상태가 자동으로 사용 설정됨으로 재설정됩니다.

규칙 상태는 규칙 대시보드에 표시되고 Detection Engine API를 통해서도 액세스할 수 있습니다. 제한됨 또는 일시중지됨 상태의 규칙으로 생성된 오류는 ListErrors API 메서드를 사용해서 제공됩니다. 이 오류는 해당 규칙이 제한됨 또는 일시중지됨 상태임을 나타내고 문제 해결 방법에 대한 문서 링크를 제공합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.