UDM 검색

UDM 검색 함수를 사용하면 Chronicle 인스턴스 내에서 통합 데이터 모델(UDM) 이벤트 및 알림을 찾을 수 있습니다. UDM 검색에는 UDM 데이터를 탐색할 수 있는 다양한 검색 옵션이 포함되어 있습니다. 공유 검색어에 연결된 개별 UDM 이벤트 및 UDM 이벤트 그룹을 모두 검색할 수 있습니다.

Chronicle Security Operations 고객의 경우 커넥터웹훅에서도 알림을 수집할 수 있습니다. UDM 검색을 사용하여 이러한 알림을 찾을 수도 있습니다.

UDM에 대한 자세한 내용은 로그 데이터를 UDM 형식으로 지정통합 데이터 모델 필드 목록을 참조하세요.

Chronicle UDM 검색에 액세스하려면 탐색 메뉴에서 검색을 클릭합니다. Chronicle의 모든 검색창에서 유효한 UDM 필드를 입력하고 CTRL+Enter를 눌러 UDM 검색에 액세스할 수도 있습니다.

모든 유효한 UDM 필드 목록은 통합 데이터 모델 필드 목록을 참조하세요.

UDM 검색

그림 1. UDM 검색

빈 UDM 검색

그림 2. CTRL+Enter로 열리는 UDM 검색 창

UDM 검색창에 UDM 검색을 입력하려면 다음 단계를 완료하세요. UDM 검색 입력을 마치면 검색 실행을 클릭합니다. Chronicle 사용자 인터페이스에서는 유효한 UDM 검색 표현식만 입력할 수 있습니다. 또한 기간 창을 열어서 검색할 데이터 범위를 조정할 수 있습니다.

검색이 너무 광범위하면 Chronicle이 모든 검색결과를 표시할 수 없음을 나타내는 경고 메시지를 반환합니다. 검색 범위를 줄여 다시 실행하세요. 검색이 너무 광범위하면 Chronicle이 검색 한도(이벤트 100만 개 및 알림 1,000개)까지 최신 결과를 반환합니다. 일치하는 이벤트와 알림이 훨씬 많을 수 있지만 현재 표시되지는 않습니다. 결과를 분석할 때 이 점에 유의하세요. 추가 필터를 적용하고 한도 미만이 될 때까지 원래 검색을 실행하는 것이 좋습니다. 대신 추가 필터를 적용하고 한도 미만이 나올 때까지 원래 검색을 다시 실행합니다.

날짜 및 검색 실행

그림 3. 검색 실행

UDM 쿼리는 모두 통합 데이터 모델 필드 목록에 나열된 UDM 필드를 기반으로 합니다. 또한 필터 또는 원시 로그 검색을 사용하여 검색 컨텍스트 내에서 UDM 필드를 볼 수 있습니다.

  1. 이벤트를 검색하려면 검색창에 UDM 필드 이름을 입력합니다. 사용자 인터페이스에는 자동 완성이 포함되어 있으며 입력한 내용을 기반으로 유효한 UDM 필드가 표시됩니다.

  2. 유효한 UDM 필드를 입력한 후 유효한 연산자를 선택합니다. 사용자 인터페이스에는 입력한 UDM 필드를 기반으로 사용 가능한 유효한 연산자가 표시됩니다. 지원되는 연산자는 다음과 같습니다.

    • <, >
    • <=, >=
    • =, !=
    • nocase - 문자열에 지원됨

  3. 유효한 UDM 필드와 연산자를 입력한 후 검색하려는 해당 로그 데이터를 입력합니다. 지원되는 데이터 유형은 다음과 같습니다.

    • 열거된 값: 지정된 UDM 필드에 유효한 열거 값 목록이 사용자 인터페이스에 표시됩니다.

      예(큰따옴표 사용 및 전부 대문자로 표시): metadata.event_type = "NETWORK_CONNECTION"

    • 추가 값: 'field[key] = value'를 사용하여 이벤트의 추가 필드와 라벨 필드를 검색할 수 있습니다.

      예: additional.fields["key"]="value"

    • Bools: true 또는 false를 사용할 수 있습니다 (모든 문자는 대소문자를 구분하며 키워드를 따옴표로 묶지 않습니다).

      예: network.dns.response = true

    • 정수

      예: target.port = 443

    • 부동 소수점 수: float 유형의 UDM 필드에 3.1과 같은 부동 소수점 값을 입력합니다. 또한 3과 같은 정수를 입력할 수도 있는데 이는 3.0을 입력하는 것과 동일합니다.

      예를 들면 security_result.about.asset.vulnerabilities.cvss_base_score = 3.1 또는 security_result.about.asset.vulnerabilities.cvss_base_score = 3입니다.

    • 정규 표현식: (정규 표현식은 슬래시(/) 문자 내에 있어야 함)

      예: principal.ip = /10.*/

      정규 표현식에 대한 자세한 내용은 정규 표현식 페이지를 참조하세요.

    • 문자열

      예(큰따옴표를 사용해야 함): metadata.product_name = "Google Cloud VPC Flow Logs"

  4. nocase 연산자를 사용하여 지정된 문자열의 대문자 및 소문자 버전의 조합을 검색할 수 있습니다.

    • principal.hostname != "http-server" nocase
    • principal.hostname = "JDoe" nocase
    • principal.hostname = /dns-server-[0-9]+/ nocase

  5. 백슬래시 문자를 사용하여 문자열의 백슬래시와 큰따옴표를 이스케이프 처리해야 합니다. 예를 들면 다음과 같습니다.

    • principal.process.file.full_path = "C:\\Program Files (x86)\\Google\\Application\\chrome.exe"
    • target.process.command_line = "cmd.exe /c \"c:\\program files\\a.exe\""

  6. 불리언 표현식을 사용하여 표시되는 데이터의 범위를 더 좁힐 수 있습니다. 다음 예시는 지원되는 불리언 표현식의 몇 가지 유형을 보여줍니다(AND, OR, NOT 불리언 연산자 사용 가능).

    • A AND B
    • A OR B
    • (A OR B) AND (B OR C) AND (C OR NOT D)

    다음 예시에서는 실제 구문이 표시되는 방법을 보여줍니다.

    금융 서버에 대한 로그인 이벤트: 

    metadata.event_type = "USER_LOGIN" and target.hostname = "finance-svr"

    Windows에서 정규 표현식을 사용하여 psexec.exe 도구 실행을 검색하는 예시입니다. 

    target.process.command_line = /\bpsexec(.exe)?\b/ nocase

    초과 연산자(>)를 사용하여 10MB가 넘는 데이터가 전송된 연결을 검색하는 예시입니다. 

    metadata.event_type = "NETWORK_CONNECTION" and network.sent_bytes > 10000000

    여러 조건을 사용하여 cmd.exe 또는 powershell.exe를 실행하는 Winword를 검색하는 예시입니다. 

        metadata.event_type = "PROCESS_LAUNCH" and
    principal.process.file.full_path = /winword/ and
    (target.process.file.full_path = /cmd.exe/ or
    target.process.file.full_path = /powershell.exe/)

  7. UDM 검색을 사용하여 추가 및 라벨 필드에서 특정 키-값 쌍을 검색할 수도 있습니다.

    추가 및 라벨 필드는 표준 UDM 필드에 적합하지 않는 이벤트 데이터에서 맞춤설정 가능한 '포괄'로 사용됩니다. 추가 필드에는 키-값 쌍이 여러 개 포함될 수 있습니다. 라벨 필드에는 단일 키-값 쌍만 포함될 수 있습니다. 그러나 필드의 각 인스턴스에는 단일 키와 단일 값만 포함됩니다. 키는 대괄호 안에 있어야 하며 값은 오른쪽에 있어야 합니다.

    다음 예시에서는 지정된 키-값 쌍이 포함된 이벤트를 검색하는 방법을 보여줍니다. 

        additional.fields["pod_name"] = "kube-scheduler"
    metadata.ingestion_labels["MetadataKeyDeletion"] = "startup-script"
    다음 예시에서는 키-값 쌍 검색에서 AND 연산자를 사용하는 방법을 보여줍니다. 
        additional.fields["pod_name"] = "kube-scheduler" AND additional.fields["pod_name1"] = "kube-scheduler1"

    다음 구문을 사용하여 값과 관계없이 지정된 키가 포함된 모든 이벤트를 검색할 수 있습니다. 

        additional.fields["pod_name"] != ""
    정규 표현식과 nocase 연산자를 사용할 수도 있습니다. 
        additional.fields["pod_name"] = /br/
    additional.fields["pod_name"] = bar nocase

  8. 블록 및 한 줄 주석을 사용할 수도 있습니다.

    다음 예시에서는 블록 주석을 사용하는 방법을 보여줍니다. 

        additional.fields["pod_name"] = "kube-scheduler"
    /*
    Block comments can span
    multiple lines.
    */
    AND additional.fields["pod_name1"] = "kube-scheduler1"

    다음 예시에서는 한 줄 주석을 사용하는 방법을 보여줍니다. 

        additional.fields["pod_name"] != "" // my single-line comment

  9. 검색 실행을 클릭하여 UDM 검색을 실행하고 결과를 표시합니다.

  10. 이벤트는 이벤트 타임라인 테이블의 UDM 검색 페이지에 표시됩니다. 수동으로 추가 UDM 필드를 추가하거나 인터페이스를 사용하여 결과를 더 좁힐 수 있습니다.

그룹화된 필드 검색

그룹화된 필드는 관련 UDM 필드 그룹의 별칭입니다. 각 필드를 개별적으로 입력하지 않고 여러 UDM 필드를 동시에 쿼리할 수 있습니다.

다음 예시에서는 지정된 IP 주소를 포함할 수 있는 일반적인 UDM 필드와 일치하는 쿼리를 입력하는 방법을 보여줍니다. 

    ip = "1.2.3.4"

정규 표현식을 사용하고 nocase 연산자를 사용하여 그룹화된 필드를 일치시킬 수 있습니다. 참조 목록도 지원됩니다. 그룹화된 필드는 다음 예시에 표시된 것처럼 일반 UDM 필드와 함께 사용할 수도 있습니다. 

    ip = "5.6.7.8" AND metadata.event_type = "NETWORK_CONNECTION"

그룹화된 필드에는 빠른 필터에 별도의 섹션이 있습니다.

그룹화된 UDM 필드의 유형

다음과 같은 그룹화된 UDM 필드를 모두 검색할 수 있습니다.

그룹화된 필드 이름 연결된 UDM 필드
나만의 about.administrative_domain
about.asset.network_domain
network.dns.questions.name
network.dns_domain
principal.administrative_domain
principal.asset.network_domain
target.administrative_domain
target.asset.hostname
target.asset.network_domain
target.hostname
이메일 intermediary.user.email_addresses
network.email.from
network.email.to
principal.user.email_addresses
security_result.about.user.email_addresses
target.user.email_addresses
file_path principal.file.full_path
principal.process.file.full_path
principal.process.parent_process.file.full_path
target.file.full_path
target.process.file.full_path
target.process.parent_process.file.full_path
해시 about.file.md5
about.file.sha1
about.file.sha256
principal.process.file.md5
principal.process.file.sha1
principal.process.file.sha256
security_result.about.file.sha256
target.file.md5
target.file.sha1
target.file.sha256
target.process.file.md5
target.process.file.sha1
target.process.file.sha256
hostname intermediary.hostname
observer.hostname
principal.asset.hostname
principal.hostname
src.asset.hostname
src.hostname
target.asset.hostname
target.hostname
ip intermediary.ip
observer.ip
principal.artifact.ip
principal.asset.ip
principal.ip
src.artifact.ip
src.asset.ip
src.ip
target.artifact.ip
target.asset.ip
target.ip
네임스페이스 principal.namespace
src.namespace
target.namespace
process_id principal.process.parent_process.pid
principal.process.parent_process.product_specific_process_id
principal.process.pid
principal.process.product_specific_process_id
target.process.parent_process.pid
target.process.parent_process.product_specific_process_id
target.Process.pid
target.process.product_specific_process_id
사용자 about.user.userid
observer.user.userid
principal.user.user_display_name
principal.user.userid
principal.user.windows_sid
src.user.userid
target.user.user_display_name
target.user.userid
target.user.windows_sid

검색어의 UDM 필드 찾기

UDM 검색어를 작성하는 동안 어떤 UDM 필드를 포함할지 알지 못할 수 있습니다. UDM 조회를 사용 설정하면 이름에 텍스트 문자열이 포함되거나 특정 문자열 값을 저장하는 UDM 필드 이름을 빠르게 찾을 수 있습니다. 바이트, 불리언 또는 숫자와 같은 다른 데이터 유형은 검색하는 데에는 사용할 수 없습니다. UDM 조회에서 반환한 결과 하나 이상을 UDM 검색어의 시작점으로 선택합니다.

UDM 조회를 사용하려면 다음을 수행합니다.

  1. UDM 검색 페이지에서 UDM 필드를 값으로 조회 필드에 텍스트 문자열을 입력한 후 UDM 조회를 클릭합니다.

  2. UDM 조회 대화상자에서 다음 옵션 중 하나 이상을 선택하여 검색할 데이터 범위를 지정합니다.

    • UDM 필드: UDM 필드 이름에서 텍스트를 검색합니다(예: network.dns.questions.name 또는 principal.ip).
    • : UDM 필드에 할당된 값에서 텍스트를 검색합니다(예: dns 또는 google.com).

  3. 검색창에 문자열을 입력하거나 수정합니다. 입력하면 검색 결과가 대화상자에 표시됩니다.

    UDM 필드에서 검색할 때는 결과가 약간 다릅니다. 에서 텍스트를 검색하면 다음과 같은 결과가 표시됩니다.

    • 문자열이 값의 시작 또는 끝에서 발견되면 UDM 필드 이름 및 로그가 수집된 시간과 함께 결과에 강조 표시됩니다.
    • 값의 다른 곳에서 텍스트 문자열이 발견되면 결과에 UDM 필드 이름과 가능한 값 일치 텍스트가 표시됩니다.

    값 내에서 검색

    UDM 조회의 값에서 내 검색

    • UDM 필드 이름에서 텍스트 문자열을 검색하면 UDM 조회는 이름의 모든 위치에서 발견된 일치검색을 반환합니다.

    UDM 필드 내에서 검색

    UDM 조회의 UDM 필드 내에서 검색

  4. 결과 목록에서 다음을 수행할 수 있습니다.

    • UDM 필드 이름을 클릭하여 해당 필드 설명을 확인합니다.

    • 각 UDM 필드 이름 왼쪽에 있는 체크박스를 클릭하여 결과를 하나 이상 선택합니다.

    • 재설정 버튼을 클릭하여 결과 목록에서 선택한 모든 필드를 선택 해제합니다.

  5. 선택한 결과를 UDM 검색 필드에 추가하려면 검색에 추가 버튼을 클릭합니다.

    UDM 복사 버튼을 사용하여 선택한 결과를 복사한 후 UDM 조회 대화상자를 닫고 검색어 문자열을 UDM 검색 필드에 붙여넣을 수도 있습니다.

    Chronicle은 선택된 결과를 UDM 필드 이름이나 이름-값 쌍처럼 UDM 검색어 문자열로 변환합니다. 여러 결과를 추가하면 각 결과는 OR 연산자를 통해 UDM 검색 필드의 기존 쿼리 끝에 추가됩니다.

    추가된 쿼리 문자열은 UDM 조회에서 반환하는 일치 유형에 따라 다릅니다.

    • 결과가 UDM 필드 이름의 텍스트 문자열과 일치하면 전체 UDM 필드 이름이 쿼리에 추가됩니다. 다음은 그 예시입니다.

      principal.artifact.network.dhcp.client_hostname

    • 결과가 값의 시작 또는 끝 부분에 있는 텍스트 문자열과 일치하면 이름-값 쌍에 UDM 필드 이름과 결과의 전체 값이 포함됩니다. 예시는 다음과 같습니다.

      metadata.log_type = "PCAP_DNS"

      network.dns.answers.name = "dns-A901F3j.hat.example.com"

    • 결과에 가능한 값 일치 텍스트가 포함된 경우 이름-값 쌍에 UDM 필드 이름 및 검색어가 포함된 정규 표현식이 포함됩니다. 다음은 그 예시입니다.

      principal.process.file.full_path = /google/ NOCASE

  6. 사용 사례에 맞게 UDM 검색어를 수정합니다. UDM 조회에서 생성한 쿼리 문자열은 전체 UDM 검색어를 작성하기 위한 시작점입니다.

UDM 조회 동작 요약

이 섹션에서는 UDM 조회 기능을 자세히 설명합니다.

  • UDM 조회는 2023년 8월 10일 이후에 수집된 데이터를 검색합니다. 이 이전에 수집된 데이터는 검색되지 않습니다. 보강되지 않은 UDM 필드에서 발견된 결과를 반환합니다. 보강 필드와 일치하는 항목을 반환하지 않습니다. 보강 필드와 보강되지 않은 필드에 대한 자세한 내용은 이벤트 뷰어에서 이벤트 보기를 참조하세요.
  • UDM 조회를 사용하는 검색은 대소문자를 구분하지 않습니다. hostname라는 용어는 HostName와 동일한 결과를 반환합니다.
  • 을 검색할 때 쿼리 텍스트 문자열의 하이픈(-)과 밑줄(_)은 무시됩니다. 텍스트 문자열 dns-ldnsl 모두 dns-l 값을 반환합니다.

  • 을 검색할 때 UDM 조회는 다음과 같은 경우에 일치 항목을 반환하지 않습니다.

    다음 UDM 필드와 일치합니다.
    • metadata.product_log_id
    • network.session_id
    • security_result.rule_id
    • network.parent_session_id
    다음 값 중 하나로 끝나는 전체 경로 이름이 있는 UDM 필드의 일치 항목은 다음과 같습니다.
    • .pid
      예: target.process.pid
    • .asset_id
      예: principal.asset_id
    • .product_specific_process_id
      예: principal.process.product_specific_process_id
    • .resource.id
      예: principal.resource.id

  • 을 검색할 때 다음과 같은 경우에 일치 항목이 발견되면 UDM 조회의 결과에 가능한 값 일치 메시지가 표시됩니다.

    다음 UDM 필드와 일치합니다.
    • metadata.description
    • security_result.description
    • security_result.detection_fields.value
    • security_result.summary
    • network.http.user_agent
    다음 값 중 하나로 끝나는 전체 경로 이름이 있는 필드의 일치 항목은 다음과 같습니다.
    • .command_line
      예: principal.process.command_line
    • .file.full_path
      예: principal.process.file.full_path
    • .labels.value
      예: src.labels.value
    • .registry.registry_key
      예: principal.registry.registry_key
    • .url
      예: principal.url
    다음 값으로 시작하는 전체 경로 이름이 있는 필드의 일치 항목은 다음과 같습니다. additional.fields.value.
    예: additional.fields.value.null_value

알림을 보려면 UDM 검색 페이지의 오른쪽 상단에 있는 이벤트 탭 오른쪽에 있는 알림 탭을 클릭합니다.

알림 표시 방식

Chronicle은 고객 환경에서 알림 관련 존재 이벤트에 대해 UDM 검색에서 반환되는 이벤트를 평가합니다. 검색어 이벤트가 알림에 있는 이벤트와 일치하면 알림 타임라인과 결과 알림 테이블에 표시됩니다.

이벤트 및 알림 정의

이벤트는 Chronicle로 수집되고 Chronicle의 수집 및 정규화 프로세스에 의해 처리되는 원시 로그 소스에서 생성됩니다. 하나의 원시 로그 소스 레코드에서 여러 이벤트가 생성될 수 있습니다. 이벤트는 원시 로그에서 생성된 보안 관련 데이터 포인트 집합을 나타냅니다.

UDM 검색에서 알림은 알림이 사용 설정된 YARA-L 규칙 감지로 정의됩니다. 자세한 내용은 실시간 데이터에 대한 규칙 실행을 참조하세요.

기타 데이터 소스는 CrowdStrike Falcon 알림과 같이 Chronicle에 알림으로 수집될 수 있습니다. 이러한 알림은 Chronicle Detection Engine에서 YARA-L 규칙으로 처리되지 않는 한 UDM 검색 내에 표시되지 않습니다.

전체 알림 스크린샷

그림 4. 알림 타임라인

알림 하나 이상과 연결된 이벤트는 이벤트 타임라인에 알림 칩으로 표시됩니다. 타임라인과 연결된 알림이 여러 개 있으면 칩에 연결된 알림 수가 표시됩니다.

타임라인에는 검색결과에서 검색된 최신 알림 1,000개가 표시됩니다. 한도(1,000개)에 도달하면 더 이상 알림이 검색되지 않습니다. 검색과 관련된 모든 검색결과를 확인하려면 필터를 사용하여 검색을 세분화해야 합니다.

알림 조사 방법

알림 그래프알림 세부정보를 사용하여 알림을 조사하는 방법은 알림 조사에 설명된 단계를 따르세요.

UDM 검색에서 참조 목록 사용

검색에 규칙에서 참조 목록을 적용하는 프로세스도 사용할 수 있습니다. 단일 검색어에 목록이 최대 7개까지 포함될 수 있습니다. 모든 유형의 참조 목록(문자열, 정규 표현식, CIDR)이 지원됩니다.

추적하려는 변수의 목록을 만들 수 있습니다. 예를 들어 다음과 같이 의심스러운 IP 주소 목록을 만들 수 있습니다. 

// Field value exists in reference list
principal.ip IN %suspicious_ips

AND 또는 OR를 사용하여 목록을 여러 개 사용할 수 있습니다.

// multiple lists can be used with AND or OR
principal.ip IN %suspicious_ips AND
principal.hostname IN %suspicious_hostnames

검색 결과 미세 조정

UDM 검색을 수정하고 검색을 다시 실행하는 대신 UDM 검색 사용자 인터페이스를 사용하여 결과를 필터링하고 미세 조정할 수 있습니다.

타임라인 차트

타임라인 차트는 현재 UDM 검색으로 표시되는 매일의 발생 이벤트 및 알림 수를 그래픽으로 제공합니다. 이벤트와 알림은 이벤트알림 탭 모두에서 사용할 수 있는 같은 타임라인 차트에 표시됩니다.

각 막대의 너비는 검색된 시간 간격에 따라 다릅니다. 예를 들어 검색 범위가 데이터 24시간이면 각 막대는 10분을 나타냅니다. 기존 UDM 검색을 수정하면 동적으로 이 차트가 업데이트됩니다.

이벤트 타임라인 차트

그림 8. 이벤트 타임라인 차트

기간 범위 조정

흰색 슬라이더 컨트롤을 좌우로 이동하여 차트의 기간 범위를 조정하고 원하는 기간에 집중할 수 있습니다. 기간 범위를 조정하면 현재 선택이 반영되도록 UDM 필드 및 값과 이벤트 테이블이 업데이트됩니다. 그래프에서 단일 막대를 클릭하여 해당 기간 내 이벤트만 나열할 수도 있습니다.

기간 범위를 조정하면 필터링된 이벤트쿼리 이벤트 체크박스가 표시되고 표시된 이벤트 유형을 추가로 제한할 수 있습니다.

시간 범위 컨트롤이 있는 이벤트 타임라인 차트

그림 9. 시간 범위 컨트롤이 있는 이벤트 타임라인 차트

빠른 필터로 UDM 검색 수정

빠른 필터를 사용하면 UDM 검색 범위를 더 좁힐 수 있습니다. UDM 필드 목록을 스크롤하거나 검색창을 사용하여 특정 UDM 필드나 값을 검색할 수 있습니다. 여기에 나열된 UDM 필드는 UDM 검색에서 생성된 기존 이벤트 목록과 연결됩니다. 각 UDM 필드에는 이 데이터도 포함된 현재 UDM 검색 내 이벤트 수가 포함됩니다. UDM 필드 목록에는 필드 내 값의 고유한 총 수가 표시됩니다. 이 기능을 사용하면 추가로 원하는 특정 유형의 로그 데이터를 찾을 수 있습니다.

UDM 필드는 다음 순서로 나열됩니다.

  1. 이벤트 수가 가장 많은 필드에서 가장 적은 이벤트 수의 순서로 나열됩니다.
  2. 값이 1개만 있는 필드는 항상 마지막에 표시됩니다.
  3. 총 이벤트 수가 정확히 동일한 필드는 알파벳순(A~Z)으로 나열됩니다.

빠른 필터

그림 10. 빠른 필터

빠른 필터 수정

빠른 필터 목록에서 UDM 필드 값을 선택하고 메뉴 아이콘을 클릭하면 다음 항목만 표시(해당 UDM 필드 값을 포함한 이벤트만) 또는 필터링(해당 필드 값으로) 옵션 중에서 선택할 수 있습니다. UDM 필드가 정수 값(예: target.port)을 저장하는 경우 <,>,<=,>=로 필터링하는 옵션도 표시됩니다. 필터 옵션을 사용하면 표시되는 이벤트 목록을 줄일 수 있습니다.

빠른 필터에서 필드를 고정(내보내기 고정 아이콘 사용)하여 즐겨찾기로 저장할 수도 있습니다. 이렇게 하면 빠른 필터 목록 상단에 표시됩니다.

다음 항목만 표시

그림 11. 예: 다음 항목만 표시 선택

이러한 추가 UDM 필터도 위 필터 이벤트 필드에 추가됩니다. 필터 이벤트 필드는 UDM 검색에 추가한 UDM 필드를 추적하는 데 도움이 됩니다. 필요에 따라 이러한 추가 UDM 필드를 빠르게 삭제할 수도 있습니다.

이벤트 필터링

그림 12. 이벤트 필터링

왼쪽의 필터 이벤트 메뉴 아이콘이나 필터 추가를 클릭하면 추가 UDM 필드를 선택할 수 있는 창이 열립니다.

이벤트 필터링 창

그림 13. 이벤트 필터링 창

검색 및 실행에 적용을 클릭하면 UDM 필드가 이벤트 필터링 필드에 추가되고(그림 8 참조) 표시된 이벤트는 추가 필터를 기준으로 필터링됩니다. 또한 검색 및 실행에 적용을 클릭하여 UDM 필드를 페이지 상단의 기본 UDM 검색창에 추가할 수 있습니다. 같은 날짜 및 시간 매개변수를 통해 검색이 자동으로 다시 실행됩니다. 검색 및 실행에 적용을 클릭하기 전에 검색 범위를 최대한 좁히는 것이 좋습니다. 이렇게 하면 정확도를 높이고 검색 시간을 줄일 수 있습니다.

이벤트 테이블에서 이벤트 보기

이러한 모든 필터와 컨트롤은 이벤트 테이블에 표시되는 이벤트 목록을 업데이트합니다. 나열된 이벤트 중 하나를 클릭하여 해당 이벤트의 원시 로그와 UDM 레코드를 검사할 수 있는 로그 뷰어를 엽니다. 이벤트의 타임스탬프를 클릭하면 관련 애셋, IP 주소, 도메인, 해시 또는 사용자 뷰로 이동할 수도 있습니다. 또한 표 상단의 검색창을 사용하여 특정 이벤트를 찾을 수도 있습니다.

이벤트 테이블

그림 14. 이벤트 테이블

경고 테이블에서 알림 보기

이벤트 탭의 오른쪽에 있는 알림 탭을 클릭하여 알림을 볼 수 있습니다. 빠른 필터를 사용하여 다음 기준으로 알림을 정렬할 수 있습니다.

  • 케이스
  • 이름
  • 우선순위
  • 심각도
  • 상태
  • 결과

따라서 가장 중요한 알림에 집중할 수 있습니다.

알림은 이벤트 탭에 있는 이벤트와 동일한 기간에 표시됩니다. 이를 통해 이벤트와 알림 간의 연관성을 쉽게 확인할 수 있습니다.

특정 알림에 대해 자세히 알아보려면 알림을 클릭하세요. 그러면 해당 알림에 대한 자세한 정보가 포함된 개별 알림 세부정보 페이지가 열립니다.

이벤트 뷰어에서 이벤트 보기

이벤트 테이블의 이벤트 위로 마우스를 가져가면 이벤트 뷰어 열기 아이콘이 강조표시된 이벤트의 오른쪽에 표시됩니다. 클릭하여 이벤트 뷰어를 엽니다.

이벤트 뷰어

그림 15. 이벤트 뷰어

원시 로그 창에는 다음 형식의 원본 원시 로그가 표시됩니다.

  • 원시
  • JSON
  • XML
  • CSV
  • 16진수/ASCII

UDM 창에 정형 UDM 레코드가 표시됩니다. 마우스를 UDM 필드 위로 가져가면 팝업에 UDM 정의가 표시됩니다. UDM 필드 체크박스를 선택하면 추가 옵션이 제공됩니다.

  • UDM 레코드를 복사할 수 있습니다. UDM 필드를 하나 이상 선택한 후 작업 보기 드롭다운 메뉴에서 UDM 복사 옵션을 선택합니다. UDM 필드 및 UDM 값이 시스템 클립보드에 복사됩니다.

  • 작업 보기 드롭다운 메뉴에서 열 추가 옵션을 선택하여 이벤트 테이블에서 UDM 필드를 열로 추가할 수 있습니다.

각 UDM 필드에는 필드에 보강 데이터나 보강되지 않은 데이터가 포함되어 있는지 여부를 나타내는 아이콘으로 라벨이 지정됩니다. 아이콘 라벨은 다음과 같습니다.

  • U: 보강되지 않은 필드에는 원본 원시 로그의 데이터를 사용하여 정규화 프로세스 중에 채워진 값이 포함됩니다.

  • E: 보강된 필드에는 고객 환경의 아티팩트에 대한 추가 컨텍스트를 제공하도록 Chronicle에서 채운 값이 포함됩니다. 자세한 내용은 Chronicle이 이벤트 및 항목 데이터를 보강하는 방법을 참조하세요.

    보강 및 보강되지 않은 UDM 필드

그림 16. 이벤트 뷰어의 UDM 필드

옵션을 사용하여 이벤트 테이블에 표시되는 정보 열을 조정합니다. 열 팝업 메뉴가 표시됩니다. 사용 가능한 옵션은 UDM 검색에서 반환하는 이벤트 유형에 따라 달라집니다.

필요한 경우 저장을 클릭하여 여기에서 선택한 열 집합을 저장할 수 있습니다. 선택한 열 집합에 이름을 지정하고 저장을 다시 클릭합니다. 로드를 클릭하고 목록에서 저장된 열 집합을 선택하여 저장된 열 집합을 로드할 수 있습니다.

점 3개로 된 메뉴를 클릭하고 CSV로 다운로드를 선택하여 표시된 이벤트를 다운로드할 수도 있습니다. 이렇게 하면 최대 100만 개의 모든 검색결과가 다운로드됩니다. 사용자 인터페이스에 다운로드하는 이벤트 수가 표시됩니다.

UDM 검색 열

그림 17. UDM 검색 열

피벗 테이블을 사용하여 이벤트 분석

피벗 테이블을 사용하면 표현식과 함수를 사용하여 UDM 검색 결과에 따라 이벤트를 분석할 수 있습니다.

피벗 테이블을 열고 구성하려면 다음 단계를 완료하세요.

  1. UDM 검색을 실행합니다.

  2. 피벗 탭을 클릭하여 피벗 테이블을 엽니다.

  3. 그룹화 기준 값을 지정하여 특정 UDM 필드로 이벤트를 그룹화합니다. 기본 대문자를 사용하거나 메뉴에서 소문자를 선택하여 소문자만 사용하여 결과를 표시할 수 있습니다. 이 옵션은 문자열 필드에만 사용할 수 있습니다. 필드 추가를 클릭하여 최대 5개의 그룹화 기준 값을 지정할 수 있습니다.

    그룹화 기준 값이 호스트 이름 필드 중 하나인 경우 다음과 같은 추가 변환 옵션이 있습니다.

    • 최상위 N 수준 도메인: 표시할 도메인의 수준을 선택합니다. 예를 들어 값을 1로 사용하면 최상위 도메인(예: com, gov, edu)만 표시됩니다. 값 3을 사용하면 도메인 이름의 다음 두 수준(예: google.co.uk)이 표시됩니다.
    • 등록된 도메인 가져오기—등록된 도메인 이름(예: google.com, nytimes.com, youtube.com)만 표시합니다.

    그룹화 기준 값이 IP 필드 중 하나인 경우 다음과 같은 변환 옵션을 추가로 사용할 수 있습니다.

    • (IP) CIDR 프리픽스 길이(비트): IPv4 주소에 1~32를 지정할 수 있습니다. IPv6 주소의 경우 최대 128개의 값을 지정할 수 있습니다.

    그룹화 기준 값에 타임스탬프가 포함된 경우 추가 변환 옵션이 있습니다.

    • (시간) 해결 시간(밀리초)
    • (시간) 해결 시간(초)
    • (시간) 해결 시간(분)
    • (시간) 해결 시간(시간)
    • (시간) 해결 시간(일)

  4. 결과의 필드 목록에서 피봇 값을 지정합니다. 값을 최대 5개까지 지정할 수 있습니다. 필드를 지정한 후에는 요약 옵션을 선택해야 합니다. 다음과 같은 옵션으로 요약할 수 있습니다.

    • sum
    • count
    • 고유 개수
    • 평균
    • 표준 편차
    • min
    • max

    이 특정 UDM 검색 및 피봇 테이블에 식별된 이벤트 수를 반환하려면 이벤트 수 값을 지정합니다.

    요약 옵션은 그룹화 기준 필드와 범용적으로 호환되지 않습니다. 예: sum, 평균, 표준 편차, min, max 옵션은 숫자 필드에만 적용될 수 있습니다. 호환되지 않는 요약 옵션을 그룹화 기준 필드와 연결하려고 하면 오류 메시지가 표시됩니다.

  5. 하나 이상의 UDM 필드를 지정하고 Order by 옵션을 사용하여 하나 이상의 정렬을 선택합니다.

  6. 준비가 되면 적용을 클릭합니다. 피벗 테이블에 결과가 표시됩니다.

  7. (선택사항) 피벗 테이블을 다운로드하려면 를 클릭하고 CSV로 다운로드를 선택합니다. 피벗을 선택하지 않은 경우 이 옵션은 사용 중지됩니다.

빠른 검색에서 검색 실행하기

  1. 빠른 검색을 클릭하여 빠른 검색 창을 엽니다. 이 창에는 저장된 검색 및 검색 기록이 표시됩니다.

  2. 나열된 검색 중 하나를 클릭하여 UDM 검색창에 로드합니다.

  3. 준비가 되면 검색 실행을 클릭합니다.

나열된 검색은 Chronicle 계정에 저장됩니다. 저장된 검색결과를 수정하거나(예: 기존 검색 이름 변경), 저장된 검색결과를 삭제하거나, 검색 기록에서 검색을 삭제해야 하는 경우 모든 검색 보기를 클릭하여 검색 관리자를 엽니다.

저장된 검색 및 검색 기록 개요

검색 관리자를 클릭하여 검색 관리자에서 저장된 검색결과를 검색하고 검색 기록을 확인합니다. 저장된 검색 및 검색 기록은 모두 Chronicle 계정에 저장됩니다. 검색 공유 기능을 사용하여 검색을 조직과 공유하지 않는 한 저장된 검색 및 검색 기록은 개별 사용자만 보고 액세스할 수 있습니다. 저장된 검색을 선택하여 제목 및 설명을 포함한 추가 정보를 확인하세요.

검색을 저장하려면 다음 안내를 따르세요.

  1. UDM 검색 페이지에서 저장을 클릭하여 나중에 사용할 수 있도록 UDM 검색을 저장합니다. 그러면 검색 관리자가 열립니다. 저장된 검색에 의미 있는 이름과 검색 중인 항목에 대한 일반 텍스트 설명을 제공하는 것이 좋습니다. 를 클릭하여 검색 관리자 내에서 새 UDM 검색을 만들 수도 있습니다. 표준 UDM 수정 및 완료 도구도 여기에서 사용할 수 있습니다.

  2. (선택사항) YARA-L의 변수에 사용된 형식과 동일한 형식을 사용하여 $<variable name> 형식으로 자리표시자 변수를 지정합니다. UDM 검색에 변수를 추가하는 경우 검색을 실행하기 전에 사용자에게 입력해야 하는 정보를 사용자가 이해할 수 있도록 프롬프트를 포함해야 합니다. 검색을 실행하기 전에 모든 변수를 값으로 채워야 합니다.

    예를 들어 UDM 검색에 metadata.vendor_name = $vendor_name을 추가할 수 있습니다. $vendor_name의 경우 '검색을 위한 공급업체 이름 입력'과 같이 향후 사용자에게 표시할 메시지를 추가해야 합니다. 사용자가 향후 이 검색을 로드할 때마다 검색을 실행하기 전에 공급업체 이름을 입력하라는 메시지가 표시됩니다.

  3. 완료되면 수정 저장을 클릭합니다.

  4. 저장된 검색을 보려면 검색 관리자를 클릭한 다음 저장됨 탭을 클릭합니다.

저장된 검색을 검색하고 실행하려면 다음 안내를 따르세요.

  1. 검색 관리자에서 저장됨 탭을 클릭합니다.

  2. 목록에서 저장된 검색을 선택합니다. 이렇게 저장된 검색은 Chronicle 계정에 저장됩니다. 를 클릭하고 검색 삭제를 선택하여 검색을 삭제할 수 있습니다.

  3. 검색 이름과 설명을 변경할 수 있습니다. 완료되면 수정 저장을 클릭합니다.

  4. 검색 로드를 클릭합니다. 검색이 기본 UDM 검색창에 로드됩니다.

  5. 검색 실행을 클릭하여 이 검색과 관련된 이벤트를 확인합니다.

검색 기록에서 검색 가져오기

검색 기록에서 검색을 가져와서 실행하려면 다음 안내를 따르세요.

  1. 검색 관리자에서 기록을 클릭합니다.

  2. 검색 기록에서 검색을 선택합니다. 검색 기록은 Chronicle 계정에 저장됩니다. 를 클릭하여 검색을 삭제할 수 있습니다.

  3. 검색 로드를 클릭합니다. 검색이 기본 UDM 검색창에 로드됩니다.

  4. 검색 실행을 클릭하여 이 검색과 관련된 이벤트를 확인합니다.

검색 기록 삭제, 사용 중지, 사용 설정

검색 기록을 지우거나, 사용 중지하거나, 사용 설정하려면 다음 안내를 따르세요.

  1. 검색 관리자에서 기록 탭을 클릭합니다.

  2. 를 클릭합니다.

  3. 검색 기록 삭제를 선택하여 검색 기록을 지웁니다.

  4. 기록 사용 중지를 클릭하여 검색 기록을 사용 중지합니다. 다음 옵션 중에서 선택하세요.

    • 선택 해제만: 검색 기록을 사용 중지합니다.

    • 선택 해제 및 삭제: 검색 기록을 사용 중지하고 저장된 검색 기록을 삭제합니다.

  5. 이전에 검색 기록을 사용 중지한 경우 검색 기록 사용 설정을 클릭하여 다시 사용 설정할 수 있습니다.

  6. 닫기를 클릭하여 검색 관리자를 종료합니다.

검색 공유

검색 공유를 사용하면 다른 팀 구성원과 검색을 공유할 수 있습니다. 저장됨 탭에서 검색을 공유하거나 삭제할 수 있습니다. 검색창 옆에 있는 필터 아이콘을 클릭하여 검색을 필터링하고 모두 표시, Chronicle 정의, 내가 작성함 또는 공유를 기준으로 검색을 정렬할 수도 있습니다.

자신의 검색이 아닌 공유 검색은 수정할 수 없습니다.

  1. 저장됨을 클릭합니다.
  2. 공유할 검색어를 클릭합니다.
  3. 검색 오른쪽에 있는 를 클릭합니다. 검색 공유 옵션이 있는 대화상자가 나타납니다.
  4. 조직과 공유를 클릭합니다.
  5. '검색을 공유하면 조직의 전체 사용자가 볼 수 있습니다'라는 팝업이 표시됩니다. 공유를 계속하시겠어요? 공유를 클릭합니다.

검색을 나에게만 표시하려면 를 클릭하고 공유 중지를 클릭합니다. 공유를 중지하면 본인만 이 검색을 사용할 수 있습니다.

다음 단계

UDM 검색에서 컨텍스트가 적용된 데이터를 사용하는 방법을 자세히 알아보려면 UDM 검색에서 컨텍스트 보강 데이터 사용을 참고하세요.