규칙 편집기를 사용하여 규칙 관리

다음에서 지원:

Google Security Operations의 규칙 편집기는 YARA-L 감지 규칙을 만들고, 보고, 테스트하고, 관리하는 기본 인터페이스입니다. 보안 엔지니어가 수집된 로그 데이터에서 위협과 의심스러운 활동을 식별하는 탐지 로직을 작성하고 개선할 수 있는 전용 환경을 제공합니다.

규칙 만들기 및 수정하기

규칙 편집기를 열려면 감지 > 규칙 및 감지 > 규칙 편집기 탭을 클릭합니다.

규칙 수정

기존 규칙을 수정하려면 다음 단계를 따르세요.

  1. 규칙 검색 필드를 사용하여 기존 규칙을 찾거나 규칙 목록을 스크롤합니다. 측면 패널에서 규칙을 클릭하여 규칙 표시 패널에서 세부정보를 확인합니다.

  2. 규칙 목록에서 수정할 규칙을 선택합니다.

    규칙이 규칙 수정 창에 표시됩니다. 규칙 메뉴에서는 각 규칙에 대해 다음과 같은 옵션을 제공합니다.

    • 실시간 규칙: 규칙을 사용 설정하거나 중지합니다.
    • 규칙 복제: 규칙의 사본을 만듭니다.
    • 규칙 감지 보기: 규칙 감지 창을 열어 이 규칙에서 캡처한 감지를 표시합니다.

  3. 규칙의 범위를 업데이트하려면 범위에 결합 메뉴에서 범위를 선택합니다. 규칙에 범위 추가에 대한 자세한 내용은 데이터 RBAC가 규칙에 미치는 영향을 참고하세요.

    자세한 내용은 YARA-L 2.0 언어 구문을 참고하세요.

새 규칙 만들기

새 규칙을 만들려면 다음 단계를 따르세요.

  1. 규칙 편집기에서 새로 만들기를 클릭하여 규칙 편집기 창을 엽니다.

    시스템은 기본 규칙 템플릿을 자동으로 채우고 규칙의 고유한 이름을 생성합니다. YARA-L에서 새 규칙을 만듭니다.

  2. 범위에 결합 메뉴에서 범위를 선택하여 규칙에 추가합니다. 규칙에 범위 추가에 대한 자세한 내용은 데이터 RBAC가 규칙에 미치는 영향을 참고하세요.

  3. 새 규칙 저장을 클릭합니다.

    Google SecOps는 규칙 구문을 검사합니다. 규칙이 유효한 경우 규칙이 저장되고 자동으로 사용 설정됩니다. 규칙이 잘못된 경우 오류를 반환합니다.

    새 규칙을 삭제하려면 삭제를 클릭합니다.

    멀티 이벤트 규칙의 실행 빈도는 규칙의 일치 기간에 따라 자동으로 설정됩니다.

    • 기간이 1~48시간인 경우 실행 빈도는 1시간으로 설정됩니다.
    • 기간이 48시간을 초과하는 경우 실행 빈도는 24시간으로 설정됩니다.

    자세한 내용은 실행 빈도 설정을 참고하세요.

현재 감지 보기

다음 방법 중 하나로 규칙과 관련된 현재 감지에 대한 정보를 확인합니다.

  • 규칙 목록에서 규칙을 클릭합니다.

    규칙 감지 보기를 클릭하여 규칙 감지 보기를 엽니다. 이 뷰에는 규칙의 메타데이터와 최근 며칠 동안 규칙에 의해 발견된 감지 횟수를 보여주는 그래프가 표시됩니다.

  • 규칙 수정을 클릭하여 규칙 편집기를 엽니다.

    타임라인 탭에는 규칙에서 감지한 이벤트가 나열됩니다. 이벤트를 선택하고 연결된 원시 로그 또는 UDM 이벤트를 엽니다.

    타임라인 탭에 표시되는 정보를 변경하려면 view_column 을 클릭하여 다중 열 보기 옵션을 엽니다. 멀티 열 보기를 사용하면 hostname, user과 같은 일반적인 유형과 UDM에서 제공하는 보다 구체적인 여러 카테고리 등 다양한 로그 정보 카테고리 중에서 선택할 수 있습니다.

규칙 테스트

테스트 실행을 클릭하여 규칙을 테스트합니다. Google SecOps는 지정된 시간 범위의 이벤트에 대해 규칙을 실행하고 결과를 생성하여 규칙 테스트 결과 창에 표시합니다.

언제든지 테스트 취소를 클릭하여 프로세스를 중지할 수 있습니다.

자세한 내용은 규칙 오류 보기를 참고하세요.

규칙 관리 방법에 대한 커뮤니티 블로그는 규칙 편집기 탐색을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.