감지 및 보고 성능 최적화

다음에서 지원:

이 문서에서는 감지 및 보고 성능을 최적화하는 방법을 설명합니다.

총 감지 지연 시간

보안 운영 센터 (SOC)의 경우 총 평균 탐지 시간 (MTTD)은 보안 파이프라인 전반의 시간 지연의 합계입니다. MTTD를 정확하게 측정하고 줄이려면 다음 세 가지 기본 구성요소를 추적해야 합니다.

로그 수집 지연 시간 (로그 생성부터 데이터 수집까지)

로그 수집 지연 시간은 소스 시스템에서 보안 이벤트가 발생한 시점 (metadata.event_timestamp)과 Google Security Operations에서 로그가 성공적으로 수집되고 파싱된 시점 (metadata.ingested_time) 사이의 경과 시간입니다.

영향을 미치는 요인:

  • 수집기 또는 전달자 문제 (예: 백로그 또는 네트워크 제한)
  • 로그 소스 파싱 문제 (예: UDM 정규화 지연)

로그 수집 지연 시간을 줄이려면 다음을 수행하세요.

  • 로그 소스 상태를 모니터링하고 수집기 또는 전달자 구성을 최적화합니다.
  • 델타를 모니터링하려면 YARA-L 또는 데이터 레이크에서 UDM 타임스탬프(metadata.ingested_timestampmetadata.event_timestamp)를 비교하세요.

규칙 처리 지연 시간 (데이터 수집부터 감지 생성까지)

규칙 처리 지연 시간은 데이터 수집과 감지 엔진이 알림 (detection.creation_time)을 성공적으로 생성한 시점 사이의 경과 시간입니다. 이 구성요소는 YARA-L 규칙 구성에 큰 영향을 받습니다.

영향을 미치는 요인:

  • 규칙 실행 빈도: 거의 실시간 (가장 좋음), 10분, 1시간 또는 24시간 주파수가 높을수록 최소 처리 지연 시간이 높아집니다. 자세한 내용은 실행 빈도 설정을 참고하세요.
  • 규칙 유형 및 복잡성: 멀티 이벤트 규칙을 완전히 처리하려면 일치 기간이 필요하며, 이로 인해 지연 시간이 발생합니다. 다른 비실시간 감지를 사용하는 복합 규칙도 지연을 유발합니다. 자세한 내용은 복합 감지를 참고하세요.

규칙 처리 지연 시간을 줄이려면 다음을 수행하세요.

  • 가능한 경우 거의 실시간으로 실행되는 단일 이벤트 규칙을 사용합니다.
  • 멀티 이벤트 규칙의 경우 가능한 가장 작은 기간을 설정합니다.

자세한 내용은 대시보드용 샘플 YARA-L 2.0 쿼리를 참고하세요.

규칙 처리 지연 시간을 모니터링하는 YARA-L 규칙

다음 YARA-L 규칙은 로그가 수집된 시간과 감지가 생성된 시간 사이의 델타가 특정 기준을 초과하는 인스턴스를 식별합니다. 이 규칙을 사용하여 감지 파이프라인의 성능 병목 현상을 식별합니다.

로그 소스를 기준선으로 설정하려면 테스트 환경에 이 규칙을 배포하세요.

이러한 결과를 대시보드로 내보내 다양한 로그 유형의 지연 시간 추세를 시각화할 수 있습니다.

규칙은 metadata.event_timestamp (활동이 발생한 시간)을 metadata.ingested_time (Google SecOps에서 로그를 수신한 시간)과 비교합니다. 

rule rule_processing_latency_monitor {
  meta:
    author = "SecOps Engineering"
    description = "Alerts when the gap between ingestion and detection creation is greater than 15 minutes."
    severity = "Low"

  events:
    $event.metadata.event_timestamp.seconds = $event_ts
    $event.metadata.ingested_time.seconds = $ingest_ts
    
    // Calculate the delta in seconds
    $latency_delta = $ingest_ts - $event_ts

    // Threshold: 900 seconds (15 minutes)
    $latency_delta > 900

  match:
    $event.metadata.log_type over 1h

  outcome:
    $max_latency = max($latency_delta)
    $log_source = array_distinct($event.metadata.log_type)

  condition:
    $event
}

케이스 확인 지연 시간 (감지 생성부터 분석가 할당까지)

Google SecOps SIEM 독립형 플랫폼을 사용하는 고객에게는 이 섹션이 적용되지 않습니다.

케이스 확인 지연 시간은 알림을 생성하는 감지부터 SOAR 구성요소에서 분류를 위해 분석가가 알림을 확인하는 데 걸린 시간입니다.

평균 확인 시간 (MTTA) 측정항목은 생성된 알림에 대응하는 SOC 팀의 효율성을 구체적으로 추적합니다.

  • 케이스 확인 지연 시간을 줄이려면 알림 라우팅, 조정, 자동화 (예: 자동 할당 또는 보강을 위한 플레이북 사용)를 최적화하여 알림을 트리아지 단계로 빠르게 이동하세요.

다음 단계

  • 규칙 재실행 (정리 실행이라고도 함)이 늦게 도착하는 데이터와 컨텍스트 업데이트를 관리하는 방법과 이것이 MTTD 측정항목에 미치는 영향을 알아보려면 규칙 재실행 및 MTTD 이해를 참고하세요.
  • Google SecOps의 규칙 감지 지연, 요인, 문제 해결, 지연 감소 기법에 대해 자세히 알아보려면 규칙 감지 지연 이해하기를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.