알림 표시 억제 구성

다음에서 지원:

이 문서에서는 Google Security Operations에서 시끄러운 알림을 표시 억제하고 중요한 위협의 우선순위를 지정하는 데 사용할 수 있는 메커니즘을 설명합니다. 알림 표시 억제는 미리 정의된 기준에 따라 중복되고 가치가 낮은 알림을 자동으로 필터링합니다. 이러한 표시 억제를 통해 SOC팀은 우선순위가 높은 보안 사고에 집중할 수 있습니다.

알림 표시 억제를 사용하여 동일한 기본 활동의 중복 알림, 잘못 구성된 시스템으로 인한 오탐, 알려진 정상 활동을 트리거하는 광범위한 규칙 로직 또는 계획된 유지보수 기간과 같은 다양한 트리거에서 생성되는 볼륨을 관리할 수 있습니다.

Google SecOps는 알림 볼륨을 관리하는 다음과 같은 방법을 제공합니다.

  • 제한: 초기 알림이 트리거된 후 정의된 기간 (예: 1시간) 동안 동일한 활동의 반복 감지를 표시 억제합니다.

  • 제외: 제외는 일치 항목을 필터링하여 특정 감지를 방지합니다. 알림을 트리거하기 전에 규칙 로직을 충족하지만 제외 기준을 충족하지 않는 이벤트는 감지를 정상적으로 트리거합니다.

  • SOAR 플레이북: IP 주소 또는 호스트 이름과 같은 특정 항목 조회를 기반으로 시간 제한 알림 표시 억제를 제공합니다.

  • SOAR 알림 그룹화: 기준에 따라 유사한 알림을 자동으로 단일 케이스로 클러스터링하여 조사를 간소화합니다.

제한을 통해 알림 표시 억제

제한은 초기 규칙 일치 후 지정된 기간 동안 감지를 표시 억제합니다. 규칙 로직에서 suppression_windowsuppression_key 옵션을 사용하면 시스템은 표시 억제 키의 첫 번째 고유한 조합에 대해서만 감지를 생성합니다. Google SecOps는 정의된 기간이 만료될 때까지 동일한 조합에 대한 모든 후속 일치를 표시 억제합니다.

이 방법은 동일한 기본 활동으로 인해 발생하는 중복 감지를 효과적으로 줄입니다.

사용 사례

  • PowerShell 실행: 초기 이벤트 후 1시간 동안 동일한 사용자 및 호스트에 대한 반복 알림을 표시 억제합니다.

  • 네트워크 스캔: 악성 포트 스캐너의 반복 알림을 첫 번째 감지 후 6시간 동안 표시 억제합니다.

시끄러운 규칙 모니터링

시끄러운 규칙을 식별하려면 다음 단계를 따르세요.

  1. Google SecOps에 로그인합니다.

  2. 메뉴를 클릭하고 감지 > 규칙 및 감지를 선택합니다.

  3. 규칙 편집기 탭에서 규칙을 선택하고 테스트 를 클릭합니다.

  4. 기간 선택기를 조정하여 지난 7일간의 데이터를 분석합니다. 규칙이 매일 100건이 넘는 감지를 생성하는 경우 너무 광범위할 수 있습니다.

  5. 메뉴를 클릭하고 규칙 감지 보기를 클릭합니다. 감지 세부정보 페이지가 나타납니다.

  6. 절차적 필터링 패널에서 기여 UDM 필드를 식별합니다.

  7. match 섹션 또는 $suppression_key를 수정하여 감지 볼륨을 줄입니다.

예: 위치별 고유 로그인 식별

알림 피로를 방지하면서 위치별 고유 로그인을 식별하려면 동일한 상태의 감지를 표시 억제하면 됩니다. UDM 필드 event.principal.location.state를 찾아 상태별 감지 수를 확인합니다.

특정 상태에 지나치게 높은 수가 표시되면 해당 필드를 suppression 또는 match 키에 추가합니다. 이렇게 하면 시스템이 각 고유 로그인 위치에 대해 단일 감지만 실행합니다.

감지 제한 구성

제한은 초기 알림이 트리거된 후 지정된 기간 동안 감지를 표시 억제합니다. 중복 감지를 제한하려면 규칙의 options 섹션에 suppression_window를 추가합니다. 다음 가이드라인이 적용됩니다.

  • 단일 이벤트 규칙: $suppression_key 변수를 outcome 섹션에서 중복 삭제 키로 작동하도록 정의합니다.

  • 멀티 이벤트 규칙: match 섹션의 변수를 중복 삭제 키로 사용합니다.

  • 기간: suppression_windowmatch 기간 크기보다 크거나 같아야 합니다. 동일한 기간으로 설정하면 규칙이 표시 억제가 적용되지 않은 것처럼 동작합니다.

  • 제한: 표시 억제 기간에는 최대 제한이 없습니다.

  • 호환성: 제한은 단일 이벤트 및 멀티 이벤트 규칙과 커스텀 규칙 및 선별된 규칙 모두에 적용됩니다.

예: Windows 파일 공유 활동 모니터링

다음 규칙은 Windows 파일 공유 활동을 모니터링합니다. 60분 (1hr) 기간 내에 모든 순 사용자 및 호스트 이름에 대해 하나의 감지를 만든 다음 동일한 조합에 대한 반복 일치를 24시간 (24h) 동안 표시 억제합니다.


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

이 구성을 사용하면 분석가가 표시 억제 기간 동안 동일한 사용자 및 호스트에 대한 중복 알림을 처리하지 않고 초기 활동을 조사할 수 있습니다.

규칙 제외를 사용하여 알림 표시 억제

제외는 알림을 트리거하기 전에 일치 항목을 필터링하여 특정 감지를 방지합니다. 일치 항목이 제외 로직을 충족하면 시스템은 감지를 표시 억제합니다. 규칙 로직을 충족하지만 제외 기준을 충족하지 않는 이벤트는 감지를 정상적으로 계속 트리거합니다. 적용된 제외는 사용자가 직접 사용 중지할 때까지 활성 상태로 유지됩니다.

규칙 및 감지 페이지의 제외 탭에서 제외의 전체 목록과 연결된 메타데이터를 보고, 관리하고, 감사할 수 있습니다. 제외 테스트 기능을 사용하여 특정 필터를 적용하기 전에 감지 볼륨에 미치는 영향을 평가할 수도 있습니다.

API를 사용하여 제외를 만들려면 API를 사용하여 규칙 제외 관리를 참조하세요.

사용 사례

  • 승인된 IT 도구의 합법적인 PowerShell 실행을 표시 억제합니다.

  • 대량 포트 스캔을 실행하는 내부 취약점 스캐너를 제외합니다.

규칙 제외 만들기

시끄러운 규칙에 대한 제외를 만들려면 다음 단계를 따르세요.

  1. Google SecOps에 로그인합니다.

  2. 메뉴 > 감지 > 규칙 및 감지로 이동합니다.

  3. 규칙 대시보드 탭에서 감지 수가 많은 규칙을 찾습니다.

  4. 규칙 이름 을 클릭하여 감지 페이지를 엽니다.

  5. 규칙 옵션 > 제외 를 클릭합니다.

  6. 제외 필터를 추가하려면 다음 세부정보를 지정합니다.

    • 제외 이름

    • 적용되는 규칙 또는 규칙 집합

    • 지정된 조건이 충족될 때 감지를 표시 억제하는 제외 기준 여러 조건을 추가하려면 다음 가이드라인을 따르세요.

      1. 논리적 OR 관계를 만들려면 Enter 키를 사용하여 단일 행에 여러 값을 입력합니다.

        예를 들면 principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2입니다.

      2. + 조건문을 클릭하여 이전 문과 논리적 AND 관계가 있는 새 문을 추가합니다.

        예를 들면 (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)입니다.

  7. 선택사항: 제외 테스트 를 클릭하여 지난 30일 동안 필터가 감소된 감지를 측정하는 방법을 확인합니다. 결과에 따라 기준을 조정합니다.

  8. 만들기 를 클릭하여 제외를 활성화합니다.

규칙 제외 관리

제외를 관리하려면 다음 단계를 따르세요.

  1. Google SecOps에 로그인합니다.

  2. 메뉴 > 감지 > 규칙 및 감지로 이동합니다.

  3. 제외 탭으로 이동하여 제외 목록을 확인합니다. 다음 작업을 할 수 있습니다.

    • 제외를 사용 설정 또는 사용 중지하려면 사용 설정됨 전환 스위치를 전환합니다.

    • 제외를 필터링하려면 필터를 클릭합니다.

    • 제외를 수정하려면 메뉴 > 수정을 클릭합니다.

    • 제외를 보관처리하려면 메뉴 > 보관처리를 클릭합니다.

    • 제외를 복원하려면 메뉴 > 보관처리 취소를 클릭합니다.

API를 사용하여 규칙 제외를 만들고 관리하려면 API를 통한 규칙 제외 관리를 참조하세요.

제한사항

제외를 구성할 때는 콘솔과 API 간의 다음과 같은 기능적 차이점을 참고하세요.

  • 규칙 범위: 콘솔에서는 제외를 여러 선별된 규칙에 동시에 적용할 수 있지만 한 번에 하나의 커스텀 규칙에만 적용할 수 있습니다.

  • 결과 변수: 결과 변수를 기반으로 로직을 사용하는 제외를 만들려면 API를 사용해야 합니다.

SOAR 플레이북을 통해 알림 표시 억제

SOAR 플레이북 은 특정 조회 기준에 따라 중복 알림을 식별하고 표시 억제하는 데 도움이 됩니다. 플레이북은 미리 정의된 만료 시간까지 알림을 표시 억제한 후 테이블에서 알림을 자동으로 삭제합니다. 분석가는 이 방법을 사용하여 IP 주소 또는 호스트 이름과 같은 특정 항목에 대한 알림을 설정된 기간 동안 표시 억제합니다.

다른 방법과 달리 이 메커니즘은 이전 데이터를 추적하고 케이스 세부정보 내에서 표시 억제 작업의 명시적인 감사 추적을 제공합니다.

사용 사례

표시 억제 감사 추적을 유지하면서 초기 알림 후 의심스러운 IP 주소의 수신 연결 요청에 대한 후속 알림을 표시 억제합니다.

SOAR에서 알림 그룹화

알림 그룹화는 정의된 기준에 따라 24시간 기간 내에 생성된 유사한 알림을 자동으로 클러스터링합니다. 시스템은 조사할 수 있도록 그룹화된 알림을 단일 케이스로 통합합니다.

자세한 내용은 알림 그룹화 메커니즘을 참조하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.