규칙 실행 일정 이해하기

이 가이드는 자동 실행 일정을 이해하여 규칙 성능을 관리하려는 보안 엔지니어와 개발자를 위한 것입니다. Google SecOps에서 시스템은 시스템 안정성과 처리 효율성을 보장하기 위해 규칙 실행 일정을 자동으로 관리합니다. 이 문서에서는 YARA-L 규칙 구성이 시스템의 처리 빈도를 결정하는 방법을 설명합니다. 이러한 매핑 원칙을 따르면 감지 지연 시간을 줄이고 리소스 경합을 최소화할 수 있습니다. 성공적인 일정 예약은 심각한 위협의 분류 시간을 크게 줄여주고 최적화된 자동 감지를 통해 중요한 비즈니스 이점을 제공합니다.

수천 개의 규칙에서 최적의 성능을 유지하기 위해 Google SecOps는 자동 예약 기능을 사용하여 리소스 경합을 방지합니다. 자동화는 다음과 같은 기능을 제공합니다.

• 시스템 안정성: 동적 리소스 할당으로 플랫폼 전체 지연 시간이 방지됩니다.

• 처리 효율성: 시스템은 심각한 위협에 대한 거의 실시간 스트리밍과 장기적인 추세에 대한 최적화된 일괄 처리를 균형 있게 조정합니다.

• 결정적 빈도: 빈도를 예측할 수 있으며 규칙의 일치 기간에 따라 결정됩니다.

주요 용어

• 결정적 빈도: 시스템에서 규칙의 일치 기간을 기반으로 할당하는 예측 가능한 실행 간격입니다.

• 감지 지연: 이벤트 수집과 규칙 평가 간의 시간 차이입니다.

시작하기 전에

시작하기 전에 다음 기본 요건을 충족하는지 확인하세요.

• 권한: Google SecOps에서 규칙 대시보드에 대한 보기 액세스 권한이 있어야 합니다.

규칙 실행 빈도 보기

1. 규칙 대시보드로 이동하여 시스템에서 규칙을 예약한 방식을 확인합니다.

2. Google SecOps에서 규칙 대시보드를 열고 목록에서 규칙을 찾습니다.

3. 실행 빈도 열을 확인하여 시스템에서 할당한 간격을 파악합니다.

규칙 실행 빈도 정의

YARA-L 규칙에서 정의한 시간대에 따라 실행 빈도가 결정됩니다. 이 작업은 거의 실시간 스트리밍과 일괄 처리를 균형 있게 유지하여 시스템 안정성을 유지합니다. 시간대를 정의하려면 다음 단계를 완료하세요.

1. 규칙의 match 섹션을 검토하여 기간을 확인합니다.

2. 창 크기를 시스템 빈도 (예: No window = Near real-time)에 매핑합니다.

실행 매핑 예약

실행 빈도는 YARA-L 규칙에 정의된 복잡성과 시간 범위에 따라 달라집니다. 다음 표를 사용하여 규칙 구성이 시스템 실행에 미치는 영향을 파악하세요.

예: 시간별 실행이 있는 멀티 이벤트 규칙

다음 예시는 15분 기간으로 인해 시스템에서 매시간 실행하는 다중 이벤트 규칙을 보여줍니다.

  rule fifteen_minute_window_example {

  meta:
    description = "Runs hourly because window is <= 48h"

  events:
    $e.metadata.event_type = "USER_LOGIN"
    $e.principal.user.userid = $user

  match:
    $user over 15m

  condition:
    $e
}

시스템 동작 및 제한사항

• 맞춤 간격 없음: '10분마다 실행' 또는 '오전 2시에 실행'되도록 규칙을 구성할 수 없습니다. 시스템은 모든 시작 시간을 내부적으로 관리합니다.

• 감지 지연: 감지 지연은 데이터 수집 속도에 따라 다를 수 있습니다. 자세한 내용은 규칙 리플레이 및 MTTD 이해 및 규칙 감지 지연 이해를 참고하세요.

• 지연된 데이터: 단일 이벤트 규칙은 지연 시간과 관계없이 도착하는 모든 데이터를 평가합니다. 멀티 이벤트 규칙은 마지막 실행 후 평가를 중지하며, 이는 일반적으로 이벤트 시간 후 24~30시간입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.