규칙 할당량 이해하기

Google Security Operations는 일관된 시스템 성능과 쿼리 속도를 보장하기 위해 감지 규칙에 용량 한도를 적용합니다.

규칙 용량은 다음 두 가지 카테고리를 통해 관리됩니다.

• 맞춤 규칙: 팀에서 작성하고 관리하는 규칙입니다.

• 선별된 감지: Google에서 작성하고 관리하는 규칙입니다.

맞춤 규칙 할당량 추적

맞춤 규칙에는 복잡성에 따라 엄격한 성능 할당량이 적용됩니다.

맞춤 규칙 할당량을 추적하려면 다음 단계를 따르세요.

1. Google SecOps에서 감지 > 규칙 및 감지로 이동합니다.

2. 규칙 대시보드 탭으로 이동합니다.

3. 규칙 용량을 클릭하여 여러 이벤트 규칙 할당량 대화상자를 엽니다. 여러 이벤트 규칙 및 총 규칙 할당량이 표시됩니다.

할당량 유형	설명	할당량에 포함되는 항목
총 규칙 할당량	환경에서 허용되는 사용 설정된 규칙의 최대 수입니다.	모든 활성 규칙: 단일 이벤트 및 다중 이벤트
여러 이벤트 규칙 할당량	다중 이벤트 규칙에 예약된 총 할당량의 제한된 하위 집합입니다.	멀티 이벤트 규칙만 해당: 시간 경과에 따라 여러 이벤트를 상호 연관시키거나, 조인을 사용하거나, 창 집계를 실행하는 규칙 (예: 일치 섹션이 있는 규칙)

• 단일 이벤트 규칙은 총 활성 할당량에만 포함됩니다.

• 여러 이벤트 규칙은 총 활성 할당량과 여러 이벤트 할당량에서 모두 동시에 용량을 사용합니다.

다중 이벤트 규칙은 단일 이벤트 규칙보다 훨씬 더 많은 리소스를 사용합니다. 총 할당량에 사용 가능한 공간이 있어도 멀티 이벤트 할당량을 모두 사용한 경우 새 규칙을 사용 설정하지 못할 수 있습니다.

선별된 감지 할당량 추적

선별된 감지는 Enterprise 및 Enterprise Plus 고객에게 제공됩니다. 라이선스 권한은 선별된 규칙 세트의 전체 라이브러리를 수용할 수 있도록 명시적으로 크기가 조정됩니다. 대시보드에 용량 또는 무게 측정항목이 표시되지만 이러한 수치는 정보 제공용이며 엄격한 제한은 아닙니다.

Enterprise 및 Enterprise Plus 고객의 경우 라이선스 권한은 선별된 규칙 세트의 전체 라이브러리를 수용할 수 있도록 명시적으로 크기가 조정됩니다. 대시보드에 용량 또는 무게 측정항목이 표시되지만 이러한 수치는 정보 제공용이며 엄격한 한도가 아닙니다.

성능 트레이드 오프를 감수하거나 용량 한도에 도달할 위험 없이 선별된 모든 규칙 집합을 동시에 활성화할 수 있습니다. 한도 경고가 트리거되면 라이선스 패키지 구성을 확인합니다.

시스템 성능 최적화

이 섹션에서는 규칙 용량과 시스템 성능을 극대화하기 위한 최적화 전략을 설명합니다.

복잡한 로직 모듈화

원자적 동작을 표시하는 경량의 단일 이벤트 규칙을 만듭니다. 즉, 원시 로그에서 공격의 모든 단계를 감지하려고 시도하는 대규모 멀티 이벤트 규칙을 작성하지 마세요.

1. 단일 이벤트 규칙으로 신호 감지

   • 개별 행동 (예: User Login Failed, Process Launched)에 대한 단일 이벤트 규칙을 만듭니다.

   • 영향: 총 활성 할당량 (풍부)을 소비하고 거의 실시간으로 실행됩니다.

2. 복합 또는 다중 이벤트 규칙과 알림의 상관관계 파악

   • 1단계에서 생성된 감지를 입력으로 사용하는 복합 규칙을 작성합니다.

   • 영향: 다중 이벤트 할당량을 사용합니다 (비쌈).

   • 혜택: 다양한 시나리오에 대해 원시 로그를 여러 번 다시 처리하는 대신 로직에 대해 다중 이벤트 할당량을 한 번 사용합니다.

효율적인 규칙 설계 만들기

• 단일 이벤트 로직 우선순위 지정: 단일 로그 줄로 감지할 수 있는 경우 (예: '사용자가 알려진 잘못된 도메인을 방문함') 상관관계 분석을 위해 멀티 이벤트 할당량을 절약할 수 있도록 단일 이벤트 규칙으로 작성합니다. 일치 창을 사용하지 마세요.

• 참조 목록 사용: N개의 지표에 대해 N개의 규칙을 사용하는 대신 참조 목록 (예: target.ip in %suspicious_ips)을 참조하는 단일 규칙을 사용합니다. 이렇게 하면 규칙 할당량의 단위 하나만 사용됩니다.

• 정기적으로 감사: 일시중지되거나 사용 중지된 규칙을 정기적으로 감사합니다. 활성 할당량에 포함되지는 않지만 보관하면 환경을 깔끔하게 유지할 수 있습니다.

사용 사례: 무작위 대입을 통한 측면 이동 감지

시나리오: 위험 데이터 플랫폼 (RDP)을 통해 서버에 무차별 대입을 시도하고 즉시 의심스러운 관리 도구 (예: PsExec)를 실행하여 측면으로 이동하는 공격자를 감지합니다.

1단계: 단일 이벤트 규칙으로 신호 감지하기

총 활성 할당량이 충분한 두 개의 경량 규칙을 만듭니다. 이러한 항목은 감지를 생성합니다.

• 규칙 A (무차별 대입 신호):

  • 논리:

    • auth.status = FAILURE을 확인합니다.

    • 그룹 로그인 이벤트입니다.

    • 1분 동안 실패한 시도가 5회를 초과하면 트리거됩니다.

  • 입력: 원시 UDM 이벤트

  • 출력: Possible_RDP_Brute_Force라는 감지 알림

  • 비용: 낮음 (총 활성 할당량 사용).

• 규칙 B (의심스러운 도구 신호):

  • 로직: 프로세스가 psexec.exe인 경우 트리거합니다.

  • 입력: 원시 UDM 이벤트

  • 출력: PsExec_Usage라는 감지 알림

  • 비용: 낮음 (총 활성 할당량 사용).

2단계: 복합 규칙과 알림의 상관관계 파악하기

원시 로그가 아닌 1단계에서 생성된 감지를 확인하는 하나의 복합 규칙을 작성합니다.

• 규칙 C:

  • 로직: 10분 이내에 동일한 principal.hostname에서 발생하는 Possible_RDP_Brute_Force AND PsExec_Usage를 찾습니다.

  • 입력: 규칙 A와 B의 감지

  • 비용: 높음 (다중 이벤트 할당량 사용)이지만 1단계에서 생성된 몇 개의 알림만 처리합니다.

이 계층화된 접근 방식은 초기 신호 생성을 복잡한 상관관계 논리와 분리하여 성능과 비용 효율성을 모두 최적화합니다. 단일 이벤트 규칙을 사용하여 수십억 개의 원시 UDM 이벤트를 충실도가 높은 감지로 필터링하면 다중 이벤트 엔진에서 처리하는 데이터 볼륨이 줄어듭니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.