규칙 리플레이 및 MTTD 이해하기

다음에서 지원:

이 문서에서는 규칙 재실행 (정리 실행이라고도 함)이 늦게 도착하는 데이터와 컨텍스트 업데이트를 관리하는 방법과 이것이 평균 감지 시간 (MTTD) 측정항목에 미치는 영향을 설명합니다.

규칙 다시보기

규칙 다시보기

Google SecOps는 대량의 보안 데이터를 처리합니다. 컨텍스트 또는 상관관계 데이터에 의존하는 규칙의 정확한 감지를 위해 규칙 엔진은 규칙 재생 프로세스를 자동으로 실행합니다.

규칙 재실행 프로세스는 다음 두 가지 카테고리의 규칙을 처리합니다.

  • 단일 이벤트 규칙: UDM 보강 프로세스에서 이전에 평가된 이벤트를 업데이트하면 시스템에서 단일 이벤트 규칙을 다시 실행합니다.

  • 멀티 이벤트 규칙: 멀티 이벤트 규칙은 사용자가 선택한 일정에 따라 실행되며 이벤트 시간 블록을 처리합니다. 이러한 규칙은 사용자 또는 애셋 컨텍스트 데이터 또는 침해 지표 (IOC)와 같은 지연된 풍부한 정보 업데이트를 포착하기 위해 서로 다른 간격으로 동일한 시간 블록을 반복적으로 재평가합니다.
    예를 들어 늦게 도착하는 이벤트 및 컨텍스트 데이터를 고려하여 규칙이 최소 2~3회 (5~8시간 후, 24~48시간 후) 실행될 수 있습니다.

규칙 재실행 트리거

관련 컨텍스트 데이터가 도착하거나 컨텍스트 데이터가 초기 이벤트 데이터보다 늦게 처리되면 시스템에서 규칙을 다시 평가 (다시 실행)합니다.

다시 재생하는 일반적인 이유는 다음과 같습니다.

  • 늦게 도착하는 풍부한 데이터: 엔티티 컨텍스트 그래프 (ECG)와 같은 데이터 풍부화 파이프라인은 데이터를 일괄 처리하는 경우가 많습니다. UDM 이벤트가 관련 컨텍스트 데이터 (예: 애셋 정보 또는 사용자 컨텍스트)보다 먼저 도착하면 초기 규칙 실행에서 감지를 놓칠 수 있습니다.

  • 소급 UDM 보강 업데이트: 감지 로직에서 별칭이 지정된 필드(보강된 필드)를 사용하는 규칙(예: $udm.event.principal.hostname)은 소스 데이터(예: DHCP 레코드)가 지연될 때 리플레이를 트리거할 수 있습니다. 이 지연 도착은 해당 필드 값을 소급하여 업데이트합니다. 후속 규칙 재생에서는 새로 보강된 값을 사용하여 이전에 누락된 감지를 트리거할 수 있습니다.

타이밍 측정항목에 미치는 영향

규칙 재생으로 감지가 발생한 경우 다음 용어를 사용합니다.

  • 알림의 감지 기간 또는 이벤트 타임스탬프는 원래 악성 활동의 시간을 나타냅니다.
  • 생성 시간은 시스템에서 감지를 생성하는 시간으로, 훨씬 늦을 수 있으며 때로는 몇 시간 또는 며칠이 걸릴 수 있습니다.
  • 감지 지연 시간이벤트 타임스탬프와 감지의 생성 시간 간의 시간 차이입니다.

늦게 도착한 데이터로 인한 재강화 또는 엔티티 컨텍스트 그래프 (ECG)와 같은 컨텍스트 소스 업데이트의 지연 시간은 일반적으로 감지 지연 시간을 높입니다.

이 시간 차이로 인해 감지가 '늦게' 또는 '지연'된 것으로 표시될 수 있으며, 이는 분석가를 혼란스럽게 하고 MTTD와 같은 성능 측정항목을 왜곡할 수 있습니다.

측정항목 구성요소 시간 소스 리플레이가 MTTD에 미치는 영향
감지 기간 / 이벤트 타임스탬프 원래 보안 이벤트가 발생한 시간입니다. 이는 이벤트 시간에 따라 정확하게 유지됩니다.
감지 시간 / 생성 시간 감지가 엔진에 의해 실제로 발생한 시간입니다. 이 시간은 늦은 풍부한 데이터를 통합하는 보조 (리플레이) 실행을 기반으로 하기 때문에 이벤트 타임스탬프에 비해 '늦게' 또는 '지연'된 것으로 표시됩니다. 이 델타는 MTTD 계산에 부정적인 영향을 미칩니다.

MTTD 측정 권장사항

MTTD는 초기 침해부터 위협의 효과적인 탐지까지의 시간을 정량화합니다. 규칙 재생으로 트리거된 감지를 분석할 때는 정확한 MTTD 측정항목을 유지하기 위해 다음 권장사항을 적용하세요.

실시간 감지 시스템 우선순위 지정

가장 빠른 감지를 위해서는 단일 이벤트 규칙을 사용하세요. 이러한 규칙은 거의 실시간으로 실행되며 일반적으로 5분 미만의 지연이 발생합니다.

또한 복합 감지를 보다 포괄적으로 사용할 수 있습니다.

멀티 이벤트 규칙에서 규칙 재실행 고려

멀티 이벤트 규칙은 예약된 실행 빈도로 인해 본질적으로 지연 시간이 더 깁니다. 다중 이벤트 규칙의 감지에 대한 MTTD를 측정할 때는 자동 규칙 재생이 커버리지와 정확도를 높인다는 점을 고려하세요. 이러한 리플레이는 늦은 컨텍스트가 필요한 위협을 포착하는 경우가 많으므로 이러한 감지의 보고된 지연 시간이 증가합니다.

  • 중요하고 시간에 민감한 알림의 경우: 단일 이벤트 규칙 또는 실행 빈도가 가장 짧은 멀티 이벤트 규칙을 사용합니다. 일치 창을 줄여도 지연 시간에 직접적인 영향을 미치지는 않지만 최소 지연 시간을 설정하여 효율성을 높일 수 있습니다.

  • 복잡하고 장기간의 상관관계 (UEBA, 다단계 공격): 이러한 규칙은 비동기적으로 업데이트될 수 있는 광범위한 컨텍스트 조인 또는 참조 목록을 사용합니다. 늦게 도착하는 컨텍스트 또는 이벤트 데이터로 인해 지연 시간이 길어질 수 있지만 절대적인 속도보다는 충실도가 높은 감지라는 이점이 있습니다.

규칙을 최적화하여 지연된 보강에 대한 의존도 줄이기

감지 속도를 최적화하고 소급 풍부화 실행의 영향을 최소화하려면 가능한 경우 규칙 로직에서 별칭이 지정되지 않은 필드 (다운스트림 풍부화 파이프라인의 영향을 받지 않는 필드)를 사용하는 것이 좋습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.