이 페이지는 Cloud Translation API를 통해 번역되었습니다.

규칙 리플레이 및 MTTD 이해하기

다음에서 지원:

Google secops SIEM

이 문서에서는 규칙 재실행 (정리 실행이라고도 함)이 늦게 도착하는 데이터와 컨텍스트 업데이트를 관리하는 방법과 이것이 평균 감지 시간 (MTTD) 측정항목에 미치는 영향을 설명합니다.

규칙 다시보기

Google SecOps는 대량의 보안 데이터를 처리합니다. 컨텍스트 또는 상관관계 데이터에 의존하는 규칙의 정확한 감지를 위해 규칙 엔진은 규칙 재실행 프로세스를 자동으로 실행합니다. 이 프로세스는 지연된 데이터 또는 업데이트된 컨텍스트가 필요한 규칙(예: 침해 지표(IOC) 일치)을 처리하기 위해 서로 다른 간격으로 동일한 이벤트 데이터 블록을 여러 번 평가합니다.

규칙 재실행 트리거

관련 컨텍스트 데이터가 초기 이벤트 데이터보다 늦게 도착하거나 처리되면 규칙이 다시 평가 (다시 실행)됩니다.

일반적인 규칙 재실행 트리거는 다음과 같습니다.

늦게 도착하는 보강 데이터

데이터 보강 파이프라인(예: 엔티티 컨텍스트 그래프(ECG))은 데이터를 일괄적으로 처리할 수 있습니다. UDM 이벤트가 관련 컨텍스트 데이터 (예: 애셋 정보 또는 사용자 컨텍스트)보다 먼저 도착하면 초기 규칙 실행 중에 감지가 누락될 수 있습니다.
소급 UDM 보강 업데이트

규칙에서 감지 로직에 $udm.event.principal.hostname와 같은 별칭이 지정된 필드 (보강된 필드)를 사용하고 소스 데이터 (예: DHCP 레코드)가 1시간 이상 지나서 도착하는 경우 해당 필드 값은 특정 이벤트 시간에 대해 소급하여 업데이트됩니다. 이후 규칙 실행 ('정리 실행')에서는 새로 보강된 값을 사용하므로 이전에 누락된 감지가 트리거될 수 있습니다.
예약된 멀티 이벤트 규칙

멀티 이벤트 (ME) 규칙은 일정 (예: 10분, 매시간, 매일)에 따라 실행되어 이벤트 시간 블록을 평가합니다. 이러한 규칙은 기록 데이터에 대한 지연된 풍부한 정보 업데이트를 포착하기 위해 나중에 동일한 시간 블록을 재평가하며, 일반적으로 2~3회 이상 실행됩니다 (예: 5~8시간에 확인하고 24~48시간 후에 다시 확인).

타이밍 측정항목에 미치는 영향

규칙 재생으로 인해 탐지가 발생하면 알림의 탐지 기간 또는 이벤트 타임스탬프는 원래 악성 활동의 시간을 나타냅니다. 생성 시간은 감지가 생성된 시간으로, 훨씬 나중일 수 있으며 때로는 몇 시간 또는 며칠 후일 수도 있습니다.

감지 지연 시간이 긴 경우 (이벤트와 감지 간 시간 차이가 큰 경우) 일반적으로 늦게 도착한 데이터의 재강화 또는 엔티티 컨텍스트 그래프 (ECG) 파이프라인의 지연 시간으로 인해 발생합니다.

이 시간 차이로 인해 감지가 '늦게' 또는 '지연'된 것으로 표시될 수 있으며, 이는 분석가를 혼란스럽게 하고 MTTD와 같은 성능 측정항목을 왜곡할 수 있습니다.

측정항목 구성요소	시간 소스	리플레이가 MTTD에 미치는 영향
감지 기간 / 이벤트 타임스탬프	원래 보안 이벤트가 발생한 시간입니다.	이 값은 이벤트 시간과 일치합니다.
감지 시간 / 생성 시간	엔진에서 감지를 실제로 내보낸 시간입니다.	이 시간은 늦은 풍부한 데이터를 통합하는 보조 (리플레이) 실행을 기반으로 하므로 이벤트 타임스탬프에 비해 '늦게' 또는 '지연'된 것으로 표시됩니다. 이 델타는 MTTD 계산에 부정적인 영향을 미칩니다.

MTTD 측정 권장사항

MTTD는 초기 침해부터 위협의 효과적인 탐지까지의 시간을 정량화합니다. 규칙 재생으로 트리거된 감지를 분석할 때는 정확한 MTTD 측정항목을 유지하기 위해 다음 권장사항을 적용하세요.

실시간 감지 시스템 우선순위 지정

가장 빠른 감지를 위해서는 단일 이벤트 규칙을 사용하세요. 이러한 규칙은 거의 실시간으로 실행되며 일반적으로 5분 미만의 지연이 발생합니다.

또한 복합 감지를 보다 포괄적으로 사용할 수 있습니다.

멀티 이벤트 규칙에서 규칙 재실행 고려

멀티 이벤트 규칙은 예약된 실행 빈도로 인해 본질적으로 지연 시간이 더 깁니다. 다중 이벤트 규칙으로 생성된 감지의 MTTD를 측정할 때는 자동 규칙 재생으로 인한 감지가 커버리지와 정확도를 높이는 데 도움이 된다는 점을 인식하는 것이 중요합니다. 이러한 리플레이는 늦은 컨텍스트가 필요한 위협을 포착하는 경우가 많지만, 해당 특정 감지의 보고된 지연 시간을 필연적으로 늘립니다.

시간에 민감한 중요한 알림: 단일 이벤트 규칙 또는 실행 빈도가 가장 짧은 멀티 이벤트 규칙 (예: 1시간 미만의 짧은 일치 기간)을 사용합니다.
복잡하고 장기간의 상관관계 (UEBA, 다단계 공격): 규칙이 광범위한 컨텍스트 조인 또는 비동기적으로 업데이트될 수 있는 참조 목록에 의존하는 경우 지연 시간이 더 길어질 수 있습니다 (최대 48시간 이상). 여기에서는 절대적인 속도보다는 충실도가 높은 탐지가 중요합니다.

규칙을 최적화하여 지연된 정보 보강에 대한 의존도 줄이기

감지 속도를 최적화하고 소급 풍부화 실행의 영향을 최소화하려면 가능한 경우 규칙 로직에서 별칭이 지정되지 않은 필드 (다운스트림 풍부화 파이프라인의 적용을 받지 않는 필드)를 사용하는 것이 좋습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.