규칙 실행 일정 관리

다음에서 지원:

이 문서는 Google Security Operations 내에서 규칙 실행 일정을 관리하려는 보안 분석가와 엔지니어를 대상으로 합니다. 실시간 검색부터 24시간 예약 간격까지 빈도 설정을 구성하는 방법과 늦게 도착하는 데이터를 처리하는 백그라운드 실행을 해석하는 방법을 설명합니다.

일반적인 사용 사례

적절한 일정을 선택하는 것은 위협의 심각성과 로직의 복잡성에 따라 달라집니다. 대부분의 팀은 다음 목표에 따라 일정을 우선시합니다.

우선순위가 높은 알림

  • 목표: 플랫폼에 도달하는 순간 심각한 위협을 감지합니다.
  • : 추가 컨텍스트가 필요하지 않은 단일 이벤트 일치의 공격자 체류 시간을 줄입니다.

복잡한 상관관계 및 보고

  • 목표: 개수, 합계 또는 여러 이벤트 기간이 필요한 규칙을 실행합니다.
  • 가치: 시스템이 실행 전에 모든 관련 로그를 수집하고 보강하여 규정 준수 및 추세 분석에 대한 더 정확한 알림을 제공합니다.

시작하기 전에

일정을 수정하기 전에 구성 오류를 방지하기 위해 환경이 다음 요구사항을 충족하는지 확인하세요.

  • 권한: 규칙 일정을 수정하려면 Chronicle API 관리자 (roles/chronicle.admin) 또는 Chronicle API 편집자 (roles/chronicle.editor) 역할이 있어야 합니다.
  • 환경 확인: 예약된 간격 집계를 지원하도록 로그가 통합 데이터 모델 (UDM)에 올바르게 매핑되어 있는지 확인합니다.

주요 용어

시스템이 타이밍을 처리하는 방식을 더 잘 이해하려면 이러한 플랫폼별 용어를 숙지하세요.

  • 트루업 실행: 지연되었거나 보강하는 데 추가 시간이 필요한 데이터를 포착하기 위해 규칙을 재평가하는 자동 백그라운드 실행입니다.
  • 강화: 초기 수집 직후에 발생할 수 있는 애셋 메타데이터 또는 사용자 ID와 같은 컨텍스트를 로그에 추가하는 프로세스입니다.

규칙 실행 일정 이해하기

Google SecOps는 규칙 로직을 기반으로 사용 가능한 예약 옵션을 자동으로 결정합니다. 일정 실행 메뉴에는 특정 규칙 유형 (예: 단일 이벤트와 다중 이벤트)과 호환되는 옵션만 표시됩니다.

기본 일정 구성

시스템은 다음 일정에 따라 이벤트가 도착한 후 평가합니다. 이 지연은 데이터 완전성을 보장하고 수집 또는 보강 지연 시간을 고려합니다.

일정 할당 기준 평가 시기 추가 구매 주기
실시간 (10분) 단일 이벤트 또는 경기 기간이 1시간 미만 도착 직후 아니요. 표준 실행에서 지연된 데이터/강화된 데이터를 평가합니다.
매시간 (1시간) 1시간~48시간 사이의 매칭 기간 도착 후 1~2시간 예. 5시간 및 24시간 단계가 포함됩니다.
일일 (24시간) 일치 기간이 48시간 초과 도착 후 24~25시간 예. 5시간 및 24시간 단계가 포함됩니다.

규칙의 맞춤 일정을 구성하는 방법을 자세히 알아보세요.

자동 트루업 단계

수집 지연 또는 늦은 보강으로 인해 감지가 누락되지 않도록 시스템에서 다중 이벤트 규칙에 대해 '조정'을 자동으로 실행합니다.

  1. 초기 실행: 즉각적인 위협을 노출하기 위해 최대한 빨리 실행됩니다.
  2. 중간 실행 (~5시간): 이벤트 후 약 5시간 후에 추가 실행이 발생합니다. 참고: 이 단계에서는 전체 데이터 보강을 기다리지 않습니다.
  3. 최종 조정 (~24시간): 모든 추가 데이터와 보강이 확인된 후 (100% 가시성) 실행됩니다.

참고: 단일 이벤트 규칙은 표준 실행 중에 늦게 도착한 데이터와 보강된 데이터를 처리하며 5시간 및 24시간 조정 주기를 사용하지 않습니다.

실행 일정 변경

시스템에서 맞춤 감지 로직을 평가하는 빈도를 변경하려면 다음 단계를 따르세요.

  1. Google SecOps에서 감지 > 규칙 및 감지로 이동합니다.
  2. 규칙 대시보드를 클릭합니다.
  3. 규칙의 더보기 more_vert 메뉴를 엽니다.
  4. 메뉴에서 실행 일정 값을 선택합니다 (예: 10분).
  5. 저장을 클릭합니다. 시스템에서 변경사항을 자동으로 저장합니다.

감지 식별

규칙이 활성화되면 초기 알림과 시스템의 자동 재실행으로 생성된 알림을 구분할 수 있습니다.

  1. 알림 페이지 또는 규칙 대시보드로 이동합니다.
  2. 감지 유형 열에서 전구 를 클릭하여 감지가 초기 실행, 조정 실행 또는 레트로헌트에서 시작되었는지 확인합니다.

문제 해결

데이터의 측정기준을 검토하여 특정 감지가 표시되거나 시간이 지남에 따라 변경되는 이유를 조사합니다. 시스템에서 대부분의 위협을 즉시 식별하지만, 특정 데이터 뉘앙스의 경우 완전한 정확성을 제공하려면 백그라운드 처리가 필요합니다. 이러한 백그라운드 실행을 이해하면 평균 감지 시간 (MTTD)을 정확하게 측정하고 알림의 무결성을 확인할 수 있습니다.

지연 시간 및 제한

규칙 실행 빈도는 감지 속도에 직접적인 영향을 미칩니다. 일정이 덜 자주 설정되면 이벤트가 발생한 시점과 시스템에서 감지를 처리하는 시점 사이의 시간이 늘어납니다.

  • 시간별 일정: 사용 가능한 최신 데이터를 사용하여 매시간 실행됩니다. 버퍼가 적용되지 않습니다.

  • 일일 일정: 시스템은 처리 전에 데이터가 완전히 수집되도록 24시간 버퍼를 도입합니다.

실행 간 불일치

규칙의 초기 실행에서는 나중에 조정 실행 중에 표시되는 감지를 식별하지 못할 수 있습니다. 이 동작을 통해 시스템은 대부분의 위협을 즉시 식별하는 동시에 나중에 충실도가 높은 확인을 허용합니다. 일반적인 원인은 다음과 같습니다.

  • 데이터 수집 지연 시간: 첫 번째 실행이 완료된 후 도착하는 로그 데이터입니다.
  • 강화 완전성: 초기 실행 중에 외부 소스 (애셋 메타데이터 또는 ID)의 컨텍스트가 아직 처리 중입니다.
  • 타이밍 조정: 트루업 실행은 실행되기 전에 가장 완전한 데이터 세트를 기다립니다. 첫 번째 실행의 감지가 예상보다 늦게 도착할 수 있습니다.

오류 해결

이 표를 사용하여 맞춤설정 옵션 누락 또는 제한된 일정과 관련된 일반적인 문제를 해결하세요.

문제 원인 및 해결 방법
맞춤 일정 옵션 누락 단일 이벤트 규칙은 실시간 엔진을 사용하며 예약된 간격을 지원하지 않습니다. 또한 선별된 규칙은 수정할 수 없는 고정 시스템 일정을 따릅니다.
지원되지 않는 간격 거의 실시간을 선택할 수 없는 경우 규칙에서 match 섹션 또는 집계 (예: count 또는 sum)를 사용하고 있을 수 있습니다. 이러한 함수는 시간이 지남에 따라 데이터를 처리하기 위해 예약된 간격이 필요합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.