실시간 데이터에 규칙을 적용하는 방법 알아보기

다음에서 지원:

규칙을 만들면 처음에는 Google Security Operations 계정에서 수신된 이벤트를 기준으로 감지를 실시간으로 검색하지 않습니다. 하지만 실시간 규칙 토글을 사용 설정하여 실시간으로 감지를 검색하는 규칙을 설정합니다.

실시간으로 감지를 검색하도록 규칙이 구성되면 즉각적인 위협 감지를 위해 실시간 데이터의 우선순위가 지정됩니다.

규칙을 적용하려면 다음 단계를 완료합니다.

  1. 감지 > 규칙 및 감지를 클릭합니다.

  2. 규칙 대시보드 탭을 클릭합니다.

  3. 규칙의 more_vert 규칙 옵션 아이콘을 클릭하고 라이브 규칙이 사용 설정되도록 전환합니다.

    실시간 규칙

    실시간 규칙

  4. 규칙 감지 보기를 선택하여 실시간 규칙의 감지를 확인합니다.

디스플레이 규칙 할당량

규칙 대시보드의 오른쪽 상단에서 규칙 용량을 클릭하여 실시간으로 사용 설정할 수 있는 규칙 수의 한도를 표시합니다.

Google SecOps에서 적용하는 규칙 한도는 다음과 같습니다.

  • 여러 이벤트 규칙 할당량: 현재 실시간으로 사용 설정된 여러 이벤트 규칙의 수와 허용되는 최대 수를 표시합니다. 단일 이벤트여러 이벤트 규칙의 차이점에 대해 자세히 알아보세요.
  • 총 규칙 할당량: 모든 유형에서 '실시간'으로 사용 설정된 현재 총 규칙 수를 허용되는 최대 한도와 비교하여 표시합니다.

규칙 실행

지정된 이벤트 시간 버킷의 실시간 규칙 실행은 빈도 감소로 트리거됩니다. 최종 정리 실행이 발생하며 이후에는 더 이상 실행이 시작되지 않습니다.

각 실행은 규칙에 사용된 최신 버전의 참조 목록과 최신 이벤트 및 항목 데이터 보강에서 실행됩니다.

일부 감지는 나중에 실행에서만 감지될 경우 소급해서 생성될 수 있습니다. 예를 들어 마지막 실행에서 최신 버전의 참조 목록을 사용하므로 이제 더 많은 이벤트가 감지되고 새로운 보강으로 인해 이벤트와 항목 데이터가 다시 처리될 수 있습니다.

중복 삭제

Google SecOps는 규칙에서 중복된 감지 항목을 자동으로 식별하고 삭제합니다. 이 프로세스는 시간 기반 기간을 사용하는 일치 변수가 있는 규칙에만 적용됩니다. 인접한 시간 기간 내에서 일치 변수 값이 동일한 발견 항목은 중복으로 간주되어 표시되지 않습니다. 여기에는 감지 기간 바로 전후의 매칭 기간이 포함될 수 있습니다.

Google SecOps는 각 규칙 버전을 별도의 새로운 논리로 취급합니다. 따라서 규칙이 업데이트되면 과거 이벤트를 기반으로 감지가 반복될 수 있습니다. 이러한 감지는 중복으로 표시되더라도 삭제되지 않습니다.

감지 지연 시간

실시간 규칙에서 감지를 생성하는 데 걸리는 시간은 다양한 요소에 따라 달라집니다. 자세한 내용은 규칙 감지 지연 이해하기를 참고하세요.

규칙 상태

실시간 규칙에는 다음 상태 중 하나가 포함될 수 있습니다.

  • 사용 설정됨: 규칙이 활성 상태이고 실시간 규칙으로 정상 작동합니다.

  • 사용 중지: 규칙이 사용 중지되었습니다.

  • 제한됨: 리소스 사용량이 비정상적으로 높은 경우 실시간 규칙이 이 상태로 전환될 수 있습니다. 제한됨 규칙은 Google SecOps의 안정성이 유지되도록 시스템의 다른 실시간 규칙과 격리됩니다.

    제한됨 라이브 규칙의 경우 성공적인 규칙 실행이 항상 가능한 것은 아닙니다. 그러나 규칙 실행이 성공하면 감지 항목이 보관되고 이를 검토할 수 있습니다. 제한됨 라이브 규칙은 항상 오류 메시지를 생성합니다. 여기에는 규칙의 성능을 향상시키는 방법에 대한 추천이 포함됩니다.

    제한됨 규칙의 성능이 3일 이내에 개선되지 않으면 상태가 일시중지됨으로 변경됩니다.

    참고: 최근에 이 규칙을 변경하지 않았다면 오류가 간헐적으로 발생할 수 있으며 자동으로 해결될 수 있습니다.

  • 일시중지됨: 실시간 규칙이 3일 동안 제한됨 상태로 유지되고 성능 향상이 나타나지 않으면 이 상태로 전환됩니다. 이 규칙의 실행이 일시중지되고 규칙 성능 향상 방법에 관한 제안이 포함된 오류 메시지가 반환됩니다.

실시간 규칙을 사용 설정됨 상태로 되돌리려면 YARA-L 권장사항에 따라 규칙 성능을 최적화하고 변경사항을 저장합니다. 규칙이 저장된 후 규칙이 사용 설정됨 상태로 재설정되고 제한됨 상태에 다시 도달하기 전까지 최소 한 시간 이상 걸립니다.

실행 빈도를 낮게 구성하면 잠재적으로 규칙의 성능 문제를 해결할 가능성이 있습니다. 예를 들어 10분마다 실행되는 규칙을 1시간 또는 24시간에 한 번만 실행되도록 재구성할 수 있습니다. 그러나 규칙의 실행 빈도를 변경해도 해당 상태가 다시 사용 설정됨으로 변경되지는 않습니다. 규칙을 일부 수정하고 저장하면 해당 상태가 자동으로 사용 설정됨으로 재설정됩니다.

규칙 상태는 규칙 대시보드에 표시되고 Detection Engine API를 통해서도 액세스할 수 있습니다. 제한됨 또는 일시중지됨 상태의 규칙으로 생성된 오류는 ListErrors API 메서드를 사용해서 제공됩니다. 이 오류는 해당 규칙이 제한됨 또는 일시중지됨 상태임을 나타내고 문제 해결 방법에 대한 문서 링크를 제공합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.