규칙의 맞춤 일정 구성

다음에서 지원:

이 문서는 멀티 이벤트 규칙의 맞춤설정 가능한 일정을 구성하고 문제를 해결하려는 플랫폼 관리자 및 SOC 분석가를 대상으로 합니다. 처리 일정을 설정하고 늦게 도착하는 데이터를 포함하기 위해 추가 검사를 실행하는 방법을 설명합니다.

이 문서에 설명된 프로세스를 따르면 감지 지연 시간과 데이터 무결성을 정확하게 제어할 수 있습니다. 성공적으로 완료되면 감지가 적시에 정확하게 이루어져 수집 지연으로 인한 거짓 음성이 줄어들고 일관된 보안 운영이 보장됩니다.

맞춤설정 가능한 일정은 Google Security Operations에서 다중 이벤트 규칙이 실행되는 방식을 투명하게 파악하고 제어할 수 있도록 지원합니다. 다중 이벤트 규칙은 데이터를 정확하게 집계하기 위해 버퍼 기간이 필요합니다. 이 방법을 사용하면 시스템 기본값에 의존하지 않고 해당 기간을 정의할 수 있습니다.

일반적인 사용 사례

맞춤설정 가능한 일정을 사용하여 감지 속도를 데이터 가용성 및 완전성과 일치시킵니다.

규정 준수 기반 비활성 계정 모니터링

시나리오: 감사 요구사항을 충족하기 위해 30일 동안 로그인하지 않은 계정을 모니터링합니다.

  • 목표: 풍부한 정보의 완전성을 우선시합니다.
  • : 최종 평가 전에 모든 전역 로그와 메타데이터가 처리될 때까지 기다리는 강화 완전성 보장 전환 버튼을 켜서 데이터 충실도를 극대화합니다.

멀티 테넌트 MSSP 데이터 분리

시나리오: 관리형 보안 서비스 제공업체 (MSSP)로서 로그 수집 속도가 다양한 여러 고객의 데이터를 관리합니다.

  • 목표: 여러 고객 환경에서 다양한 수집 속도를 관리합니다.
  • 가치: '거짓 음성' 알림을 줄입니다. 첫 번째 실행을 1~2시간 기다리면 시스템에서 조정 실행 중에만 표시되는 감지 수를 줄여 대시보드를 모니터링하는 SOC 분석가에게 더 일관된 환경을 제공합니다.

주요 용어

  • 첫 번째 실행 (𝑇 + 오프셋): 규칙 로직의 초기 실행입니다. 오프셋은 늦게 도착하는 데이터를 고려하기 위해 추가된 지연 시간을 나타냅니다.
  • 조정 실행: 첫 번째 실행 후에 도착한 로그 또는 보강 데이터를 캡처하기 위해 동일한 기간을 백그라운드에서 재평가합니다.
  • 보강: 처리 중에 로그에 추가된 외부 메타데이터 (예: 애셋 태그 또는 사용자 별칭)입니다.

시작하기 전에

규칙 일정 수정 또는 자동화를 시도하기 전에 환경과 계정이 필요한 보안 및 시스템 요구사항을 충족하는지 확인하세요. 이러한 필수 요건을 검증하면 배포 오류를 방지하고 감지 로직이 조직의 ID 및 액세스 관리 정책과 일치하는지 확인할 수 있습니다.

권한

필수: 규칙 일정을 수정하려면 다음 작업을 허용하는 IAM 역할이 있어야 합니다.

detection:ModifyRuleSchedule

사전 정의된 역할:

  • roles/detectionEngine.admin

  • roles/detectionEngine.editor

환경 확인

  • 규칙 유형: 맞춤 일정은 다중 이벤트 규칙에만 적용됩니다. 단일 이벤트 및 선별된 규칙은 제외됩니다.
  • match 기간: match 기간이 48시간을 초과하는 규칙은 매일 실행 빈도로 제한됩니다.
  • 이전: 기존 일정을 맞춤설정 가능한 일정으로 이전하는 것은 단방향 프로세스이며 되돌릴 수 없습니다.

멀티 이벤트 규칙의 일정 구성

다중 이벤트 규칙의 일정을 구성하려면 다음 단계를 따르세요.

  1. Google SecOps에서 감지 > 규칙 및 감지로 이동합니다.
  2. 규칙 대시보드를 클릭합니다.
  3. 규칙을 찾아 더보기 more_vert를 클릭하고 일정 실행을 선택합니다.
  4. 규칙 일정 탭에서 첫 번째 실행 일정 필드의 값을 선택하고 규칙 실행 빈도를 선택합니다.
  5. 지연 도착 데이터에 맞게 첫 번째 실행 조정 전환 버튼을 사용 설정합니다.
    • 예상되는 실패: 오프셋이 소스의 실제 수집 지연 시간보다 짧으면 첫 번째 실행에서 로그가 누락될 수 있습니다.
    • 수정 단계: 오프셋을 늘리거나 최종 검증을 위해 추가 실행을 사용합니다.
  6. 강화 완전성 보장 전환 스위치를 사용 설정합니다.
    • 예상되는 실패: 알림이 이벤트 타임스탬프보다 훨씬 늦게 표시될 수 있습니다.
    • 수정 단계: 속도보다 정확성이 더 중요한 비핵심 규정 준수 규칙에만 사용합니다.
  7. 규칙 일정 미리보기를 검토하여 실행 타임라인을 파악합니다.
    • 첫 번째 실행 (𝑇 + 오프셋): 시스템은 늦게 도착하는 데이터에 대해 지정한 지연 시간 후에 규칙 로직을 실행합니다.
    • 트루업 실행 1 (𝑇 + 4시간): 시스템은 첫 번째 실행 후 4시간이 지나면 누락되거나 지연된 데이터를 캡처하기 위해 기간을 다시 스캔합니다. 강화 완전성 보장 전환 버튼을 사용 설정하면 이 실행은 연결된 모든 강화 데이터가 처리될 때까지 기다립니다.
    • 트루업 실행 2 (𝑇 + 30시간): 이 실행은 강화 완전성 보장 전환 버튼을 사용 설정한 경우에만 표시됩니다. 시스템은 첫 번째 실행 후 30시간이 지나면 최종 스캔을 실행하여 데이터 충실도를 극대화합니다.
  8. 저장을 클릭합니다.

일정 미리보기 이해하기

일정 미리보기는 감지 로직의 구체적인 주요 단계를 식별합니다. 이러한 백그라운드 실행을 사용하여 평균 감지 시간 (MTTD)을 정확하게 측정하고 알림 무결성을 확인할 수 있습니다.

첫 번째 실행 (𝑇 + 오프셋)

첫 번째 실행에서는 최대한 빨리 위협을 식별합니다. 일부 데이터가 아직 전송 중이거나 보강 중일 수 있으므로 첫 번째 실행의 감지가 예상보다 늦게 도착할 수 있습니다.

추가 실행

트루업은 선제적으로 시간 범위를 재평가합니다. 이러한 실행을 통해 플랫폼은 다음을 캡처할 수 있습니다.

  • 늦게 도착한 로그: 첫 번째 실행이 완료된 후 플랫폼에 도달한 데이터입니다.
  • 강화 컨텍스트: 추가 배경 처리가 필요한 메타데이터(예: 애셋 ID 또는 사용자 별칭)입니다.

문제 해결

평가 타이밍과 규칙 구성을 검토하여 예약 문제를 조사합니다. 플랫폼에서 대부분의 예약 작업을 자동화하지만 특정 설정이나 데이터 지연으로 인해 감지가 표시되는 시점이 달라질 수 있습니다.

제한사항

  • 다중 이벤트 규칙만 해당: 단일 이벤트 규칙에는 이 기능을 사용할 수 없습니다.
  • 맞춤 규칙만 해당: 선별된 규칙은 수정할 수 없는 고정 일정을 사용합니다. 선별된 규칙을 보면 Curated rules use a legacy schedule 메시지가 표시됩니다.

오류 해결

오류 문제 수정
누락된 옵션 규칙 일정 탭이 비활성화되거나 옵션이 누락되었습니다. 규칙이 멀티 이벤트 맞춤 규칙이고 일치 기간이 48시간 미만인지 확인합니다.
지연된 알림 감지가 예정된 간격보다 늦게 도착합니다. Ensure enrichment completeness 전환 버튼이 사용 설정되어 있는지 확인합니다. 시스템에서 메타데이터 처리를 기다리고 있을 수 있습니다.
추가 구매 알림만 감지는 첫 번째 실행 (𝑇)에 표시되지 않습니다. 수집 지연 시간을 클릭하여 확인합니다. 로그가 15분 늦게 도착하지만 오프셋이 10분인 경우 첫 번째 실행 오프셋을 늘립니다.

감지는 조정 실행에서만 표시됩니다.

첫 번째 실행 (𝑇) 중에 감지가 표시되지 않지만 조정 실행 (𝑇+4$ 또는 𝑇+30$)에 표시되는 경우 다음을 확인하세요.

  • 수집 지연 시간: 로그 소스에 지연이 있는지 확인합니다. 이벤트 발생 후 15분이 지나 로그가 도착하면 10분 첫 실행 일정에서 누락됩니다. 조정 실행은 이러한 늦은 도착을 캡처합니다.
  • 컨텍스트 보강: 규칙이 애셋 태그 또는 사용자 별칭과 같은 외부 메타데이터를 사용하는지 확인합니다. 보강 프로세스가 첫 실행 창보다 오래 걸리면 시스템이 나중에 실행에서 보강을 완료한 후에만 감지가 표시됩니다.

맞춤설정 옵션이 누락됨

규칙 일정 탭에 맞춤설정 옵션이 표시되지 않거나 메뉴가 회색으로 표시되는 경우:

  • 규칙 유형 확인: 맞춤설정 가능한 일정은 멀티 이벤트 규칙에만 적용됩니다. 단일 이벤트 규칙은 연속 (실시간) 엔진을 사용하며 맞춤 일정을 지원하지 않습니다.
  • match 기간 확인: match 기간이 48시간을 초과하는 규칙은 매일 실행 빈도로 제한되며 맞춤설정할 수 없습니다.
  • 선별된 규칙 식별: 선별된 규칙의 일정은 수정할 수 없습니다. Curated rules uses a legacy schedule 메시지를 찾아 규칙이 보호된 시스템 규칙인지 확인합니다.

첫 실행 알림이 예기치 않게 지연됨

감지가 예정된 간격보다 늦게 도착하는 경우:

  • 초기화 기간: 신규 또는 최근에 수정된 규칙에는 1시간의 초기화 기간이 필요합니다. 플랫폼에서 이 초기 설정을 완료하고 첫 번째 예약 주기를 시작할 때까지는 감지가 표시되지 않습니다.
  • 강화 대기 시간: 강화 완료 보장 전환 버튼을 사용 설정하면 데이터 강화 프로세스가 완료될 때까지 기다리도록 시스템에서 타이밍을 동적으로 조정할 수 있습니다. 이 프로세스를 통해 탐지 누락을 방지할 수 있지만 초기 탐지가 정확한 𝑇 타임스탬프보다 늦게 도착할 수 있습니다.

MTTD 측정값이 높은 것으로 보임

MTTD 측정에는 데이터 완전성에 필요한 안정화 기간이 포함됩니다.

  • 버퍼 검토: 1시간 일정의 경우 시스템은 이벤트가 도착한 후 1~2시간 후에 이벤트를 평가합니다.
  • 속도에 맞게 최적화: 지연 시간을 줄여야 하는 경우 규칙을 실시간 일정으로 전환합니다. 참고: 이렇게 하면 전체 정확도를 위해 보정 실행에 의존하는 감지 수가 늘어날 수 있습니다.

감지 소스 식별

Google SecOps는 시각적 표시기를 사용하여 초기 감지와 백그라운드 재실행 중에 표시된 감지를 구분할 수 있도록 지원합니다.

감지 표시기

감지 유형 열에서 는 조정 실행, 재처리 실행 또는 소급 검색에서 감지된 항목을 식별합니다.

  • 이 아이콘이 표시되면 초기 실행 (𝑇)이 아닌 트루업 실행 (𝑇+4$ 또는 𝑇+30$) 중에 감지가 발생한 것입니다.
  • 이 아이콘이 표시된 감지는 플랫폼이 초기 수집 후 위협을 포착했음을 나타내는 경우가 많으며, 이는 일반적으로 로그가 늦게 도착하거나 보강이 지연되기 때문입니다.

알림 페이지에서 알림 무결성 확인

알림 페이지의 는 알림의 소스를 나타냅니다. 타임라인을 조사할 때 이 표시기를 사용하여 알림의 소스를 확인할 수 있습니다.

  • 아이콘이 없는 알림은 첫 번째 실행 (𝑇) 또는 연속 엔진에서 발생합니다.
  • 아이콘이 있는 알림은 시스템에서 정확도를 극대화하기 위해 나중에 데이터 스캔 중에 위협을 식별했음을 나타냅니다.

유효성 검사 및 테스트

일정이 의도한 대로 작동하는지 확인하려면 다음 단계를 따르세요.

  1. 규칙 대시보드로 이동합니다.
  2. 규칙을 선택하고 감지 탭을 확인합니다.
  3. 로 필터링하여 추가 실행에서 첫 번째 실행에서 누락된 데이터를 포착하는지 확인한 다음 오프셋을 적절하게 조정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.