규칙의 맞춤설정된 일정 구성

다음에서 지원:

이 문서는 멀티 이벤트 규칙의 맞춤설정 가능한 일정을 구성하고 문제를 해결하려는 플랫폼 관리자 및 SOC 분석가를 대상으로 합니다. 처리 일정을 설정하고 추가 검사를 실행하여 늦게 도착하는 데이터를 포함하는 방법을 설명합니다.

이 문서에 설명된 프로세스를 따르면 감지 지연 시간과 데이터 무결성을 정확하게 제어할 수 있습니다. 성공적으로 완료하면 감지가 적시에 정확하게 이루어지므로 수집 지연으로 인한 거짓 음성을 줄이고 일관된 보안 운영을 보장할 수 있습니다.

맞춤설정 가능한 일정은 Google Security Operations에서 멀티 이벤트 규칙이 실행되는 방식에 대한 투명성과 제어 기능을 제공합니다. 멀티 이벤트 규칙에는 데이터를 정확하게 집계하기 위한 버퍼 기간이 필요합니다. 이 메서드를 사용하면 시스템 기본값을 사용하는 대신 해당 기간을 정의할 수 있습니다.

이 문서와 함께 규칙 실행 일정을 관리하는 방법을 알아보세요.

일반적인 사용 사례

맞춤설정 가능한 일정을 사용하여 감지 속도를 데이터 가용성 및 완전성과 일치시킵니다.

규정 준수 기반 비활성 계정 모니터링

시나리오: 감사 요구사항을 충족하기 위해 30일 동안 로그인하지 않은 계정을 모니터링합니다.

  • 목표: 보강 완전성에 우선순위를 지정합니다.
  • 가치: 최종 평가 전에 모든 전역 로그와 메타데이터가 처리될 때까지 기다리는 보강 완전성 보장 전환 스위치를 켜서 최대 데이터 충실도를 보장합니다.

멀티 테넌트 MSSP 데이터 분리

시나리오: 관리형 보안 서비스 제공업체 (MSSP)로서 로그 수집 속도가 다양한 여러 고객의 데이터를 관리합니다.

  • 목표: 여러 고객 환경에서 다양한 수집 속도를 관리합니다.
  • 가치: '거짓 음성' 알림을 줄입니다. 첫 번째 실행을 1~2시간 기다리면 시스템에서 true-up 실행 중에만 표시되는 감지 수를 줄여 대시보드를 모니터링하는 SOC 분석가에게 보다 일관된 환경을 제공합니다.

주요 용어

  • 첫 번째 실행 (𝑇 + 오프셋): 규칙 로직의 초기 실행입니다. 오프셋은 늦게 도착하는 데이터를 고려하기 위해 추가된 지연 시간을 나타냅니다.
  • True-up 실행: 첫 번째 실행 후에 도착한 로그 또는 보강 데이터를 캡처하기 위해 동일한 기간을 백그라운드에서 재평가합니다.
  • 보강: 처리 중에 로그에 추가된 외부 메타데이터 (예: 애셋 태그 또는 사용자 별칭)입니다.

시작하기 전에

규칙 일정을 수정하거나 자동화하기 전에 환경과 계정이 필요한 보안 및 시스템 요구사항을 충족하는지 확인하세요. 이러한 필수사항을 검증하면 배포 오류를 방지하고 감지 로직이 조직의 ID 및 액세스 관리 정책과 일치하도록 할 수 있습니다.

  • 권한: 규칙 일정을 수정하려면 detection:ModifyRuleSchedule 작업을 허용하는 IAM 역할이 있어야 합니다.

    • roles/detectionEngine.admin

    • roles/detectionEngine.editor

  • 환경 확인:

    • 규칙 유형: 맞춤설정 가능한 일정은 멀티 이벤트 규칙에만 적용됩니다. 단일 이벤트 및 선별된 규칙은 제외됩니다.
    • match 기간: match 기간이 48시간을 초과하는 규칙은 일별 실행 빈도로 제한됩니다.
    • 이전: 기존 일정을 맞춤설정 가능한 일정으로 이전하는 것은 단방향 프로세스이며 되돌릴 수 없습니다.

멀티 이벤트 규칙의 일정 구성

멀티 이벤트 규칙의 일정을 구성하려면 다음 단계를 따르세요.

  1. Google SecOps 에서 감지 > 규칙 및 감지 로 이동합니다.
  2. 규칙 대시보드 를 클릭합니다.
  3. 규칙을 찾아 더보기 more_vert를 클릭하고 실행 일정을 선택합니다.
  4. 규칙 일정 탭에서 첫 번째 실행 일정 필드의 값을 선택하고 규칙이 실행되는 빈도를 선택합니다.
  5. 늦게 도착하는 데이터에 대한 첫 번째 실행 조정 전환 스위치를 켭니다.
    • 예상되는 실패: 오프셋이 소스의 실제 수집 지연 시간보다 짧으면 첫 번째 실행에서 로그가 누락될 수 있습니다.
    • 수정 단계: 오프셋을 늘리거나 최종 검증을 위해 True-up 실행을 사용합니다.
  6. 보강 완전성 보장 전환 스위치를 켭니다.
    • 예상되는 실패: 알림이 이벤트 타임스탬프보다 훨씬 늦게 표시될 수 있습니다.
    • 수정 단계: 속도보다 정확성이 더 중요한 중요하지 않은 규정 준수 규칙에만 사용합니다.
  7. 규칙 일정 미리보기 를 검토하여 실행 타임라인을 파악합니다.
    • 첫 번째 실행 (𝑇 + 오프셋): 시스템은 늦게 도착하는 데이터에 대해 지정한 지연 시간 후에 규칙 로직을 실행합니다.
    • True-up 실행 1 (𝑇 + 4시간): 시스템은 첫 번째 실행 후 4시간 후에 기간을 다시 검사하여 누락되거나 늦게 도착한 데이터를 캡처합니다. 보강 완전성 보장 전환 스위치를 켜면 이 실행은 연결된 모든 보강 데이터가 처리될 때까지 기다립니다.
    • True-up 실행 2 (𝑇 + 30시간): 이 실행은 보강 완전성 보장 전환 스위치를 켜야만 표시됩니다. 시스템은 최대 데이터 충실도를 제공하기 위해 첫 번째 실행 후 30시간 후에 최종 검사를 실행합니다.
  8. 저장 을 클릭합니다.

일정 미리보기 이해

일정 미리보기는 감지 로직의 특정 마일스톤을 식별합니다. 이러한 백그라운드 실행을 사용하여 감지까지 걸리는 평균 시간 (MTTD)을 정확하게 측정하고 알림 무결성을 검증합니다.

  • 첫 번째 실행 (𝑇 + 오프셋): 가능한 한 빨리 위협을 식별합니다. 일부 데이터가 아직 전송 중이거나 보강 중일 수 있으므로 첫 번째 실행의 감지가 예상보다 늦게 도착할 수 있습니다.

  • True-up 실행: 기간을 사전에 재평가합니다. 이러한 실행을 통해 플랫폼은 다음을 캡처할 수 있습니다.

    • 늦게 도착하는 로그: 첫 번째 실행이 완료된 후 플랫폼에 도달한 데이터입니다.
    • 보강 컨텍스트: 추가 백그라운드 처리가 필요한 메타데이터(예: 애셋 ID 또는 사용자 별칭)입니다.

감지 소스 식별

Google SecOps는 시각적 표시기를 사용하여 초기 감지와 백그라운드 재실행 중에 표시되는 감지를 구분하는 데 도움을 줍니다.

감지 표시기

감지 유형 열에서 는 true-up 실행, 재처리 실행 또는 소급 검색의 감지를 식별합니다.

  • 이 아이콘이 표시되면 감지가 초기 실행 (𝑇)이 아닌 true-up 실행 (𝑇+4$ 또는 𝑇+30$) 중에 발생한 것입니다.
  • 이 아이콘이 있는 감지는 일반적으로 늦게 도착하는 로그 또는 보강 지연으로 인해 플랫폼에서 초기 수집 후 위협을 캡처했음을 나타냅니다.

알림 페이지에서 알림 무결성 검증

알림 페이지에서 는 알림 소스를 나타냅니다. 타임라인을 조사할 때 이 표시기를 사용하여 알림의 소스를 검증합니다.

문제 해결

평가 타이밍과 규칙 구성을 검토하여 일정 문제를 조사합니다. 플랫폼에서 대부분의 일정 작업을 자동화하지만 특정 설정 또는 데이터 지연이 감지가 표시되는 시점에 영향을 줄 수 있습니다.

감지는 true-up 실행에만 표시됨

감지가 첫 번째 실행 (𝑇) 중에 표시되지 않지만 true-up 실행 (𝑇+4$ 또는 𝑇+30$)에 표시되는 경우 다음을 확인하세요.

  • 수집 지연 시간: 로그 소스에 지연이 있는지 확인합니다. 이벤트가 발생한 후 15분 후에 로그가 도착하면 10분 첫 번째 실행 일정에서 로그가 누락됩니다. true-up 실행은 이러한 늦게 도착하는 로그를 캡처합니다.
  • 컨텍스트 보강: 규칙이 애셋 태그 또는 사용자 별칭과 같은 외부 메타데이터를 사용하는지 확인합니다. 보강 프로세스가 첫 번째 실행 기간보다 오래 걸리면 시스템에서 후속 실행에서 보강을 완료한 후에만 감지가 표시됩니다.

맞춤설정 가능한 옵션이 누락됨

규칙 일정 탭에 맞춤설정 옵션이 표시되지 않거나 메뉴가 회색으로 표시되는 경우:

  • 규칙 유형 확인: 맞춤설정 가능한 일정은 멀티 이벤트 규칙에만 적용됩니다. 단일 이벤트 규칙은 연속 (실시간) 엔진을 사용하며 맞춤 일정을 지원하지 않습니다.
  • match 기간 검증: match 기간이 48시간을 초과하는 규칙은 일별 실행 빈도로 제한되며 맞춤설정할 수 없습니다.
  • 선별된 규칙 식별: 선별된 규칙의 일정은 수정할 수 없습니다. Curated rules uses a legacy schedule 메시지를 찾아 규칙이 보호된 시스템 규칙인지 확인합니다.

첫 번째 실행 알림의 예기치 않은 지연

감지가 예약된 간격보다 늦게 도착하는 경우:

  • 초기화 기간: 새로 생성되거나 최근에 수정된 규칙에는 1시간의 초기화 기간이 필요합니다. 플랫폼에서 이 초기 설정을 완료하고 첫 번째 예약된 주기를 시작할 때까지 감지가 표시되지 않습니다.
  • 보강 대기 시간: 보강 완전성 보장 전환 스위치를 켜면 시스템에서 데이터 보강 프로세스가 완료될 때까지 기다리도록 타이밍을 동적으로 조정할 수 있습니다. 이 프로세스는 감지가 누락되는 것을 방지하지만 초기 감지가 정확한 𝑇 타임스탬프보다 늦게 도착할 수 있습니다.

MTTD 측정값이 높은 것 같음

MTTD 측정값에는 데이터 완전성에 필요한 버퍼 기간이 포함됩니다.

  • 버퍼 검토: 1시간 일정의 경우 시스템은 이벤트가 도착한 후 1~2시간 후에 이벤트를 평가합니다.
  • 속도 최적화: 지연 시간이 짧아야 하는 경우 규칙을 실시간 일정으로 전환합니다. 참고: 이렇게 하면 전체 정확도를 위해 true-up 실행에 의존하는 감지 수가 늘어날 수 있습니다.

제한사항

  • 멀티 이벤트 규칙만 해당: 이 기능은 단일 이벤트 규칙에는 사용할 수 없습니다.
  • 맞춤 규칙만 해당: 선별된 규칙은 수정할 수 없는 고정된 일정을 사용합니다. 선별된 규칙을 보면 시스템에 Curated rules use a legacy schedule라는 메시지가 표시됩니다.

오류 해결

오류 문제 수정
누락된 옵션 규칙 일정 탭이 회색으로 표시되거나 옵션이 누락되었습니다. 규칙이 멀티 이벤트 맞춤 규칙이고 일치 기간이 48시간 미만인지 확인합니다.
지연된 알림 감지가 예약된 간격보다 늦게 도착합니다. 보강 완전성 보장 전환 스위치가 켜져 있는지 확인합니다. 시스템에서 메타데이터 처리를 기다리고 있을 수 있습니다.
True-up 알림만 해당 감지가 첫 번째 실행 (𝑇)에 표시되지 않습니다. 수집 지연 시간 을 클릭하여 확인합니다. 로그가 15분 늦게 도착하지만 오프셋이 10분인 경우 첫 번째 실행 오프셋을 늘립니다.

검증 및 테스트

일정이 의도한 대로 작동하는지 확인하려면 다음 단계를 따르세요.

  1. 규칙 대시보드 로 이동합니다.
  2. 규칙을 선택하고 감지 탭을 봅니다.
  3. 으로 필터링하여 True-up 실행에서 첫 번째 실행에서 누락된 데이터를 캡처하는지 확인한 후 오프셋을 적절하게 조정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.