위협 감지

다음에서 지원:

이 가이드는 조직의 위협을 감지하려는 감지 엔지니어를 대상으로 합니다. 통합 규칙 인터페이스를 활용하여 위협 감지 기능을 가속화하는 방법을 설명합니다.

일반적인 사용 사례

이 워크플로의 일반적인 사용 사례는 다음과 같습니다.

규칙 배포 가속화

목표: 특정 적대적 전술 (예: Initial Access)에 대해 선별된 탐지 규칙을 신속하게 식별하고 사용 설정합니다.

가치: 수동 규칙 개발 없이 일반적인 공격 벡터의 평균 감지 시간 (MTTD)을 단축합니다.

중앙 집중식 규칙 수명 주기 관리

목표: 단일 콘솔에서 규칙 실행, 상태, 배포 기록을 모니터링합니다.

가치: 운영 감독을 개선하고 활성 감지가 예상대로 작동하는지 확인합니다.

주요 용어

  • 선별된 탐지 규칙: 보안 전문가가 관리하는 사전 빌드된 감지 세트입니다. Google Cloud

  • 통합 규칙 인터페이스: 맞춤 YARA-L 규칙과 선별된 콘텐츠를 모두 위한 통합 관리 콘솔입니다.

  • 규칙 배포: 규칙의 상태 (라이브 또는 보관됨) 및 연결된 알림 구성입니다.

  • 레트로 헌트: 이전 데이터에 대해 규칙을 실행하여 이전 위협 인스턴스를 찾는 프로세스입니다.

시작하기 전에

팀에서 커스텀 IAM 역할을 사용하는 경우 통합 규칙 대시보드 및 편집기를 사용하기 위한 다음 권한이 있는지 확인하세요.

규칙 대시보드 권한

권한 필수 IAM 권한
View
  • chronicle.rules.list
  • chronicle.retrohunts.list
  • chronicle.ruleDeployments.list
  • chronicle.legacies.legacySearchCustomerStats
  • chronicle.legacies.legacyGetRuleCounts
  • chronicle.legacies.legacyGetRulesTrends
  • chronicle.legacies.legacyGetCuratedRulesTrends
Edit
  • chronicle.retrohunts.create
  • chronicle.ruleDeployments.update
  • chronicle.ModifyRules

규칙 편집기 권한

구성요소 IAM 권한 (IAM을 사용하는 경우) 분석가 권한 (기존 RBAC를 사용하는 경우)
규칙 편집기 페이지

chronicle.ruleDeployments.list

chronicle.rules.list

 detectRulesView
관련 참조 목록 섹션

chronicle.referenceLists.get

chronicle.referenceLists.list

 referenceListView
관련 데이터 테이블 섹션

chronicle.dataTables.get

chronicle.dataTables.list

 해당 사항 없음
새 규칙 만들기 버튼

chronicle.rules.verifyRuleText

chronicle.rules.create

 detectRulesCreate
규칙 테스트 버튼 chronicle.legacies.legacyRunTestRule detectRulesRun
규칙 범위 메뉴 chronicle.rules.update detectRulesEdit
규칙 저장 버튼 chronicle.rules.update detectRulesEdit
새 규칙으로 저장 버튼 chronicle.rules.create detectRulesCreate
규칙 레트로 헌트 버튼 chronicle.retrohunts.create detectRulesRun
규칙 라이브 전환 버튼 chronicle.ruleDeployments.update detectRulesEdit
규칙 알림 전환 버튼 chronicle.ruleDeployments.update detectRulesEdit
규칙 실행 빈도 전환 버튼 chronicle.ruleDeployments.update detectRulesEdit
규칙 보관 및 보관 취소 전환 버튼 chronicle.ruleDeployments.update detectRulesEdit
편집기에서 선별된 규칙 보기 chronicle.featuredContentRules.list 해당 사항 없음

통합 인터페이스 환경설정 관리

규칙 대시보드와 규칙 편집기 모두 통합 환경과 기존 보기 간에 전환할 수 있습니다. 선택을 하면 인스턴스에 환경설정이 저장되고 해당 버전이 기본적으로 로드됩니다.

  • 규칙 대시보드: 통합 규칙 대시보드를 선택하려면 규칙 대시보드로 이동하여 새 통합 규칙 페이지 사용해 보기를 클릭합니다. 선택 해제하려면 레거시 규칙 대시보드로 돌아가기를 클릭합니다.

  • 규칙 편집기: 새 규칙 편집기를 선택하려면 규칙 편집기 페이지로 이동하여 새 규칙 편집기 페이지를 클릭합니다. 선택 해제하려면 기존 규칙 편집기 페이지를 클릭합니다.

선별된 규칙으로 위협 감지 가속화

통합 규칙 인터페이스를 사용하여 특정 MITRE ATT&CK 전략의 감지를 식별할 수 있습니다. 알림이 사용 설정되어 있고 초기 액세스와 관련된 규칙을 찾으려면 다음을 수행하세요.

  1. 규칙 대시보드로 이동합니다.

  2. 검색창을 사용하여 특정 위협을 필터링합니다.

    예를 들어 초기 액세스(MITRE ATT&CK 전술 TA0001)와 관련된 선별된 규칙을 찾으려면 다음 검색어를 사용하세요.

    alerting_enabled = true AND tags:"TA0001"

    복잡한 필터링의 경우 검색 규칙 페이지의 고급 문법을 참고하세요.

  3. 선택사항: 검색 결과에서 규칙을 선택하여 규칙 세부정보를 확인합니다.

  4. 배포할 규칙 옆에 있는 메뉴를 클릭합니다.

  5. 라이브 규칙알림 전환 버튼을 클릭하여 적극적으로 위협을 감지합니다.

대시보드에서 규칙의 실행, 상태, 알림 기록을 추적할 수 있습니다.

문제 해결

지연 시간 및 제한

  • 규칙 실행: 규칙을 저장한 후 대시보드에 첫 번째 실행 측정항목이 표시될 때까지 약간의 전파 지연 (일반적으로 몇 분)이 있을 수 있습니다.

  • 레트로 헌트 한도: 선별된 탐지 규칙은 레트로 헌트로 실행할 수 없습니다. 또한 이전 검색에는 데이터 보관 등급에 따라 전환 확인 기간 제한이 적용됩니다.

오류 해결

오류 코드 문제 설명 수정
403 금지됨 선별된 콘텐츠를 볼 권한이 없습니다. chronicle.featuredContentRules.list이 IAM 역할에 추가되었는지 확인합니다.
배포 실패 규칙 구문 오류 또는 충돌입니다. 규칙 편집기에서 규칙 테스트 버튼을 사용하여 YARA-L 구문을 검증합니다.

다음 단계

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.