통합 규칙으로 위협 감지
이 가이드는 조직의 위협을 감지하려는 감지 엔지니어를 대상으로 합니다. 통합 규칙 인터페이스를 활용하여 위협 감지 기능을 가속화하는 방법을 설명합니다.
일반적인 사용 사례
이 워크플로의 일반적인 사용 사례는 다음과 같습니다.
규칙 배포 가속화
목표: 특정 공격자 전술 (예: Initial Access)에 대해 선별된 탐지 규칙을 빠르게 식별하고 사용 설정합니다.
가치: 수동 규칙 개발 없이 일반적인 공격 벡터의 평균 감지 시간 (MTTD)을 줄입니다.
중앙 집중식 규칙 수명 주기 관리
목표: 단일 콘솔에서 규칙 실행, 상태, 배포 기록을 모니터링합니다.
가치: 운영 감독을 개선하고 활성 감지가 예상대로 실행되도록 합니다.
주요 용어
선별된 탐지 규칙: 보안 전문가가 관리하는 사전 빌드된 감지 세트입니다. Google Cloud
통합 규칙 인터페이스: 커스텀 YARA-L 규칙과 선별된 콘텐츠를 모두 위한 통합 관리 콘솔입니다.
규칙 배포: 규칙의 상태 (라이브 또는 보관처리됨) 및 연결된 알림 구성입니다.
Retro hunt: 이전 데이터에 대해 규칙을 실행하여 과거의 위협 인스턴스를 찾는 프로세스입니다.
시작하기 전에
팀에서 커스텀 IAM 역할을 사용하는 경우 통합 규칙 대시보드 및 편집기에서 작업할 수 있는 다음 권한이 있는지 확인하세요.
규칙 대시보드 권한
| 권한 | 필수 IAM 권한 |
|---|---|
View
|
|
Edit
|
|
저장된 뷰 - 저장된 규칙 뷰 나열 및 만들기
| 권한 | 필수 IAM 권한 |
|---|---|
Manage
|
|
규칙 편집기 권한
| 구성요소 | IAM 권한 (IAM을 사용하는 경우) | 분석가 권한 (기존 RBAC를 사용하는 경우) |
|---|---|---|
| 규칙 편집기 페이지 |
|
detectRulesView
|
| 관련 참조 목록 섹션 |
|
referenceListView
|
| 관련 데이터 표 섹션 |
|
해당 사항 없음 |
| 새 규칙 만들기 버튼 |
|
detectRulesCreate
|
| 규칙 테스트 버튼 | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| 규칙 범위 메뉴 | chronicle.rules.update
|
detectRulesEdit
|
| 규칙 저장 버튼 | chronicle.rules.update
|
detectRulesEdit
|
| 새 규칙으로 저장 버튼 | chronicle.rules.create
|
detectRulesCreate
|
| 규칙 retro hunt 버튼 | chronicle.retrohunts.create
|
detectRulesRun
|
| 규칙 라이브 전환 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 규칙 알림 전환 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 규칙 실행 빈도 전환 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 규칙 보관처리 및 보관처리 해제 전환 | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| 편집기에서 선별된 규칙 보기 | chronicle.featuredContentRules.list
|
해당 사항 없음 |
통합 인터페이스 환경설정 관리
규칙 대시보드와 규칙 편집기 모두에 대해 통합 환경과 기존 뷰 간에 전환할 수 있습니다. 선택하면 인스턴스에서 환경설정을 저장하고 기본적으로 해당 특정 버전을 로드합니다.
규칙 대시보드: 통합 규칙 대시보드를 선택하려면 규칙 대시보드로 이동하여 새로운 통합 규칙 페이지 사용해 보기 를 클릭합니다. 선택 해제하려면 기존 규칙 대시보드로 돌아가기 를 클릭합니다.
규칙 편집기: 새 규칙 편집기를 선택하려면 규칙 편집기 페이지로 이동하여 새 규칙 편집기 페이지 를 클릭합니다. 선택 해제하려면 기존 규칙 편집기 페이지 를 클릭합니다.
선별된 규칙으로 위협 감지 가속화
통합 규칙 인터페이스를 사용하여 특정 MITRE ATT&CK 전술의 감지를 식별할 수 있습니다. 알림이 사용 설정되어 있고 초기 액세스와 관련된 규칙을 찾으려면 다음 단계를 따르세요.
규칙 대시보드로 이동합니다.
검색창을 사용하여 특정 위협을 필터링합니다.
예를 들어 초기 액세스(MITRE ATT&CK 전술
TA0001)와 관련된 선별된 규칙을 찾으려면 다음 검색어를 사용합니다.alerting_enabled = true AND tags:"TA0001"복잡한 필터링은 규칙 검색 페이지의 고급 구문을 참고하세요.
선택사항: 검색 결과에서 규칙을 선택하여 규칙 세부정보를 확인합니다.
배포할 규칙 옆에 있는 메뉴를 클릭합니다.
라이브 규칙 및 알림 전환을 클릭하여 위협 감지를 시작합니다.
대시보드에서 규칙의 실행, 상태, 알림 기록을 추적할 수 있습니다.
문제 해결
지연 시간 및 한도
규칙 실행: 규칙을 저장하고 대시보드에서 첫 번째 실행 측정항목을 확인하는 사이에 짧은 전파 지연 (일반적으로 몇 분)이 있을 수 있습니다.
Retro hunt 한도: 선별된 탐지 규칙은 retro hunt로 실행할 수 없습니다. 또한 retro hunt에는 데이터 보관 등급에 따라 전환 확인 기간 한도가 적용됩니다.
오류 해결
| 오류 코드 | 문제 설명 | 수정 |
|---|---|---|
| 403 금지됨 | 선별된 콘텐츠를 볼 권한이 없습니다. | chronicle.featuredContentRules.list가 IAM 역할에 추가되었는지 확인합니다.
|
| 배포 실패 | 규칙 구문 오류 또는 충돌입니다. | 규칙 편집기의 규칙 테스트 버튼을 사용하여 YARA-L 구문의 유효성을 검사합니다. |
다음 단계
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.