특정 흐름의 보강 차단

이 문서에서는 강화 블록을 사용하여 데이터 강화 프로세스를 세부적으로 제어하는 방법을 설명합니다. 기본 보강 프로세스는 다양한 소스의 컨텍스트 데이터를 사용하고, 데이터를 분석하고, 내부 로직에 따라 통합 데이터 모델 (UDM) 필드 데이터를 덮어씁니다. 기본 프로세스는 일반적으로 예상대로 작동합니다. 하지만 특정 경우에는 UDM 필드 데이터를 덮어쓰면 감지 엔진 규칙이 잘못 트리거되는 등 예기치 않은 동작이 발생합니다.

강화 블록 구성 및 보기

Chronicle 관리자편집자 권한이 있는 Google SecOps 사용자만 보강 블록을 구성할 수 있으며, 모든 Google SecOps 사용자는 보강 블록 인터페이스를 볼 수 있습니다.

보강 블록의 기본 구성에는 보강 유형, 대상 로그 유형, 소스라는 세 가지 순차적 매개변수가 필요합니다. 타겟 로그 유형에 사용할 수 있는 옵션은 선택한 강화 유형에 따라 다르며, 소스에 사용할 수 있는 옵션은 선택한 타겟 로그 유형에 따라 다릅니다.

강화 블록은 삭제할 수 없습니다.

강화 블록은 사용 설정, 사용 중지, 다시 사용 설정할 수 있습니다.

강화 블록 대화상자에는 사용 설정된 블록 탭과 사용 중지된 블록 탭이 포함됩니다. 두 탭의 표에는 리치 블록의 기본 구성 매개변수, 블록이 마지막으로 사용 설정된 UTC 날짜, 블록에 대한 사용자 지정 이유 (선택사항)가 표시됩니다. 사용 중지된 차단 탭의 표에는 차단이 사용 중지된 UTC 날짜가 포함됩니다.

강화 블록 시간 로직 수정

강화 블록의 상태 변경은 5~10분 이내에 적용됩니다.

블록을 사용 설정하거나 사용 중지할 때의 주요 효과는 동기화된 시작 시간입니다.

  • 차단 사용 설정 (정보 삭제): Google SecOps는 현재 날짜의 00:00:00 UTC부터 연결된 모든 필드의 정보를 삭제하고 계속 진행합니다.

  • 차단 사용 중지 (재강화): Google SecOps는 현재 날짜의 00:00:00 UTC부터 연결된 모든 필드를 재강화하고 앞으로도 계속 강화합니다.

예: 9월 16일 화요일 23시 59분 59초(UTC)에 풍부한 정보 블록을 사용 설정합니다. Google SecOps는 9월 16일 화요일 0:00:00(UTC)부터 연결된 모든 강화 필드를 강화 해제하고 앞으로도 강화 차단을 계속 구현합니다. 9월 17일 수요일 09:00:00(UTC)에 보강 블록을 사용 중지합니다. Google SecOps는 9월 17일 수요일 0시 0분 0초(UTC)부터 모든 연결된 필드를 다시 보강하고 앞으로도 모든 관련 데이터를 계속 보강합니다.

강화 블록 만들기 및 사용 설정

강화 블록을 만들고 사용 설정하려면 다음 단계를 따르세요.

  1. 설정 > 강화 블록으로 이동합니다.

  2. 다음과 같이 구성합니다.

    1. 강화 유형 목록에서 다음 옵션 중 하나를 선택합니다.

      • 모든 유형
      • 애셋 이 옵션이 보강 블록에 없으면 다음을 수행합니다.
        • hostname, asset_id, mac, ip (asset_id이 비어 있는 경우)과 같은 필드를 추출합니다.
        • Noun에서 Asset 아래에 있는 모든 항목 (예: hostname, asset_id, mac, ip)을 포함하는 필드를 보강합니다.
        • DHCPAsset Context (예: Tanium Asset 또는 CrowdStrike)과 같은 보강 소스를 사용합니다.
      • GeoIP 이 옵션은 보강 블록에 없는 경우 다음을 실행합니다.
        • 공개되거나 라우팅 가능한 경우 ip와 같은 필드를 추출합니다.
        • artifact.ip, artifact.location, artifact.network, location이 포함된 필드를 보강합니다.
        • Google GeoIP 서비스의 보강 소스를 사용합니다.
      • Google 위협 인텔리전스 이 옵션이 보강 블록에 없으면 다음을 수행합니다.
        • 관련 필드를 추출합니다.
        • File 또는 process.file 필드를 보강합니다.
        • VirusTotal 파일 메타데이터의 보강 소스를 사용합니다.
      • 프로세스. 이 옵션은 보강 블록에 없는 경우 다음을 실행합니다.
        • process.product_specific_process_id과 같은 필드를 추출합니다.
        • Process 아래의 모든 항목을 포함하는 필드를 보강합니다.
        • EDR 로그 (예: CrowdStrike 또는 SentinelOne에서 가져옴)와 같은 보강 소스를 사용합니다.
      • 사용자. 이 옵션이 보강 블록에 없으면 다음을 수행합니다.
        • user.email_addresses, user.userid, user.windows_sid, user.employee_id, user.product_object_id과 같은 필드를 추출합니다.
        • User 아래에 있는 모든 항목을 포함하는 필드를 보강합니다.
        • 사용자 컨텍스트 로그 (예: Workday 또는 Windows AD에서 가져옴)와 같은 보강 소스를 사용합니다.

    2. 타겟 로그 유형 목록에서 필요한 옵션을 선택합니다. 이 옵션은 선택한 강화 유형에 따라 달라집니다. 예를 들어 모든 유형, Windows_Sysmon, CB_EDR, BRO_JSON 등의 옵션이 있습니다.

    3. 소스 목록에서 필요한 옵션을 선택합니다. 사용 가능한 옵션은 선택한 타겟 로그 유형에 따라 다릅니다. 예를 들어 모든 유형, INFOBLOX_DHCP, WINDOWS_AD, VIRUSTOTAL_FILE_METADATA 등의 옵션이 있습니다.

  3. 블록 사용 설정을 클릭하여 블록 사용 설정 대화상자를 열고 이전 단계의 구성을 표시합니다.

  4. 선택사항: 차단 이유 필드에 풍부한 정보 차단 이유를 입력합니다.

  5. 정보를 검토한 후 차단 사용 설정을 클릭합니다. 사용 설정된 블록 표에는 사용 설정된 풍부한 정보 블록의 행이 표시됩니다.

    약 5~10분이 지나면 Google SecOps는 현재 날짜 UTC 0시 0분 0초부터 향후에 대해 보강 블록 (즉, 연결된 모든 보강 필드를 보강 해제)을 구현합니다. 이 시간이 지난 후에는 결과가 예상대로인지 확인하는 것이 좋습니다.

강화 블록 사용 중지

강화 블록을 사용 중지하려면 다음 단계를 따르세요.

  1. 설정 > 강화 블록으로 이동합니다.
  2. 사용 설정된 블록 탭에서 풍부한 정보 블록을 찾아 해당 행에서 더보기를 클릭하고 블록 사용 중지를 선택합니다. 확인 대화상자가 열립니다.

  3. 정보를 검토하고 차단 사용 중지를 클릭합니다. 사용 중지된 블록 표에 사용 중지된 강화 블록의 행이 표시되고 사용 설정된 블록 표에서 해당 행이 삭제됩니다.

    약 5~10분이 지나면 Google SecOps에서 현재 날짜의 0:00:00(UTC)부터 앞으로의 모든 연결된 필드를 다시 보강합니다. 이 시간이 지난 후에는 결과가 예상대로인지 확인하는 것이 좋습니다.

보강 차단 다시 사용 설정

보강 차단을 다시 사용 설정하려면 다음 단계를 따르세요.

  1. 설정 > 강화 블록으로 이동합니다.
  2. 사용 중지된 블록 탭에서 풍부한 정보 블록을 찾아 해당 행에서 더보기를 클릭하고 블록 사용 설정을 선택합니다. 확인 대화상자가 열립니다.

  3. 정보를 검토하고 차단 사용 설정을 클릭합니다. 사용 설정된 블록 표에 다시 사용 설정된 강화 블록의 행이 표시되고 사용 중지된 블록 표에서 해당 행이 삭제됩니다.

    약 5~10분이 지나면 Google SecOps는 현재 날짜 UTC 0시 0분 0초부터 향후에 대해 보강 블록 (즉, 연결된 모든 보강 필드를 보강 해제)을 구현합니다. 이 시간이 지난 후에는 결과가 예상대로인지 확인하는 것이 좋습니다.

강화 블록의 워크플로 예시

이 워크플로는 원치 않는 데이터 덮어쓰기로 인해 잘못 트리거된 규칙을 해결하기 위해 보강 블록을 사용하는 방법을 보여줍니다.

  1. 규칙 검증: 알림을 받고 잘못 트리거되었음을 확인합니다. 규칙 로직이 올바르며 규칙 제외 대상이 아님을 확인합니다.
  2. 로그 소스 식별: 알림을 검토한 결과 CrowdStrike 로그에 의해 트리거 조건이 충족되었음을 알게 됩니다.

  3. 보강 소스 조사: 이벤트 뷰어를 사용하여 중요한 필드를 수정한 외부 소스를 식별합니다. 다음 단계에서는 이벤트 뷰어를 여는 한 가지 방법을 보여줍니다 (다른 방법도 있음).

    1. Google SecOps 콘솔에서 감지 > 알림 및 IOC로 이동합니다.
    2. 잘못 트리거된 감지를 선택하고 이벤트로 드릴다운합니다.
    3. 이벤트 타임스탬프를 클릭하여 이벤트 뷰어를 엽니다. 이벤트 필드이 기본적으로 표시됩니다. 각 풍부한 필드는 E로 식별되며 노드를 펼치면 풍부한 소스가 표시됩니다.
    4. 이벤트 필드 탭에서 문제가 있는 풍부한 필드의 노드를 펼쳐 소스를 확인합니다. 알림을 트리거한 필드가 Okta에 의해 보강되었음을 알게 됩니다.

  4. 강화 블록 만들기 및 사용 설정: CrowdStrike 로그에서 Okta의 User 데이터를 강화 소스로 사용 중지하는 강화 블록을 만들고 사용 설정합니다.

  5. 해결 확인: 풍부한 정보 블록이 적용될 때까지 5~10분 정도 기다린 후 알림이 더 이상 잘못 트리거되지 않는지 확인합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.