알림 억제 구성

이 문서에서는 Google Security Operations에서 과도한 알림을 억제하고 중요한 위협의 우선순위를 지정하는 데 사용할 수 있는 메커니즘을 설명합니다. 알림 억제는 사전 정의된 기준에 따라 중복되고 가치가 낮은 알림을 자동으로 필터링합니다. 이 억제를 통해 SOC 팀은 우선순위가 높은 보안 사고에 집중할 수 있습니다.

알림 억제를 사용하여 동일한 기본 활동에서 발생하는 중복 알림, 잘못 구성된 시스템으로 인한 거짓양성, 알려진 양성 활동에서 트리거되는 광범위한 규칙 로직, 계획된 유지관리 기간과 같은 다양한 트리거에서 생성되는 볼륨을 관리할 수 있습니다.

Google SecOps는 알림 볼륨을 관리하기 위해 다음과 같은 방법을 제공합니다.

• 스로틀링: 초기 알림이 트리거된 후 정의된 시간 (예: 1시간) 동안 동일한 활동의 반복적인 감지를 억제합니다.

• 제외: 제외는 알림을 트리거하기 전에 일치 항목을 필터링하여 특정 감지를 방지합니다. 규칙 논리를 충족하지만 제외 기준을 충족하지 않는 이벤트는 일반적으로 감지를 트리거합니다.

• SOAR 플레이북: IP 주소 또는 호스트 이름과 같은 특정 엔티티 조회를 기반으로 시간 제한 알림 억제를 제공합니다.

• SOAR 알림 그룹화: 조사 과정을 간소화하기 위해 기준에 따라 유사한 알림을 단일 케이스로 자동 클러스터링합니다.

제한을 통해 알림 억제

제한은 초기 규칙 일치 후 지정된 기간 동안 감지를 억제합니다. 규칙 로직에서 suppression_window 및 suppression_key 옵션을 사용하면 시스템은 차단 키의 첫 번째 고유한 조합에 대해서만 감지를 생성합니다. 정의된 기간이 만료될 때까지 Google SecOps는 동일한 조합에 대한 후속 일치를 모두 억제합니다.

이 방법은 동일한 기본 활동으로 인해 발생하는 중복 감지를 효과적으로 줄여줍니다.

사용 사례

• PowerShell 실행: 초기 이벤트 후 1시간 동안 동일한 사용자 및 호스트에 대한 반복적인 알림을 억제합니다.

• 네트워크 스캔: 악성 포트 스캐너에서 반복되는 알림을 첫 감지 후 6시간 동안 억제합니다.

노이즈가 많은 규칙 모니터링

노이즈가 많은 규칙을 식별하려면 다음을 수행하세요.

1. Google SecOps에 로그인합니다.

2. 메뉴를 클릭하고 감지 > 규칙 및 감지를 선택합니다.

3. 규칙 편집기 탭에서 규칙을 선택하고 테스트를 클릭합니다.

4. 기간 선택기를 조정하여 지난 7일간의 데이터를 분석합니다. 규칙에서 매일 100개가 넘는 감지를 생성하는 경우 규칙이 너무 광범위할 수 있습니다.

5. more_vert 메뉴를 클릭하고 규칙 감지 보기를 클릭합니다. 감지 세부정보 페이지가 표시됩니다.

6. 절차적 필터링 패널에서 기여 UDM 필드를 식별합니다.

7. match 섹션 또는 $suppressi_key를 수정하여 감지 볼륨을 줄입니다.

예: 위치별 고유 로그인 식별

알림 피로를 방지하면서 위치별로 고유한 로그인을 식별하려면 동일한 주에서의 감지를 억제하면 됩니다. UDM 필드 event.principal.location.state를 찾아 상태별 감지 수를 확인합니다.

특정 상태의 개수가 지나치게 높으면 해당 필드를 suppression 또는 match 키에 추가합니다. 이렇게 하면 시스템에서 고유한 로그인 위치마다 하나의 감지만 실행합니다.

감지 제한 구성

스로틀링은 초기 알림이 트리거된 후 지정된 기간 동안 감지를 억제합니다. 중복 감지를 제한하려면 규칙의 options 섹션에 suppression_window를 추가하세요. 다음 가이드라인이 적용됩니다.

• 단일 이벤트 규칙: outcome 섹션에서 $suppression_key 변수를 정의하여 중복 삭제 키로 사용합니다.

• 멀티 이벤트 규칙: match 섹션의 변수를 중복 삭제 키로 사용합니다.

• 기간: suppression_window이 match 기간보다 크거나 같아야 합니다. 동일한 기간으로 설정하면 규칙이 억제가 적용되지 않은 것처럼 작동합니다.

• 한도: 차단 기간에는 최대 한도가 없습니다.

• 호환성: 스로틀링은 단일 및 다중 이벤트 규칙과 맞춤 규칙 및 선별된 규칙 모두에 적용됩니다.

예: Windows 파일 공유 활동 모니터링

다음 규칙은 Windows 파일 공유 활동을 모니터링합니다. 60분 (1hr) 기간 내에 순 사용자 및 호스트 이름별로 하나의 감지를 생성한 다음 동일한 조합에 대한 반복적인 일치를 24시간 (24h) 동안 억제합니다.

rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

이 구성을 사용하면 분석가가 억제 기간 동안 동일한 사용자 및 호스트에 대한 중복 알림을 처리하지 않고 초기 활동을 조사할 수 있습니다.

규칙 제외를 사용하여 알림 억제

제외는 알림을 트리거하기 전에 일치 항목을 필터링하여 특정 감지를 방지합니다. 일치하는 항목이 제외 논리를 충족하면 시스템에서 감지를 억제합니다. 규칙 로직을 충족하지만 제외 기준을 충족하지 않는 이벤트는 계속해서 정상적으로 감지를 트리거합니다. 적용된 제외는 수동으로 사용 중지할 때까지 활성 상태로 유지됩니다.

규칙 및 감지 페이지의 제외 탭에서 전체 제외 목록과 관련 메타데이터를 확인, 관리, 감사할 수 있습니다. 테스트 제외 기능을 사용하여 특정 필터를 적용하기 전에 감지량에 미치는 영향을 평가할 수도 있습니다.

API를 사용하여 제외를 만들려면 API를 사용하여 규칙 제외 관리를 참고하세요.

사용 사례

• 승인된 IT 도구에 의한 합법적인 PowerShell 실행을 억제합니다.

• 대량 포트 스캔을 실행하는 내부 취약점 스캐너를 제외합니다.

규칙 제외 만들기

과도한 알림을 유발하는 규칙에 대한 예외를 만들려면 다음 단계를 따르세요.

1. Google SecOps에 로그인합니다.

2. 메뉴 > 감지 > 규칙 및 감지로 이동합니다.

3. 규칙 대시보드 탭에서 감지 수가 많은 규칙을 찾습니다.

4. 규칙 이름을 클릭하여 감지 페이지를 엽니다.

5. 규칙 옵션 > 제외를 클릭합니다.

6. 제외 필터를 추가하려면 다음 세부정보를 지정하세요.

   • 제외 이름

   • 적용되는 규칙 또는 규칙 세트

   • 지정된 조건이 충족될 때 감지를 억제하는 제외 기준입니다. 여러 조건을 추가하려면 다음 가이드라인을 따르세요.

     1. 논리 OR 관계를 만들려면 Enter 키를 사용하여 단일 행에 여러 값을 입력합니다.

        예를 들면 principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2입니다.

     2. + 조건문을 클릭하여 이전 문과 논리적 AND 관계가 있는 새 문을 추가합니다.

        예를 들면 (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)입니다.

7. 선택사항: 제외 테스트를 클릭하여 필터가 지난 30일 동안 감소한 감지를 어떻게 측정하는지 확인합니다. 결과에 따라 기준을 조정합니다.

8. 만들기를 클릭하여 제외를 활성화합니다.

규칙 제외 관리

제외를 관리하려면 다음 단계를 따르세요.

1. Google SecOps에 로그인합니다.

2. 메뉴 > 감지 > 규칙 및 감지로 이동합니다.

3. 제외 탭으로 이동하여 제외 목록을 확인합니다. 다음 작업을 실행할 수 있습니다.

   • 제외를 사용 설정 또는 사용 중지하려면 사용 설정됨 전환 버튼을 전환합니다.

   • 제외를 필터링하려면 filter_alt필터를 클릭합니다.

   • 제외를 수정하려면 more_vert 메뉴 > 수정을 클릭합니다.

   • 제외를 보관처리하려면 more_vert 메뉴 > 보관처리를 클릭합니다.

   • 제외 항목을 복원하려면 more_vert 메뉴 > 보관 취소를 클릭합니다.

API를 사용하여 규칙 제외를 만들고 관리하려면 API를 통한 규칙 제외 관리를 참고하세요.

제한사항

제외를 구성할 때는 콘솔과 API 간의 기능 차이점을 참고하세요.

• 규칙 범위: 콘솔에서는 여러 선별된 규칙에 동시에 제외를 적용할 수 있지만 한 번에 하나의 맞춤 규칙에만 적용할 수 있습니다.

• 결과 변수: 결과 변수를 기반으로 하는 로직을 사용하는 제외를 만들려면 API를 사용해야 합니다.

SOAR 플레이북을 통해 알림 억제

SOAR 플레이북을 사용하면 특정 조회 기준에 따라 중복 알림을 식별하고 억제할 수 있습니다. 플레이북은 사전 정의된 만료 시간까지 알림을 표시하지 않으며, 만료 시간이 지나면 테이블에서 알림을 자동으로 삭제합니다. 분석가는 이 방법을 사용하여 설정된 기간 동안 IP 주소 또는 호스트 이름과 같은 특정 항목에 대한 알림을 표시하지 않습니다.

다른 방법과 달리 이 메커니즘은 이전 데이터를 추적하고 케이스 세부정보 내에서 차단 작업의 명시적인 감사 추적을 제공합니다.

사용 사례

초기 알림 후 의심스러운 IP 주소에서 수신되는 연결 요청에 대한 후속 알림을 억제하면서 억제 감사 추적을 유지합니다.

SOAR에서 알림 그룹화

경고 그룹화는 정의된 기준에 따라 24시간 내에 생성된 유사한 경고를 자동으로 클러스터링합니다. 시스템은 그룹화된 알림을 조사할 수 있도록 단일 케이스로 통합합니다.

자세한 내용은 알림 그룹화 메커니즘을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.