알림 그룹화 구성

다음에서 지원:

알림 그룹화 메커니즘은 알림을 케이스로 그룹화하여 보안 분석가에게 문제를 효과적으로 해결할 수 있는 더 나은 컨텍스트를 제공합니다. 목표는 보안 알림에 추가 컨텍스트의 중요성을 강조하고 분석가가 적절한 컨텍스트 없이 동일한 인시던트를 조사하여 시간을 낭비하거나 인시던트를 잘못 처리하는 상황을 방지하는 것입니다.

SOAR 설정 > 고급 > 알림 그룹화에서 알림 그룹화 메커니즘을 구성할 수 있습니다.

일반 섹션에는 교차 플랫폼 설정이 포함됩니다.

  • 케이스로 그룹화되는 최대 알림 수: 하나의 케이스로 그룹화할 최대 알림 수를 정의합니다 (30). 최대 수에 도달하면 새 케이스가 시작됩니다.
  • 알림 그룹화 기간 (단위: 시간): 케이스의 알림을 그룹화할 시간 수를 설정합니다 (0.5~24시간, 30분 간격). 소스 그룹화 식별자로 그룹화된 규칙에는 적용되지 않습니다.
  • 동일한 케이스의 항목 및 소스 그룹화 식별자 그룹화: 사용 설정된 경우 그룹화 규칙에 따라 소스 그룹화 식별자로 그룹화해야 하는 알림은 먼저 동일한 소스 그룹화 식별자가 있는 알림을 찾고, 찾지 못하면 상호 항목이 있는 시스템의 모든 케이스를 찾아 그에 따라 알림을 그룹화합니다 (크로스 플랫폼 기간에 따라). 소스 그룹화 식별자 알림 그룹화는 sourceGroupIdentifiermaxAlertsInCase만을 기반으로 합니다. 기간을 사용하지 않습니다.

규칙

규칙 섹션에서는 다양한 그룹화 옵션을 타겟팅하는 구체적인 규칙을 만들 수 있습니다.

그룹화 예시

알림 그룹화 메커니즘을 사용하면 케이스로 그룹화되는 정확한 유형의 알림을 제어하는 그룹화 규칙을 만들 수 있습니다. 그룹화의 기본 예로, 대상 호스트가 10.1.1.13C&C 트래픽 알림이 오전 10시에 멀웨어 발견이라는 케이스에 추가됩니다.

동일한 대상 호스트를 사용하는 또 다른 알림인 사용자 계정 변경됨이 오전 11시에 표시됩니다. Google Security Operations는 두 알림에 모두 포함된 동일한 엔티티를 식별하고 구성된 기간 내에 두 번째 알림을 멀웨어 발견됨 케이스로 그룹화합니다.

규칙 계층 구조

규칙은 계층적 시스템에서 작동하며, 각 수신 알림은 다음 순서로 규칙과 일치합니다.

  1. 알림 유형: 예를 들어 피싱 알림입니다.
  2. 제품: 예를 들어 Cybereason EDR입니다.
  3. 데이터 소스: 예: Arcsight SIEM
  4. 대체 규칙: 알림 유형, 제품 또는 데이터 소스와 일치하는 항목이 없는 경우 사용됩니다.

규칙이 일치하면 시스템에서 확인을 중지합니다. 알림이 규칙과 일치하고 그룹화할 기존 케이스가 없으면 새 케이스에 추가됩니다. 동일한 값에 대해 동일한 계층 구조에 두 개의 규칙을 만들 수 없습니다. 예를 들어 데이터 소스 - ArcSight에는 규칙이 하나만 있을 수 있습니다.

대체 규칙

플랫폼에 삭제할 수 없는 사전 빌드 규칙이 있습니다. 이 대체 규칙은 사례에서 항상 그룹화되도록 알림에 대한 일반적인 기타를 제공합니다. 하지만 다음 옵션은 수정할 수 있습니다.

  • 그룹화 기준: 엔티티 또는 소스 그룹화 식별자 (원래 시스템에서 기존 그룹 ID가 연결된 알림의 경우) 중에서 선택합니다. 예를 들어 QRadar 알림에는 offense라는 식별자가 있으며, 이는 QRadar에서 속한 그룹 ID입니다.)
  • 항목 그룹화 (방향별): 항목에만 관련됩니다.

그룹화 안함 규칙

그룹화 안 함 규칙을 사용하면 알림을 독립적으로 처리할 수 있습니다(다른 알림과 함께 케이스로 그룹화되지 않음). 이는 다른 케이스와 연결되지 않고 특정 알림을 독립적으로 조사해야 하는 경우에 유용합니다.

알림 그룹화에서 특정 항목을 제외하는 방법에 대한 자세한 내용은 알림에서 항목을 제외하는 차단 목록 만들기를 참고하세요.

규칙에서 엔티티 그룹화를 사용하는 경우 알림이 함께 그룹화되려면 일치하는 엔티티가 하나만 있으면 됩니다.

예를 들어 그룹화 규칙은 다음 항목을 지정합니다.

  • 소스 IP
  • 대상 IP
  • 사용자 이름

알림이 이러한 항목 중 하나와 일치하면 다른 항목이 일치하지 않더라도 해당 항목이 포함된 기존 케이스와 그룹화됩니다.

다음 두 가지 알림을 고려하세요.

  • 알림 1:
    소스 IP 주소: 192.168.1.10
    대상 IP 주소: 10.0.0.5
    사용자 이름: user123
  • 알림 2:
    소스 IP 주소: 192.168.1.10
    대상 IP 주소: 10.0.0.6
    사용자 이름: user456

이 두 알림의 소스 IP 주소(192.168.1.10)가 동일하므로 대상 IP 주소사용자 이름이 다르더라도 동일한 케이스로 그룹화됩니다.

특정 사용 사례를 위한 규칙 만들기

다음 섹션에서는 동적이고 컨텍스트 인식 알림 그룹화 규칙을 만드는 사용 사례를 설명합니다.

사용 사례: 소스 및 항목별 알림 그룹화

두 커넥터인 Arcsight와 Cybereason EDR을 사용하는 한 기업에서 Arcsight 알림을 소스 및 대상 엔티티별로 그룹화하고 Cybereason EDR 알림을 특정 기준별로 그룹화하려고 합니다.

Arcsight 알림: 소스 및 대상 항목별로 그룹화합니다.

Cybereason EDR 피싱 알림: 소스 항목별로만 그룹화합니다.

Cybereason EDR 실패한 로그인 알림 그룹화: 대상 항목별로만 그룹화합니다.

이 사용 사례를 포착하려면 다음 규칙을 빌드하세요. Google SecOps는 최종 규칙을 대체 규칙으로 제공합니다.

규칙 1:

  • 카테고리 = 데이터 소스
  • 값 = Arcsight
  • 그룹화 기준 = 항목
  • 항목 그룹화 = 소스 및 대상

규칙 2:

  • 카테고리 = 알림 유형
  • 값 = 피싱
  • 그룹화 기준 = 항목
  • 항목 그룹화 = 소스 (SourceHostName, SourceAddress, SourceUserName)

규칙 3:

  • 카테고리 = 알림 유형
  • 값 = 로그인 실패
  • 그룹화 기준 = 항목
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

규칙 4 (대체):

  • 카테고리 = 전체
  • 값 = 모든 알림
  • 항목 그룹화 = 모든 항목

사용 사례: 적응형 그룹화 로직

MSSP에 QRadar 커넥터를 사용하는 고객이 있으며, QRadar에 표시되는 것과 동일한 방식으로 알림을 그룹화하려고 합니다. 또한 Arcsight를 사용하는 다른 고객이 있으며, 이 고객의 알림을 공통 항목별로 그룹화하려고 합니다. 단, 피싱 알림은 대상 항목별로 그룹화해야 합니다.

이 사용 사례를 포착하려면 다음 규칙을 빌드하세요.

규칙 1:

  • 카테고리 = 데이터 소스
  • 값 = QRadar
  • 그룹화 기준 = 소스 그룹화 식별자
  • Grouping Entities = (비워 두기)

규칙 2:

  • 카테고리 = 데이터 소스
  • 값 = Arcsight
  • 그룹화 기준 = 항목
  • 항목 그룹화 = 모든 항목

규칙 3:

  • 카테고리 = 알림 유형
  • 값 = 피싱
  • 그룹화 기준 = 항목
  • Grouping Entities = Destination (DestinationAddress, DestinationUserName)

규칙 4 (대체):

  • 카테고리 = 전체
  • 값 = 모든 알림
  • 항목 그룹화 = 모든 항목

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.