복합 감지 개요

다음에서 지원:

이 문서에서는 복합 감지와 복합 감지를 통해 여러 규칙의 출력을 상관시켜 위협 감지 워크플로를 개선하는 방법을 소개합니다.

복합 감지는 복합 규칙을 사용합니다. 복합 규칙은 이벤트, 측정항목 또는 항목 위험 신호와 결합된 다른 규칙의 출력(감지)을 전부 또는 일부 사용합니다. 이러한 규칙은 개별 규칙에서 놓칠 수 있는 복잡한 다단계 위협을 감지합니다.

복합 감지를 사용하면 정의된 규칙 상호작용 및 트리거를 통해 이벤트를 분석하는 데 도움이 됩니다. 이를 통해 정확성을 개선하고 거짓양성을 줄이며 다양한 소스와 공격 단계의 데이터를 상관시켜 보안 위협을 포괄적으로 파악할 수 있습니다.

다음 개념은 복합 규칙의 구성 요소를 정의하고 감지 워크플로 내에서 작동하는 방식을 명확히 하는 데 도움이 됩니다.

복합 규칙: 선택적 이벤트, 측정항목 또는 항목 위험과 함께 감지 또는 알림을 입력으로 사용합니다. 이러한 규칙에는 항상 match 섹션이 있어야 하며 입력 규칙의 meta 필드, match 라벨, outcome 변수를 참조할 수 있습니다.

감지 전용 규칙: 감지 또는 알림만 입력으로 사용하는 복합 규칙입니다.

복합 규칙의 입력 소스

복합 규칙은 이전에 실행된 규칙의 출력을 저장하는 입력 유형으로 컬렉션의 데이터를 처리합니다.

제한사항

복합 감지를 설계하고 구현할 때는 다음 제한사항을 고려하세요.

  • 복합 규칙: Google Security Operations는 복합 규칙의 최대 깊이를 10으로 지원합니다. 깊이는 기본 규칙에서 최종 복합 규칙까지의 규칙 수입니다.

  • 감지 전용 규칙: 최대 일치 기간은 14일입니다. 단, 다음 사항이 적용됩니다.

    • 규칙에서 처리된 이벤트, 항목 그래프 데이터 또는 참조 목록을 사용하는 경우 일치 기간은 48시간으로 제한됩니다.
    • 감지 전용 규칙에는 규칙당 일일 감지 한도인 10,000개의 감지가 적용됩니다.

  • 결과 변수: 각 규칙은 최대 20개의 결과 변수로 제한됩니다. 또한 반복되는 각 결과 변수는 25개의 값으로 제한됩니다.

  • 이벤트 샘플: 규칙의 이벤트 변수당 10개의 이벤트 샘플만 저장됩니다 (예: $e1의 경우 10개, $e2의 경우 10개).

감지 한도에 관한 자세한 내용은 감지 한도를 참고하세요.

복합 감지 작동 방식

단일 이벤트 또는 여러 이벤트 규칙이 사전 정의된 조건을 충족하면 감지가 생성됩니다. 이러한 감지에는 선택적으로 특정 데이터 또는 이벤트 상태를 캡처하는 결과 변수가 포함될 수 있습니다.

복합 규칙은 다른 규칙의 이러한 감지를 입력의 일부로 사용합니다. 평가는 처음에 감지를 생성하는 규칙의 다음 요소를 기반으로 할 수 있습니다.

  • 규칙의 meta 섹션에 정의된 콘텐츠
  • 결과 변수의 규칙에 의해 설정된 상태 또는 데이터 속성
  • 원래 감지의 필드

이 평가를 기반으로 복합 규칙은 알림을 트리거하고 새 상태 정보를 기록할 수 있습니다. 이를 통해 여러 감지에서 여러 요인을 상관시켜 복잡한 위협을 식별할 수 있습니다.

자세한 내용은 복합 규칙 구문예시를 참고하세요.

권장사항

복합 규칙을 빌드할 때는 다음 권장사항을 따르는 것이 좋습니다.

지연 시간 최적화

감지 파이프라인의 지연 시간을 최소화하려면 단일 이벤트 규칙으로 규칙 시퀀스를 시작한 다음 복합 규칙을 시작하세요. 단일 이벤트 규칙은 멀티 이벤트 규칙보다 실행 속도와 빈도가 높으므로 복합 규칙의 전반적인 지연 시간을 줄이는 데 도움이 됩니다.

결과 변수, 메타 라벨, 일치 변수 사용

결과 변수, meta 라벨, match 변수를 사용하여 복합 규칙에서 감지를 결합하는 것이 좋습니다. 이러한 메서드는 입력 감지에서 이벤트 샘플이나 참조를 사용하는 것보다 다음과 같은 이점을 제공합니다.

  • 안정성 개선: 특히 감지에 많은 기여 이벤트가 포함된 경우 더 확정적이면서도 안정적인 결과를 제공합니다.

  • 구조화된 데이터 추출: 이벤트에서 특정 필드와 데이터 포인트를 추출하여 이벤트 데이터를 구성하기 위한 구조화된 시스템을 만들 수 있습니다.

  • 유연한 상관 분석: meta 라벨을 사용하면 규칙을 분류하고, 그에 따라 규칙에서 생성된 감지를 분류하여 감지를 더 유연하게 결합할 수 있습니다. 예를 들어 여러 규칙이 동일한 meta 라벨 tactic: exfiltration을 공유하는 경우 tactic 라벨의 값이 exfiltration인 모든 감지를 타겟팅하는 복합 규칙을 만들 수 있습니다.

다음 단계

복합 감지 규칙을 빌드하는 방법에 대한 자세한 내용은 복합 감지 규칙을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.