이 페이지는 Cloud Translation API를 통해 번역되었습니다.

복합 감지 개요

다음에서 지원:

Google SecOps SIEM

이 문서에서는 복합 감지 기능과 여러 규칙의 출력을 상호 연관시켜 위협 감지 워크플로를 개선하는 방법을 소개합니다.

컴포지트 감지는 다른 규칙의 출력(감지)을 이벤트, 측정항목 또는 엔티티 위험 신호와 결합하여 사용하는 컴포지트 규칙을 사용합니다. 이러한 규칙은 개별 규칙에서 놓칠 수 있는 복잡한 다단계 위협을 감지합니다.

컴포지트 감지를 사용하면 정의된 규칙 상호작용과 트리거를 통해 이벤트를 분석할 수 있습니다. 이를 통해 정확도가 향상되고 거짓양성이 줄어들며, 다양한 소스와 공격 단계의 데이터를 상호 연관시켜 보안 위협에 대한 포괄적인 뷰를 제공합니다.

다음 개념은 복합 규칙의 구성요소를 정의하고 감지 워크플로 내에서 작동하는 방식을 명확히 하는 데 도움이 됩니다.

복합 규칙: 감지 또는 알림을 입력으로 사용하고 선택적 이벤트, 측정항목 또는 엔티티 위험을 사용합니다. 이러한 규칙에는 항상 match 섹션이 있어야 하며 입력 규칙의 meta 필드, match 라벨, outcome 변수를 참조할 수 있습니다.

감지: 규칙의 결과입니다. 알림이라고도 합니다.

감지 전용 규칙: 감지 또는 알림만 입력으로 사용하는 복합 규칙입니다. 이러한 규칙은 항목의 위험 점수에 영향을 미치지 않습니다. 감지 전용 규칙에 설정된 위험 점수는 해당 규칙에서 생성된 감지에만 적용됩니다.

복합 감지의 이점

복합 감지에는 다음과 같은 이점이 있습니다.

다단계 공격 마스크 해제: 사이버 공격은 다면적이고 상호 연결되어 있는 경우가 많습니다. 복합 감지는 고립된 것으로 보이는 사고를 연결하여 광범위한 공격 내러티브를 보여줍니다. 예를 들어 복합 감지를 통해 초기 침해, 권한 에스컬레이션, 데이터 유출과 같은 공격의 전체 시퀀스를 식별할 수 있습니다.

알림 피로도 줄이기: 복합 규칙은 소음이 많은 알림을 통합하고 필터링하여 더 집중적인 대응을 지원합니다. 이 접근 방식은 영향이 큰 인시던트의 우선순위를 지정하고 전반적인 알림 피로도를 줄이는 데 도움이 됩니다.
감지 정확도 향상: 통합 데이터 모델 (UDM) 이벤트, 규칙 감지, 엔티티 컨텍스트, 사용자 및 엔티티 행동 분석 (UEBA) 결과, 데이터 표의 통계를 결합하여 더 정확한 감지 로직을 빌드합니다.
복잡한 로직 간소화: 복잡한 감지 시나리오를 관리 가능하고, 상호 연결되어 있으며, 재사용 가능한 규칙으로 분류하여 개발 및 유지관리 간소화

복합 규칙의 입력 소스

컴포지트 규칙은 이전에 실행된 규칙의 출력을 저장하는 컬렉션에서 데이터를 입력 유형으로 수집합니다.

제한사항

복합 감지를 설계하고 구현할 때는 다음 제한사항을 고려하세요.

복합 규칙: Google Security Operations는 복합 규칙의 최대 깊이를 10으로 지원합니다. 깊이는 기본 규칙에서 최종 복합 규칙까지의 규칙 수입니다.
감지 전용 규칙: 최대 일치 기간이 14일입니다. 단, 다음 사항이 적용됩니다.
- 규칙에서 수집된 이벤트, 항목 그래프 데이터 또는 참조 목록을 사용하는 경우 일치 기간은 48시간으로 제한됩니다.
- 감지 전용 규칙에는 규칙당 일일 감지 한도인 10,000개의 감지가 적용됩니다.
결과 변수: 각 규칙은 최대 20개의 결과 변수로 제한됩니다. 또한 반복되는 각 결과 변수는 25개 값으로 제한됩니다.
이벤트 샘플: 규칙의 이벤트 변수당 10개의 이벤트 샘플만 저장됩니다 (예: $e1에 10개, $e2에 10개).

감지 한도에 대한 자세한 내용은 감지 한도를 참고하세요.

복합 감지 작동 방식

단일 이벤트 또는 멀티 이벤트 규칙이 사전 정의된 조건을 충족하면 감지가 생성됩니다. 이러한 감지에는 특정 데이터 또는 이벤트 상태를 캡처하는 결과 변수가 선택적으로 포함될 수 있습니다.

컴포지트 규칙은 다른 규칙의 이러한 감지를 입력의 일부로 사용합니다. 평가는 감지를 처음 생성하는 규칙의 다음 요소를 기반으로 할 수 있습니다.

규칙의 meta 섹션에 정의된 콘텐츠
결과 변수의 규칙에 의해 설정된 상태 또는 데이터 속성
원래 감지의 필드

이 평가를 기반으로 복합 규칙은 알림을 트리거하고 새로운 상태 정보를 기록할 수 있습니다. 이를 통해 다양한 감지에서 여러 요인을 상호 연관시켜 복잡한 위협을 식별할 수 있습니다.

자세한 내용은 복합 규칙 구문 및 예를 참고하세요.

권장사항

복합 규칙을 빌드할 때는 다음 권장사항을 따르는 것이 좋습니다.

지연 시간 최적화

감지 파이프라인의 지연 시간을 최소화하려면 단일 이벤트 규칙으로 규칙 시퀀스를 시작한 다음 복합 규칙을 사용하세요. 단일 이벤트 규칙은 멀티 이벤트 규칙보다 실행 속도와 빈도가 높아 복합 규칙의 전체 지연 시간을 줄이는 데 도움이 됩니다.

결과 변수, 메타 라벨, 일치 변수 사용

결과 변수, meta 라벨, match 변수를 사용하여 복합 규칙에서 감지를 결합하는 것이 좋습니다. 이러한 메서드는 이벤트 샘플 또는 입력 감지의 참조를 사용하는 것보다 다음과 같은 이점을 제공합니다.

신뢰성 향상: 특히 감지에 많은 기여 이벤트가 포함된 경우 더 결정적이고 신뢰할 수 있는 결과를 제공합니다.
구조화된 데이터 추출: 이벤트에서 특정 필드와 데이터 포인트를 추출하여 이벤트 데이터를 정리하기 위한 구조화된 시스템을 만들 수 있습니다.
유연한 상관관계: meta 라벨을 사용하면 규칙과 그에 따라 생성된 감지를 분류하여 감지를 더 유연하게 결합할 수 있습니다. 예를 들어 여러 규칙이 동일한 meta 라벨 tactic: exfiltration을 공유하는 경우 tactic 라벨의 값이 exfiltration인 감지를 타겟팅하는 복합 규칙을 사용할 수 있습니다.

레트로헌트 테스트 또는 실행

복합 규칙을 테스트하거나 RetroHunt를 실행하면 시스템은 기존 감지를 사용하여 선택한 특정 규칙만 실행합니다. 전체 컴포지트를 실행하려면 시퀀스의 첫 번째 규칙에서 RetroHunt를 수동으로 시작하고 완료될 때까지 기다린 다음 다음 규칙으로 계속해야 합니다.

규칙 업데이트

하나 이상의 복합 규칙에 사용되는 규칙을 업데이트하면 시스템에서 규칙의 새 버전을 자동으로 만듭니다. 컴포지트 규칙은 새 버전을 자동으로 사용합니다. 업데이트된 규칙을 테스트하여 의도한 동작을 확인하는 것이 좋습니다.

다음 단계

복합 감지 규칙을 빌드하는 방법에 대한 자세한 내용은 복합 감지 규칙을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.