복합 규칙 카테고리 개요

이 문서에서는 복합 규칙 집합, 필요한 데이터 소스, 복합 규칙 집합에서 생성된 알림을 조정하기 위한 구성 옵션을 간략하게 설명합니다. 이러한 규칙 집합은 충실도가 높은 알림을 제공합니다. 이러한 수준은 모든 Google Security Operations 지원 감지 콘텐츠와 Google Cloud 엔드포인트 환경에서 심각도, 신뢰도, 위험, 우선순위를 설정합니다.

규칙 집합 설명

복합 규칙 카테고리에는 다음 규칙 집합이 포함됩니다.

• 엔드포인트 컴포지트 규칙
• 클라우드 컴포지트 규칙

엔드포인트 복합 규칙 이해

이러한 규칙은 정의된 기간 동안 동일한 엔드포인트와 관련된 여러 감지 규칙의 발견 항목을 상호 연관시킵니다. 신뢰도 및 위험 수준은 이러한 감지의 특정 특성에 따라 결정됩니다.

클라우드 복합 규칙 이해

이러한 규칙은 정의된 기간 동안 동일한Google Cloud 계정 또는 Google Cloud 리소스와 연결된 여러 감지 규칙의 발견 항목을 상호 연관시킵니다. 신뢰도 및 위험 수준은 이러한 감지의 특정 특성을 기반으로 합니다.

지원되는 기기 및 로그 유형

이러한 규칙은 주로 Cloud 감사 로그, 엔드포인트 감지 및 응답 로그, 네트워크 프록시 로그를 사용합니다. Google SecOps UDM은 이러한 로그 소스를 자동으로 정규화합니다. 다음 카테고리에는 선별된 복합 콘텐츠가 효과적으로 작동하는 데 필요한 가장 중요한 로그 소스가 간략하게 설명되어 있습니다.

엔드포인트 컴포지트 규칙 로그 소스

• Linux 위협
• MacOS 위협
• Windows 위협

Google Cloud 복합 규칙 로그 소스

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud 및 엔드포인트 규칙 로그 소스

• Applied Threat Intelligence (ATI)
• Chrome Enterprise 위협
• UEBA용 위험 분석

사용 가능한 선별된 감지의 전체 목록은 선별된 감지 사용을 참고하세요. 다른 메커니즘을 사용하여 감지 소스를 사용 설정해야 하는 경우 Google SecOps 담당자에게 문의하세요.

Google SecOps는 원시 로그를 파싱하고 정규화하여 컴포지트 및 선별된 감지 규칙 집합에 필요한 데이터로 UDM 레코드를 만드는 기본 파서를 제공합니다. Google SecOps에서 지원하는 모든 데이터 소스 목록은 지원되는 기본 파서를 참고하세요.

규칙 세트의 규칙 수정

조직의 요구사항에 맞게 규칙 세트 내 규칙의 동작을 맞춤설정할 수 있습니다. 다음 감지 모드 중 하나를 선택하여 각 규칙의 작동 방식을 조정하고 규칙에서 알림을 생성할지 여부를 구성합니다.

• 광범위: 악의적이거나 비정상적일 수 있는 동작을 감지하지만, 규칙의 일반적인 특성으로 인해 거짓양성이 더 많이 발생할 수 있습니다.

설정을 수정하려면 다음 단계를 따르세요.

1. 규칙 목록에서 수정할 각 규칙 옆에 있는 체크박스를 선택합니다.

2. 다음과 같이 규칙의 상태 및 알림 설정을 구성합니다.

   • 상태: 선택한 규칙에 모드 (정확 또는 광범위)를 적용합니다. 규칙의 상태를 모드로 활성화하려면 Enabled로 설정합니다.

   • 알림: 규칙이 알림 페이지에 알림을 생성하는지 여부를 제어합니다. 알림을 사용 설정하려면 사용으로 설정합니다.

규칙 집합의 알림 조정

규칙 제외를 사용하면 복합 규칙에서 생성되는 알림 수를 줄일 수 있습니다.

규칙 제외 항목은 특정 이벤트가 규칙 또는 규칙 집합에 의해 평가되지 않도록 하는 기준을 지정합니다. 제외를 사용하여 감지 볼륨을 줄입니다. 자세한 내용은 규칙 제외 항목 구성을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.