이 페이지는 Cloud Translation API를 통해 번역되었습니다.

검색 및 대시보드에서 중복 제거 사용

다음에서 지원:

Google SecOps SIEM

이 문서에서는 Google Security Operations에서 데이터를 검색할 때 발생하는 상황을 설명합니다. 결과에 중복 항목이 포함될 수 있습니다. 이는 엔터프라이즈 인프라에서 여러 시스템의 동일한 이벤트에 대한 로그를 생성하기 때문에 발생하는 경우가 많습니다. 예를 들어 인증 시스템과 보안 시스템 모두 단일 로그인 이벤트를 로깅할 수 있습니다.

중복 결과를 줄이려면 YARA-L 구문의 dedup 섹션에서 UDM 필드를 사용하세요. 이 섹션에 UDM 필드를 추가하여 값의 고유한 조합마다 단일 결과를 반환합니다. .

쿼리의 중복 삭제

중복 제거는 다음과 같은 유형의 검색 및 대시보드 쿼리에 적용됩니다.

집계된 검색어: match, match 및 outcome 또는 aggregated outcome 섹션이 포함됩니다. 중복 삭제는 결과가 결정된 후에 발생합니다.

집계된 검색어의 경우 dedup 섹션에 다음 필드를 포함합니다.
- match 섹션의 필드
- outcome 섹션의 필드
UDM 검색어: match, outcome 또는 aggregated outcome 섹션을 제외합니다. 집계가 없고 match 섹션이 없는 경우 UDM 검색어에 outcome 섹션을 포함할 수 있습니다.

UDM 쿼리의 경우 dedup 섹션에 다음 필드를 추가합니다.
- 반복되지 않고, 배열이 아니며, 그룹화되지 않은 이벤트 필드
- events 섹션의 자리표시자 필드
- outcome 섹션의 결과 변수

Google 검색의 중복 삭제 예

이 섹션에서는 YARA-L 구문을 보여주며 검색에서 실행할 수 있습니다.

예: 고유 IP 주소의 간단한 검색

다음 예시 검색에서는 기업 내 고유 IP 주소 (principal.ip)가 기업 외부의 고유 외부 IP 주소 (target.ip)에 연결되는 이벤트 간의 네트워크 연결을 표시합니다. 이벤트는 principal.ip를 기준으로 중복이 삭제됩니다.

events:
   metadata.event_type = "NETWORK_CONNECTION"
   target.ip != ""
   principal.ip != ""
match:
   target.ip, principal.ip
dedup:
   principal.ip

예: 고유 IP 주소

이전 예와 마찬가지로 다음 예 검색에서는 고유 IP 주소가 있는 네트워크 연결 이벤트를 표시합니다. dedup를 principal.ip에 적용하면 결과가 고유 IP와 연결된 이벤트로 좁혀집니다. outcome 섹션에는 principal.ip와 target.ip 사이에 전송된 총 바이트가 표시되며, 트래픽 볼륨이 가장 높은 결과부터 가장 낮은 결과 순으로 정렬됩니다.

events:
   metadata.event_type = "NETWORK_CONNECTION"
   target.ip != ""
   principal.ip != ""
match:
   target.ip, principal.ip
outcome:
   $total_bytes = sum(network.sent_bytes)
dedup:
   principal.ip
order:
   $total_bytes desc

예: 고유 호스트 이름에 대한 간단한 검색

다음 예에서는 기업에서 액세스한 각 고유 호스트 이름을 검색합니다. dedup를 target.hostname에 적용하면 결과가 고유한 외부 호스트 이름과 연결된 이벤트로 좁혀집니다.

metadata.log_type != ""
dedup:
    target.hostname

다음은 dedup 옵션이 없는 동일한 예입니다. 일반적으로 훨씬 더 많은 이벤트를 반환합니다.

metadata.log_type != "" AND target.hostname != ""

예: 고유한 호스트 이름

이전 예와 마찬가지로 이 검색에서는 고유한 호스트 이름이 있는 네트워크 연결 이벤트를 표시합니다. dedup 옵션을 principal.hostname에 적용하면 결과가 고유 호스트와 연결된 이벤트로 좁혀집니다.

events:
   metadata.event_type = "NETWORK_CONNECTION"
   target.hostname != ""
   principal.hostname != ""
match:
   target.hostname, principal.hostname
outcome:
   $total_bytes = sum(network.sent_bytes)
dedup:
   principal.hostname
order:
   $total_bytes desc

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.