- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- Administrator's Guide
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
신호 상관관계 규칙은 여러 개의 신호를 결합하여 새로운 신호를 생성함으로써 보다 복잡한 사용 사례에 대한 알림을 생성하고 알림 피로를 줄일 수 있도록 합니다. 예를 들어 이벤트 또는 신호를 상호 연관시켜 특정 문제를 식별하거나 특정 low
심각도 신호가 특정 high
심각도 신호와 결합된 경우에만 알림을 생성할 수 있습니다.
다른 예로, 이 두 규칙을 결합하여 신호를 만들 수 있습니다:
그리고 expired account ID
속성을 사용하여 두 규칙을 상호 연관시킵니다.
로그 탐지 규칙과 로그 탐지 규칙을 클라우드 보안 관리 위협 및 애플리케이션 보안 관리 규칙과 상호 연관시킬 수 있습니다.
탐지 규칙으로 이동한 후 + 새 규칙을 클릭합니다. 규칙 유형 선택 섹션에서 신호 상관관계를 클릭합니다.
규칙 a에 대한 규칙을 선택합니다. 연필 아이콘을 클릭하여 규칙의 이름을 바꿉니다. 상관관계 기준 드롭다운을 사용하여 상관관계가 있는 속성을 정의합니다. 여러 속성(최대 3개)을 선택하여 선택한 규칙을 연관시킬 수 있습니다. 슬라이딩 창에 대한 자세한 내용은 시간 윈도우즈(Windows)을 참조하세요.
두 번째 규칙 편집기의 드롭다운에서 규칙 b에 대한 규칙을 선택합니다. 연필 아이콘을 클릭하여 규칙의 이름을 바꿉니다. 속성 및 슬라이딩 창 시간 프레임은 규칙 a에 대해 선택한 것으로 설정됩니다.
규칙 케이스는 사례 문으로 평가됩니다. 따라서 일치하는 첫 번째 사례가 신호를 생성합니다. 규칙 사례의 예는a > 3
, 여기서 a
은 규칙 이름입니다. 규칙 케이스를 클릭하고 드래그하여 순서를 조작할 수 있습니다.
규칙 케이스에는 이전에 정의된 쿼리의 이벤트 개수 에 따라 신호를 생성할지 여부를 결정하는 논리 연산(>, >=, &&, ||
)이 포함되어 있습니다. 이 섹션에서는 ASCII 소문자 규칙 이름을 참조합니다.
참조: 쿼리 라벨은 연산자보다 선행해야 합니다. 예를 들어, a > 3
는 사용할 수 있지만 3 < a
는 허용되지 않습니다.
각 규칙 사례에 대해 이름(예: “사례 1”)을 입력합니다. 이 이름은 신호가 생성될 때 규칙 이름에 추가됩니다.
Set severity to 드롭다운 메뉴에서 적절한 심각도 수준(INFO
, LOW
, MEDIUM
, HIGH
, CRITICAL
)을 선택합니다.
필요시 Notify 섹션에서 각 규칙 사례에 대해 알림 대상을 설정합니다.
개별 탐지 규칙에 대한 알림 기본 설정을 수동으로 편집하지 않으려면 알림 규칙을 생성할 수도 있습니다.
An evaluation window
is specified to match when at least one of the cases matches true. This is a sliding window and evaluates cases in real time.
After a signal is generated, the signal remains “open” if a case is matched at least once within the keep alive
window. Each time a new event matches any of the cases, the last updated timestamp is updated for the signal.
A signal closes once the time exceeds the maximum signal duration
, regardless of the query being matched. This time is calculated from the first seen timestamp.
사례를 추가하려면 사례 추가를 클릭합니다.
참조: evaluation window
는 keep alive
및 maximum signal duration
이하여야 합니다.
Add a Rule name to configure the rule name that appears in the detection rules list view and the title of the Security Signal.
In the Rule message section, use notification variables and Markdown to customize the notifications sent when a signal is generated. Specifically, use template variables in the notification to inject dynamic context from triggered logs directly into a security signal and its associated notifications. See the Notification Variables documentation for more information and examples.
사용 태그 결과 신호 드롭다운 메뉴를 사용하여 태그 을 신호에 추가합니다. 예: security:attack
또는 technique:T1110-brute-force
.
참조: security
태그는 특수합니다. 이 태그는 보안 시그널 분류에 사용됩니다. attack
, threat-intel
, compliance
, anomaly
, data-leak
등 다른 태그를 사용하시길 권장합니다.
추가 유용한 문서, 링크 및 기사: