이용 가능:
Cloud SIEM
|
CSM 위협
|
앱 및 API 보호
개요
억제 조건은 신호가 생성되지 말아야 할 조건을 뜻합니다. 이 조건을 사용해 생성되는 신호의 정확도와 관련성을 높일 수 있습니다.
억제 루트
개별 탐지 규칙 내에서 억제 쿼리를 설정하거나 별도의 억제 규칙을 정의해 하나 이상의 탐지 규칙에 신호를 억제할 수 있습니다.
탐지 규칙
탐지 규칙을 생성하거나 수정할 때 억제 쿼리를 정의해 신호가 생성되는 것을 예방할 수 있습니다. 예를 들어 탐지 규칙으로 보안 신호를 트리거하는 시기를 규칙 쿼리로 추가할 수 있습니다. 또 억제 쿼리를 사용자 지정해 특정 속성 값의 신호를 억제할 수 있습니다.
억제 규칙
개별 탐지 규칙마다 억제 조건을 설정하는 대신, 여러 탐지 규칙에 일반적인으로 적용할 수 있는 억제 조건을 사용하는 것이 좋습니다. 예를 들어 특정 IP를 포함한 신호를 억제하는 억제 규칙을 설정할 수 있습니다.
억제 구성
억제 목록
억제 목록을 사용해 여러 탐지 규칙의 억제 조건을 중앙에서 조직적으로 관리할 수 있습니다.
억제 규칙 만들기
- 억제 페이지로 이동하세요.
- + New Suppression을 클릭하세요.
- 억제 쿼리 이름을 입력하세요.
- 이 억제 조건을 적용하는 이유를 포함한 컨텍스트 설명을 추가하세요.
- (선택 사항) 이 억제 조건이 비활성화될 만료 날짜를 추가하세요.
- 이 억제 조건을 적용할 탐지 규칙을 선택하세요. 탐지 규칙 여러 개를 선택해도 됩니다.
- Add Suppression Query 섹션에 특정 값일 경우 신호를 생성하지 않는 억제 쿼리를 입력하는 옵션이 있습니다. 예를 들어 사용자
john.doe
가 신호를 트리거했으나 악영향이 없는 것으로 파악되어 이 사용자가 트리거하는 신호를 받고 싶지 않을 경우, 로그 쿼리에 @user.username:john.doe
를 입력하면 됩니다.억제 규칙 쿼리는 신호 속성에 기반합니다. - 또한 로그 제외 쿼리를 추가하여 로그를 분석에서 제외할 수 있습니다. 이러한 쿼리는 로그 속성을 기반으로 합니다. 참고: 기존 억제 조건은 로그 제외 쿼리를 기반으로 했지만 이제 억제 규칙의 Add a suppression query 단계에 포함됩니다.
참고 자료