개요

억제 조건은 신호가 생성되지 말아야 할 조건을 뜻합니다. 이 조건을 사용해 생성되는 신호의 정확도와 관련성을 높일 수 있습니다.

억제 루트

개별 탐지 규칙 내에서 억제 쿼리를 설정하거나 별도의 억제 규칙을 정의해 하나 이상의 탐지 규칙에 신호를 억제할 수 있습니다.

탐지 규칙

탐지 규칙을 생성하거나 수정할 때 억제 쿼리를 정의해 신호가 생성되는 것을 예방할 수 있습니다. 예를 들어 탐지 규칙으로 보안 신호를 트리거하는 시기를 규칙 쿼리로 추가할 수 있습니다. 또 억제 쿼리를 사용자 지정해 특정 속성 값의 신호를 억제할 수 있습니다.

억제 규칙

개별 탐지 규칙마다 억제 조건을 설정하는 대신, 여러 탐지 규칙에 일반적인으로 적용할 수 있는 억제 조건을 사용하는 것이 좋습니다. 예를 들어 특정 IP를 포함한 신호를 억제하는 억제 규칙을 설정할 수 있습니다.

억제 구성

억제 목록

억제 목록을 사용해 여러 탐지 규칙의 억제 조건을 중앙에서 조직적으로 관리할 수 있습니다.

억제 규칙 만들기

1. 억제 페이지로 이동하세요.
2. + New Suppression을 클릭하세요.
3. 억제 쿼리 이름을 입력하세요.
4. 이 억제 조건을 적용하는 이유를 포함한 컨텍스트 설명을 추가하세요.
5. (선택 사항) 이 억제 조건이 비활성화될 만료 날짜를 추가하세요.
6. 이 억제 조건을 적용할 탐지 규칙을 선택하세요. 탐지 규칙 여러 개를 선택해도 됩니다.
7. Add Suppression Query 섹션에 특정 값일 경우 신호를 생성하지 않는 억제 쿼리를 입력하는 옵션이 있습니다. 예를 들어 사용자 john.doe가 신호를 트리거했으나 악영향이 없는 것으로 파악되어 이 사용자가 트리거하는 신호를 받고 싶지 않을 경우, 로그 쿼리에 @user.username:john.doe를 입력하면 됩니다.
   억제 규칙 쿼리는 신호 속성에 기반합니다.
8. 또한 로그 제외 쿼리를 추가하여 로그를 분석에서 제외할 수 있습니다. 이러한 쿼리는 로그 속성을 기반으로 합니다. 참고: 기존 억제 조건은 로그 제외 쿼리를 기반으로 했지만 이제 억제 규칙의 Add a suppression query 단계에 포함됩니다.

참고 자료

추가 유용한 문서, 링크 및 기사:

탐지 규칙에 대해 자세히 알아보기설명서