감지 규칙
탐지 규칙을 사용하면 위협 탐지를 처리하는 방법을 지정할 수 있습니다.
이 기능을 사용하려면 슈퍼 관리자여야 합니다.
참고
현재는 탐지 규칙을 사용하여 원치 않는 탐지를 억제할 수만 있습니다.
감지 기능 억제
오탐이나 너무 자주 반복되는 탐지를 억제해야 할 수도 있습니다. 이 작업을 수행하기 위한 규칙을 만들 수 있습니다.
규칙은 규칙과 일치하는 검색이 다음을 수행하지 못하도록 할 수 있습니다.
- 감지 페이지의 목록에 표시됩니다.
- 추가 조사를 위한 사건 제기
규칙은 고객이 관리하는 XDR 케이스를 제한할 수 있습니다. MDR 케이스를 억제할 수 없습니다.
감지 규칙이 생성됨
다음과 같이 기존 검색에서 규칙을 만들 수 있습니다.
- 위협 분석 센터 > 감지로 이동합니다.
-
목록에서 검색 이름 옆에 있는 세 개의 점을 클릭하고 검색 규칙 추가를 선택합니다.
-
검색 규칙 설정에서 다음과 같이 실행합니다.
- 규칙 세부 정보에 규칙 이름과 설명을 입력합니다. 기본적으로 규칙은 "enabled"입니다.
-
작업 에서탐지에 대해 수행할 작업을 선택합니다.
현재 기능 억제 만 선택할 수 있습니다. 이렇게 하면 감지 목록에 검색이 표시되지 않고 케이스가 생성되지 않습니다.
-
조건 에는감지된 위협의 특성(예: 심각도)이 표시됩니다. 규칙을 트리거하는 조건으로 사용할 특성을 선택합니다.
-
저장을 클릭합니다.
새 검색 규칙이 적용되려면 20분 정도 걸릴 수 있습니다.
규칙은 규칙을 만든 후에 발생하는 검색에만 적용됩니다.
규칙을 켜거나 끕니다.
HTTPS 웹 사이트의 암호 해독을 설정하거나 해제하려면 다음과 같이 하십시오.
- 위협 분석 센터 > 감지로 이동합니다.
- 검색 규칙의 이름을 클릭하여 세부 정보를 확인합니다.
-
규칙 세부 정보에서 토글을 클릭하여 규칙을 설정하거나 해제합니다.
검색 규칙 복제 및 편집
기존 규칙은 변경할 수 없습니다.
다음과 같이 규칙을 복제하고 복제본을 변경할 수 있습니다.
- 위협 분석 센터 > 감지로 이동합니다.
- 규칙을 찾고
맨 오른쪽 열에 있는 세 개의 점을 클릭합니다. -
복제 를 선택합니다.
원래 규칙에 대해 선택한 것과 동일한 조건과 작업를 가진 새 규칙이 표시됩니다.
-
어플라이언스의 이름 및 설명을 입력합니다.
- 규칙을 편집할 조건 옆의 확인란을 선택하거나 선택 취소합니다.
- 저장을 클릭합니다.
감지 규칙이 삭제됨
규칙을 삭제하려면 다음과 같이 하십시오.
- 위협 분석 센터 > 감지로 이동합니다.
- 규칙을 찾고 맨 오른쪽 열에 있는 세 개의 점을 클릭합니다.
- 삭제를 선택합니다.
억제된 감지 보기
기본적으로 숨긴 검색은 검색 페이지에 표시되지 않습니다.
라이선스를 제거하려면 다음과 같이 하십시오.
- 위협 분석 센터 > 감지로 이동합니다.
- **** 감지 목록 위에 있는 필터 표시 를 클릭합니다.
-
감지 가시성에서 억제된 감지 숨기기 확인란의 선택을 취소합니다.
-
적용을 클릭합니다.