감지 규칙
탐지 규칙을 사용하면 위협 탐지를 처리하는 방식을 지정할 수 있습니다.
이 기능을 사용하려면 슈퍼 관리자여야 합니다.
참고
현재로서는 감지 규칙을 사용하여 원치 않는 탐지를 억제하는 것만 가능합니다.
탐지 억제
오탐이거나 너무 자주 발생하는 탐지를 억제해야 할 수도 있습니다. 이를 위해 규칙을 만들 수 있습니다.
규칙을 사용하면 규칙과 일치하는 탐지가 다음과 같은 작업을 수행하는 것을 방지할 수 있습니다.
- 탐지 목록 페이지에 표시됩니다.
- 추가 조사가 필요한 사안을 제기합니다.
규칙을 통해 고객이 관리하는 XDR 사례를 억제할 수 있습니다." 그들은 MDR 사례를 억제할 수 없습니다.
감지 규칙을 생성하세요
기존 감지 기반으로 규칙을 만들 수 있습니다.
참고
최대 25개의 감지 규칙을 만들 수 있습니다.
규칙을 만들려면 다음과 같이 하십시오.
- 위협 분석 센터 > 감지로 이동합니다.
-
목록에서 감지 이름 옆에 있는 점
클릭하고 '감지 규칙 추가'를 선택합니다.
-
감지 규칙 설정에서 다음과 같이 하십시오.
- 규칙 세부 정보 에서 규칙 이름과 설명을 입력합니다. 기본적으로 이 규칙은 "활성화"되어 있습니다.
-
[작업] 에서 감지된 항목에 대해 수행할 작업을 선택합니다.
현재로서는 '억제' 만 선택할 수 있습니다. 이렇게 하면 감지 목록에 탐지 내용이 표시되지 않고 사례가 생성되지 않습니다.
-
'상태' 에는 감지된 위협의 특성(예: 심각도)이 표시됩니다. 규칙을 실행하는 조건으로 사용할 특성을 선택하세요.
-
저장을 클릭합니다.
새로운 감지 규칙이 적용되는 데 최대 20분이 소요될 수 있습니다.
규칙은 규칙을 생성한 후에 발생하는 탐지에만 적용됩니다.
참고
규칙을 작동시키는 조건은 대소문자를 구분합니다. 위협이 명령줄과 같은 조건을 충족하지만 대소문자가 다른 경우(예: "Windows" 대신 "windows") 해당 규칙은 감지 억제하지 않습니다.
감지 규칙을 켜거나 끕니다.
감지 규칙을 켜거나 끄려면 다음과 같이 하십시오.
- 위협 분석 센터 > 탐지 규칙 으로 이동합니다.
- 감지 규칙의 이름을 클릭하면 세부 정보를 볼 수 있습니다.
-
규칙 세부 정보 에서 토글을 클릭하여 규칙을 켜거나 끌 수 있습니다.
중복 및 편집 감지 규칙
기존 규칙은 변경할 수 없습니다.
다음과 같이 규칙을 복제하고 복제본에서 변경할 수 있습니다.
- 위협 분석 센터 > 탐지 규칙 으로 이동합니다.
- 해당 규칙을 찾고 가장 오른쪽 열에 있는 점
-
중복 항목을 선택하세요.
원래 규칙에 대해 선택했던 것과 동일한 조건 및 작업이 포함된 새 규칙이 표시됩니다.
-
새 규칙의 이름과 설명을 입력하세요.
- 규칙을 수정하려면 조건 옆의 확인란을 선택하거나 선택 해제하세요.
- 저장을 클릭합니다.
삭제 감지 규칙
규칙을 삭제하려면 다음과 같이 하세요.
- 위협 분석 센터 > 탐지 규칙 으로 이동합니다.
- 해당 규칙을 찾고 가장 오른쪽 열에 있는 점
- 삭제를 선택합니다.
억제된 감지 보기
기본적으로 사용자가 탐지를 억제한 항목은 탐지 페이지에 표시되지 않습니다.
억제된 탐지 항목을 보려면 다음과 같이 하십시오.
- 위협 분석 센터 > 감지로 이동합니다.
- 탐지 목록 위에 있는 '필터 표시'를 클릭하세요.
-
탐지 가시성 에서 '숨겨진 탐지 숨기기' 확인란의 선택을 해제합니다.
-
적용을 클릭합니다.