XOps 스토리 음소거

이 문서는 XOps 스토리가 스토리 작업대에 나타나지 않도록 음소거하는 규칙을 만드는 방법을 설명합니다.

개요

XOps 상관 엔진은 트래픽 데이터를 분석하여 잠재적 위협이나 네트워크 성능 저하에 대한 일치를 찾습니다. 일치 항목이 식별되면, 스토리 작업 공간에 스토리가 생성되어 문제를 이해하고 분석하는 데 도움이 됩니다. 스토리가 생성되지 않도록 하려면 음소거 스토리 규칙을 구성할 수 있습니다. 이렇게 하면 거짓 긍정 스토리 생성을 줄이고 실제 잠재적 위협이나 네트워크 문제에 대한 분석에 집중할 수 있습니다. 스토리는 특정 또는 무제한의 시간 범위에 대해 음소거될 수 있습니다.

다음 엔진에서 생성된 스토리를 음소거할 수 있습니다:

  • 위협 방지
  • 위협 탐지
  • 사이트 운영
  • 사용량 이상 현상
  • 이상 이벤트

스토리가 음소거되려면 정확히 일치해야 하거나 뮤트된 스토리 규칙에 삽입된 술어를 포함해야 합니다. 예시로 규칙에 3개의 도메인 포함되어 있지만 스토리에는 2개만 포함된 경우, 스토리는 음소거됩니다. 규칙에 2개의 도메인이 포함되어 있고 스토리에 3개가 있는 경우, 음소거되지 않습니다. 음소거된 스토리는 기본적으로 생성되지 않지만 조건으로 선택하여 무시할 수 있습니다.

참고

참고: MDR 고객은 사이트 운영 엔진에 대한 음소거 스토리 규칙을 생성 및 편집할 수 있습니다. 기타 엔진에 대한 스토리를 정의하고 싶으시면, mdr@catonetworks.com 이메일로 연락하세요.

위협 방지와 위협 탐지 스토리 음소거

신뢰할 수 있는 리소스에서 발생한 트래픽을 정의하여 스토리에서 제외할 수 있습니다. 예를 들어, XOps 스토리는 잠재적 스캔 시도를 감지하기 위해 생성되지만, 스캔의 출처가 알려진 양성 침투 테스트입니다. 

위협 방지와 위협 탐지 스토리의 경우, 음소거되어도 항상 스토리가 생성됩니다. 음소거는 스토리에 음소거 플래그를 적용하여 보고서에서 제외하고 필터가 적용된 경우 스토리 워크벤치에서 숨겨지도록 합니다. 음소거된 스토리는 기본적으로 대응 정책에 따라 알림이 트리거되지 않습니다.

위협 예방 및 위협 사냥 스토리에 대한 음소거 스토리 규칙을 추가하는 두 가지 방법이 있습니다:

  • 탐지 및 대응 페이지에서 규칙 생성
  • 스토리 작업대에서 스토리에서 규칙을 생성합니다. 이 방법은 알려진 무해한 특정 트래픽을 스토리에서 발견했을 때 유용합니다.

UEBA 사용량 이상 현상 그리고 이벤트 이상 현상 스토리 음소거

사용량 이상 징후 및 이벤트 이상 징후 스토리에 대한 음소거 스토리 규칙을 추가하는 두 가지 방법이 있습니다:

  • 탐지 및 대응 페이지에서 규칙 생성
  • 스토리 작업대에서 스토리에서 규칙을 생성합니다. 이 방법은 알려진 무해한 특정 트래픽을 스토리에서 발견했을 때 유용합니다.

다음 섹션에서는 사용량 이상 징후 및 이벤트 이상 징후 음소거 스토리 규칙에 사용할 수 있는 유용한 설정을 설명합니다.

사용량 이상 현상 스토리에 대한 뮤트된 스토리 설정 이해

XOps 사용량 이상 징후 엔진은 애플리케이션에서 비정상적인 사용과 관련된 이상 징후를 식별하고 이상 징후가 감지되면 스토리를 생성합니다. 음소거 스토리 정책을 통해 XOps 엔진이 제외할 애플리케이션 또는 애플리케이션 범주를 지정하여 사용량 이상 징후 스토리에 대한 규칙을 구성할 수 있습니다. 예를 들어 특정 사용자가 업무 요구 사항으로 OneDrive에 비정상적으로 많은 데이터를 업로드한다는 것을 알고 있다면, 사용자소스로, OneDrive애플리케이션으로 구성된 규칙을 생성하십시오.

사용량 이상 징후 스토리에는 둘 이상의 애플리케이션이 관련될 수 있습니다. 이러한 경우 구성된 애플리케이션은 스토리에서 상위 애플리케이션을 참조합니다. 예를 들어 애플리케이션OneDrive로 구성하면 사용량 이상 징후 스토리에서 상위 애플리케이션이 OneDrive일 경우 XOps 엔진은 스토리를 생성하지 않습니다. 그러나 상위 애플리케이션이 Dropbox와 같이 다른 애플리케이션이며 OneDrive의 사용량이 두 번째로 많으면 스토리는 여전히 생성됩니다.

이벤트 이상 현상 스토리에 대한 뮤트된 스토리 설정 이해

XOps 이벤트 이상 징후 엔진은 네트워크에서 비정상적으로 많은 수의 보안 이벤트를 발생시키는 엔터티와 관련된 이상 징후를 감지하고, 이상 징후가 감지되면 스토리를 생성합니다. 음소거 스토리 정책을 통해 XOps 엔진이 제외할 이벤트 유형을 지정하여 이벤트 이상 징후 스토리에 대한 규칙을 구성할 수 있습니다. 이후 특정 규칙 또는 IPS 위협에 의해 생성된 이벤트만 제외하도록 추가로 지정할 수 있습니다.

예를 들어 사용자가 알려진-양호한 활동을 수행하면서 WAN 방화벽 이벤트를 비정상적으로 많이 생성하는 경우, 사용자소스로 구성하고 이벤트 이상 징후 메트릭이벤트 유형으로 WAN 방화벽으로 구성하는 규칙을 생성하십시오. 그런 다음 WAN 방화벽 규칙 베이스 내의 규칙을 지정하십시오.

사이트 운영 스토리 음소거

특정 네트워크 문제에 의해 생성된 스토리를 음소거할 수 있습니다. 예를 들어 로컬 ISP가 계획된 정전을 가지고 있는 것을 알 경우, 중단 기간 동안 사이트 다운 표시에서 생성된 스토리를 음소거할 수 있습니다.

사이트 운영 스토리의 경우, 음소거되어도 항상 스토리가 생성됩니다. 음소거는 스토리에 음소거 플래그를 적용하여 네트워크 운영 필터가 적용된 경우 보고서에서 제외되고 스토리 작업 공간에서 숨겨지게 합니다. 음소거된 스토리는 기본적으로 대응 정책에 따라 알림을 트리거하지 않습니다. ILMM 고객 전용, 사이트 링크가 서비스에 온보드되지 않은 경우 기본적으로 이 스토리 유형은 음소거됩니다.

  • 사이트 연결 해제됨
  • 링크 연결 해제됨
  • ALT WAN 링크 연결 해제됨
  • Quality SLA

사건 타임라인의 음소거됨 열에서 스토리가 음소거되었는지 확인할 수 있습니다.

음소거됨.png

사이트 운영 스토리에 대한 뮤트된 스토리 규칙을 추가하려면 탐지 및 대응 페이지에서 규칙 생성이 필요합니다.

사전 준비

XOps 라이센스가 필수입니다.

탐지 및 대응 음소거 스토리 규칙의 항목

다음 표는 탐지 및 대응 음소거 스토리 규칙 설정을 정의하는 데 사용할 수 있는 항목을 설명합니다. 설정에서 여러 객체를 구성하면 그들 사이의 관계는 OR입니다. 예를 들어 소스 목록에 사이트사용자가 포함된 규칙이 구성된 경우, 트래픽이 사이트 또는 사용자 중 하나와 일치할 때 규칙이 적용됩니다.

항목

설명

프로듀서

규칙이 적용되는 탐지 및 대응 엔진 또는 엔진들. 이들 엔진과 감지하는 스토리 유형에 관한 자세한 내용은 지표 카탈로그 사용을 참조하십시오

인디케이션 ID

탐지 및 대응 엔진에서 사용되는 인디케이션의 식별자. 각 인디케이션 ID는 특정 트래픽 매개변수를 식별하는 탐지 및 대응 엔진 쿼리와 연관되어 있습니다.

인디케이션 ID를 정의하면, 규칙은 해당 인디케이션 ID와 연결된 엔진 쿼리에서 생성된 스토리 트래픽만 제외합니다.

인디케이션 ID가 정의되지 않은 경우, 트래픽은 규칙 설정과 일치하는 모든 엔진 쿼리에서 제외됩니다.

지표에 대한 더 많은 정보는 지표 카탈로그 사용하기를 참조하세요.

방향

(위협 예방, 위협 사냥, 사용량 이상 징후, 이벤트 이상 징후 스토리)

규칙이 적용되는 트래픽 흐름의 방향을 정의하십시오. 방향에는 다음이 포함됩니다:

  • 인바운드 - 외부 소스에서 시작된 트래픽이 네트워크로 들어오는 방향

  • 아웃바운드 - 네트워크에서 외부 소스로 나가는 트래픽

  • WAN 바운드 - 네트워크 내의 다른 사이트로 가는 트래픽

  • 모두 위의 모든 방향

시간 프레임

규칙이 적용되는 시간 프레임을 선택하거나 만료 없이 계속 적용되도록 무제한을 선택하십시오.

만료 날짜가 설정되면:

  • 위협 예방 및 위협 사냥 스토리에 대해 규칙은 사용자가 Cato 관리 애플리케이션의 사용자 프로필 설정에 구성한 시간대 기준의 날짜 시작 시간에 만료됩니다.

  • 사이트 운영 스토리에서는 시간 프레임이 적용될 시간대를 선택할 수 있습니다.

만료 날짜 설정은 효과적인 보안 태세를 유지하기 위한 권장 모범 사례입니다.

소스

이 규칙에 대한 트래픽 소스입니다.

다음 소스 유형 중 하나 이상을 선택할 수 있습니다:

  • 위협 예방 및 위협 사냥 스토리

    • 사이트

    • IP

    • IP 범위

    • 사용자

    • 모든

  • 사이트 운영

    • 사이트

    • 네트워크 인터페이스 (LAN 링크)

    • WAN 링크

    • 사이트 연결 유형

    • 모든

장치

(위협 방지, 위협 탐지, 사용 이상 현상, 이벤트 이상 현상 스토리)

규칙이 적용되는 장치 유형, 운영 체제에 의해 정의됨.

목적지

(위협 방지, 위협 탐지, 사용량 이상 현상, 그리고 이상 이벤트 스토리)

이 규칙에 대한 트래픽의 목적지입니다.

다음 목적지 유형 중 하나 이상을 선택할 수 있습니다:

  • IP

  • URL

  • 도메인

  • FQDN

  • 애플리케이션

  • 애플리케이션 카테고리 (사용 이상 현상 스토리 전용)

  • 모든

이 객체들의 정의에 대해서는 규칙 객체 참고를 참조하세요

이벤트 이상 현상 측정값

(이벤트 이상 현상 스토리)

음소거할 이벤트의 유형을 선택하십시오. 이벤트 유형을 선택하면 규칙 이름이나 위협 이름을 지정할 수 있습니다.

다음 이벤트 유형 중 하나를 선택할 수 있습니다:

  • WAN 방화벽

  • 인터넷 방화벽

  • IPS

  • 안티멀웨어

  • NG 안티멀웨어

  • 모든

위의 설정 외에도, 각 음소거 스토리 규칙에 대해 다음 정보가 표시됩니다:

  • 작성자 - 규칙을 만든 사용자의 사용자 이름.
  • 생성 시간 - 규칙이 생성된 날짜.

탐지 및 대응 음소거 스토리 규칙 베이스 보기

탐지 및 대응 음소거 스토리 규칙 베이스를 표시하려면:

  1. 네비게이션 메뉴에서 모니터링 > 탐지 및 대응 정책을 클릭하십시오.
Detection_Response_Allow_List.png

탐지 및 대응 페이지에서 음소거 스토리 규칙 생성

새로운 음소거 스토리 규칙을 추가하고 탐지 및 대응 엔진에서 무시할 트래픽을 정의하는 설정을 구성하십시오.

Detection_Response_Allow_List_Add_to_Allowlist.png

탐지 및 대응 음소거 스토리 규칙을 생성하려면:

  1. 네비게이션 메뉴에서 모니터링 > 탐지 및 대응 정책을 클릭하십시오.
  2. 음소거 스토리 탭을 선택하십시오.
  3. 새로 만들기를 클릭하십시오. 음소거 스토리 추가 패널이 열립니다.
  4. 위에서 설명한 대로 규칙의 설정을 구성하십시오.
  5. 저장을 클릭하십시오. 규칙이 음소거 스토리 규칙 베이스에 추가됩니다.

스토리에서 음소거 스토리 규칙 생성

스토리 작업대를 열고 스토리 작업 패널을 사용하여 음소거 스토리 규칙을 만드십시오.

다음을 기반으로 규칙 설정이 자동으로 채워집니다:

  • 방향

  • 소스

    • 스토리에 소스에 대한 여러 유형의 데이터가 포함된 경우, 모두 소스 설정에 추가됩니다. 예를 들어, 스토리가 소스를 위한 IP사이트를 식별한 경우, 소스 섹션에는 IP사이트 모두가 자동으로 채워집니다.

  • 목적지 - 스토리 대상을 기준으로 자동으로 채워집니다.

    • 스토리가 여러 대상을 식별한 경우, 모두 목적지 설정에 추가됩니다

스토리에서 음소거 스토리 규칙을 생성하려면:

  1. 네비게이션 메뉴에서 모니터링 > 스토리 작업대를 클릭하십시오.
  2. 스토리를 클릭하여 스토리의 드릴다운 페이지를 여십시오.
  3. More_icon.png을 클릭하여 스토리 작업 패널을 엽니다.

  4. 새 음소거 스토리에 추가를 클릭하십시오. 새 음소거 스토리 규칙 추가 패널이 열립니다.

    Detection_Response_Allow_List_from_Story.png
  5. 위에서 설명한 대로 규칙의 설정을 구성하십시오.
  6. 저장을 클릭하십시오. 규칙이 음소거 스토리 규칙 베이스에 추가됩니다.
  7. 탐지 및 대응 음소거 스토리 규칙 베이스를 표시하려면, 네비게이션 메뉴에서 모니터링 > 탐지 및 대응 정책을 클릭하십시오.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개