개요
BSupervisor의 규칙 시스템은 AI 에이전트의 행동을 실시간으로 평가하여 보안 위협, 정책 위반, 이상 징후를 탐지합니다. 8개 기본 규칙이 내장되어 있으며, 조직에 맞는 커스텀 규칙을 추가로 생성할 수 있습니다.
기본 규칙 (8개)
모든 계정에 자동으로 활성화되는 8개 기본 안전 규칙입니다. 각 규칙은 개별적으로 활성화/비활성화할 수 있으며, 임계값을 조정할 수 있습니다.
| # | 규칙 이름 | 심각도 | 기본 상태 | 설명 |
|---|---|---|---|---|
| 1 | SQL Injection 탐지 | Critical | 활성 | UNION SELECT, DROP TABLE, ; -- 등 SQL 삽입 패턴 감지 |
| 2 | Prompt Injection 탐지 | Critical | 활성 | Ignore previous instructions, System: override 등 프롬프트 조작 감지 |
| 3 | PII 유출 방지 | Critical | 활성 | 주민등록번호, 카드번호, 이메일, 전화번호 등 개인정보 외부 전송 감지 |
| 4 | 과도한 리소스 사용 | Warning | 활성 | CPU, 메모리, 네트워크 사용량이 설정된 임계치 초과 시 감지 |
| 5 | 미허가 외부 API 호출 | Warning | 활성 | 허용 목록에 등록되지 않은 외부 URL 호출 감지 |
| 6 | 민감 파일 접근 | Critical | 활성 | .env, *.pem, *.key, *credentials*, *secret* 경로 접근 감지 |
| 7 | 비정상적 토큰 사용량 | Warning | 활성 | 최근 7일 이동 평균 대비 300% 이상 토큰 사용 시 감지 |
| 8 | 반복적 오류 패턴 | Info | 활성 | 5분 윈도우 내 동일 에러 10회 이상 발생 시 감지 |
기본 규칙 수정
기본 규칙의 임계값과 알림 설정을 조정하려면:
- Rules 페이지에서 수정할 규칙의 행을 클릭합니다.
- 상세 패널에서 다음 항목을 수정합니다:
- 임계값: 탐지 기준값 (예: 토큰 사용량 300% → 500%)
- 알림 채널: 이 규칙 위반 시 알림을 보낼 채널
- 활성 상태: 규칙 활성화/비활성화 토글
- Save 버튼을 클릭하여 저장합니다.
:::note 기본 규칙은 삭제할 수 없으며, 비활성화만 가능합니다. 규칙 이름과 탐지 패턴은 수정할 수 없습니다. :::
커스텀 규칙 생성
조직의 보안 정책에 맞는 감사 규칙을 직접 생성할 수 있습니다.
생성 절차
1단계: 규칙 기본 정보 입력
- Rules 페이지 우측 상단의 + New Rule 버튼을 클릭합니다.
- 규칙 생성 폼에서 기본 정보를 입력합니다:
| 필드 | 필수 | 설명 | 예시 |
|---|---|---|---|
| 규칙 이름 | 필수 | 규칙의 간결한 이름 | ”프로덕션 DB 접근 제한” |
| 설명 | 선택 | 규칙의 목적과 동작 설명 | ”프로덕션 데이터베이스 직접 접근 시도를 감지합니다” |
| 카테고리 | 필수 | 규칙이 적용되는 이벤트 카테고리 | api_call, file_access, code_execution |
2단계: 매칭 조건 설정
매칭 조건은 이벤트의 어떤 필드를 어떤 패턴으로 검사할지 정의합니다.
| 조건 유형 | 설명 | 사용 예시 |
|---|---|---|
| Glob 패턴 | 파일 경로나 URL을 와일드카드로 매칭 | *.env, */production/* |
| 정규식 | 텍스트 내용을 정규식으로 매칭 | \b\d{6}-\d{7}\b (주민등록번호) |
| 임계값 | 수치 필드가 특정 값 이상/이하일 때 | 토큰 수 > 50,000 |
| 빈도 | 시간 윈도우 내 이벤트 발생 빈도 | 1분 내 같은 API 10회 이상 |
| 목록 | 허용/차단 목록 기반 매칭 | 허용되지 않은 도메인 목록 |
여러 조건을 AND 또는 OR로 조합할 수 있습니다.
3단계: 심각도 선택
규칙 위반의 심각도를 설정합니다:
| 심각도 | 용도 | 기본 알림 동작 | 대시보드 표시 |
|---|---|---|---|
| Critical | 즉시 대응이 필요한 보안 위협 | 모든 채널 즉시 알림 | 빨간색 배지 |
| Warning | 주의가 필요한 이상 징후 | 설정된 채널 알림 | 노란색 배지 |
| Info | 참고 기록, 패턴 모니터링 | 대시보드에만 기록 | 파란색 배지 |
4단계: 알림 채널 설정
이 규칙이 위반되었을 때 알림을 보낼 채널을 선택합니다.
| 채널 | 설정 정보 | 알림 내용 |
|---|---|---|
| Telegram | Bot Token, Chat ID | 규칙 이름, 심각도, 위반 상세, 타임스탬프 |
| Slack | Webhook URL | 규칙 이름, 심각도, 위반 상세, 관련 이벤트 링크 |
| 수신 이메일 주소 | 상세 보고서 형식 (이벤트 컨텍스트 포함) |
:::tip 심각도가 Critical인 규칙에는 반드시 하나 이상의 실시간 알림 채널(Telegram 또는 Slack)을 설정하는 것을 권장합니다. :::
5단계: 저장 및 활성화
- 모든 설정을 확인합니다.
- Save 버튼을 클릭하여 규칙을 저장합니다.
- 저장된 규칙은 즉시 활성화되어 새로 수집되는 이벤트에 적용됩니다.
규칙 관리
규칙 목록 화면
Rules 페이지의 규칙 목록에서 확인할 수 있는 정보:
| 칼럼 | 설명 |
|---|---|
| 이름 | 규칙 이름 |
| 유형 | 기본(Built-in) / 커스텀(Custom) |
| 심각도 | Critical / Warning / Info |
| 상태 | 활성 / 비활성 |
| 위반 건수 | 최근 30일간 이 규칙에 의한 위반 건수 |
| 최근 위반 | 가장 최근 위반이 발생한 시각 |
규칙 편집
- 규칙 목록에서 편집할 규칙의 행을 클릭합니다.
- 상세 패널에서 필요한 항목을 수정합니다.
- Save 버튼을 클릭합니다.
- 변경사항은 즉시 적용됩니다.
규칙 비활성화/삭제
- 비활성화: 규칙의 상태 토글을 끕니다. 규칙 설정은 보존되며 언제든 재활성화할 수 있습니다.
- 삭제: 커스텀 규칙만 삭제 가능합니다. 삭제된 규칙은 복구할 수 없습니다.
규칙 평가 순서
이벤트가 수집되면 다음 순서로 규칙이 평가됩니다:
- 활성화된 모든 규칙을 심각도 순으로 정렬합니다 (Critical > Warning > Info).
- 같은 심각도 내에서는 기본 규칙이 먼저 평가됩니다.
- 각 규칙의 매칭 조건을 이벤트에 대해 검사합니다.
- 매칭된 모든 규칙의 액션이 실행됩니다 (첫 번째 매칭에서 중단하지 않음).
- 위반 결과가 대시보드와 알림 채널에 전달됩니다.
:::note
하나의 이벤트가 여러 규칙에 동시에 매칭될 수 있습니다. 예를 들어, .env 파일 내용을 외부 API로 전송하는 경우 “민감 파일 접근”과 “PII 유출 방지” 규칙이 동시에 트리거됩니다.
:::
규칙 위반 이력
Reports > Violations 페이지에서 전체 규칙 위반 이력을 확인할 수 있습니다:
- 날짜/시간 범위 필터
- 심각도별 필터
- 규칙별 필터
- 에이전트별 필터
- CSV 내보내기