EventGen | Rater Settings
본문 바로가기
Splunk/Splunk Dev

EventGen | Rater Settings

안세현 2026. 1. 27. 15:35
728x90
반응형

4. Rater Settings

Rater는 특정 시점에 생성할 이벤트 수량을 결정하는 컴포넌트이다.
다양한 시간 기반 패턴(hour/day/month)과 볼륨(perDayVolume)을 조합해
현실적인 트래픽 패턴을 시뮬레이션할 수 있다.

4.1 count

count = <int>

샘플 실행 당 생성할 이벤트 수량.

예: 
count = 100
interval = 10
의미: > 10초마다 100 이벤트 생성 → 6000 eps (이론치)
⚠️ 주의:
Replay 모드에서는 count를 사용할 수 없다.

4.2 perDayVolume

perDayVolume = <float>

일일 데이터 볼륨을 GB/day 단위로 지정.
Eventgen이 자동으로 이벤트 수량을 계산한다.

예: 
perDayVolume = 2.5
의미: > 하루 기준 2.5GB 생성
💥 Splunk 라이선스 관점:
이 옵션은 SIEM PoC 또는 라이선스 sizing에서 매우 유용하다.
예시:
✓ Firewall 15GB/day
✓ WAF 5GB/day
✓ EDR 3GB/day
등을 구성하면 고객 환경 재현이 쉬워짐.
💡 세현님 환경 연결:
이미 Splunk 설치 + ES 통합테스트 진행이므로
perDayVolume은 실제 Splunk ingest sizing 훈련으로 활용 가능.

4.3 시간 가중 기반 Rater

Eventgen은 현실 트래픽 형태를 모사하기 위해 시간 기반 가중치를 지원한다.
지원되는 단위:

  • hourOfDayRate (0~23)
  • dayOfWeekRate (일~토)
  • minuteOfHourRate (0~59)
  • dayOfMonthRate (1~31)
  • monthOfYearRate (1~12)
---

✔ 예시 1: hourOfDayRate

hourOfDayRate = { "0": 0.2, "1": 0.2, "2": 0.3, ..., "9": 1.0, "10": 1.2, "18": 1.5 }
의미: > 업무 시간에 트래픽 증가
💡 이 값은 count 또는 perDayVolume과 곱해짐
---

✔ 예시 2: dayOfWeekRate

예: 
dayOfWeekRate = { "0": 0.3, "1": 1.0, "2": 1.0, "3": 1.0, "4": 1.0, "5": 1.2, "6": 0.8 }
의미: > 주말엔 트래픽 감소, 금요일 증가
💥 이 패턴은 E-Commerce, SaaS, FW 트래픽에서 실제로 관찰되는 형태
---

✔ rate 조합

모든 시간 기반 rate는 곱셈 방식으로 결합됨

수식: 
final = count × hour × weekday × month × minute
🧠 SIEM 의미:
이 조합을 이용하면 공격자가 “정상 트래픽 패턴을 베이스라인으로 이용하는 공격”도 재현 가능
---

4.4 randomizeCount

randomizeCount = <float>
예: 
randomizeCount = 0.2
의미: > ±20% 변동 부여 → “노이즈” 생성
💥 매우 중요한 기능:
SIEM 탐지 엔진은 잡음(noise)이 없으면 너무 쉽게 동작함.
이 옵션이 들어가면 환경이 훨씬 현실화됨.
---

4.5 replay 와 rater 비교

모드 설명 적합한 용도
sample + rater synthetic volume 생성 라이선스/트래픽 패턴/부하
replay timestamp 기반 실제 시퀀스 재생 공격 시나리오/교육/Incident Timeline
🔥 **핵심 정리:**
Rater는 “정상 트래픽/부하” 모델링에 좋고,
Replay는 “공격/이벤트 시퀀스” 모델링에 좋다.
---

4.6 Mode 선택 전략 (ES 기준)

목표 추천 mode
라이선스 sizing sample + perDayVolume
정상 트래픽 baseline sample + hour/day rates
APT/공격 단계 재현 replay + backfill
EDR 타임라인 replay + timeMultiple
💡 세현님은 ES + Attack 기반 PoC 수행 중이므로
두 모드 모두 혼합하는 게 최적임.
---

4.7 Rater 요약

Rater는 다음을 제공한다:

  • 데이터량 조절
  • 시간 패턴 모사
  • 노이즈 삽입
  • 현실 트래픽 기반 공격 숨김 시나리오
728x90
반응형

'Splunk > Splunk Dev' 카테고리의 다른 글

EventGen | Token Settings  (0) 2026.01.27
EventGen | Generator Settings  (0) 2026.01.27
EventGen | Stanza Configuration Settings  (0) 2026.01.27
EventGen | Global Settings  (0) 2026.01.27
EventGen | Config 기본 개념 & Stanza  (0) 2026.01.27

'Splunk/Splunk Dev' Related Articles

티스토리툴바