Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über zusammengesetzte Erkennungen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument werden zusammengesetzte Erkennungen vorgestellt und es wird erläutert, wie sie Workflows zur Erkennung von Bedrohungen verbessern können, indem sie Ausgaben aus mehreren Regeln korrelieren.

Bei zusammengesetzten Erkennungen werden zusammengesetzte Regeln verwendet, die Ausgaben (Erkennungen) aus anderen Regeln (ganz oder teilweise) in Kombination mit Ereignissen, Messwerten oder Risikosignalen für Entitäten nutzen. Mit diesen Regeln werden komplexe, mehrstufige Bedrohungen erkannt, die mit einzelnen Regeln möglicherweise nicht erkannt werden.

Mit zusammengesetzten Erkennungen lassen sich Ereignisse anhand definierter Regelinteraktionen und Trigger analysieren. Dies verbessert die Genauigkeit, reduziert Falschmeldungen und bietet eine umfassende Übersicht über Sicherheitsbedrohungen, indem Daten aus verschiedenen Quellen und Angriffsphasen korreliert werden.

Die folgenden Konzepte definieren die Bausteine zusammengesetzter Regeln und helfen, ihre Funktionsweise in Erkennungs-Workflows zu verdeutlichen:

Zusammengesetzte Regeln:Hier werden Erkennungen oder Benachrichtigungen als Eingabe verwendet, zusammen mit optionalen Ereignissen, Messwerten oder dem Entitätsrisiko. Diese Regeln müssen immer einen match-Abschnitt haben und können auf meta-Felder, match-Labels und outcome-Variablen aus Eingaberegeln verweisen.

Erkennung: Das Ergebnis einer Regel. Kann auch als Benachrichtigung bezeichnet werden.

Regeln nur zur Erkennung: Zusammengesetzte Regeln, die nur Erkennungen oder Benachrichtigungen als Eingaben verwenden. Diese Regeln tragen nicht zur Risikobewertung der Entität bei. Jeder Risikowert, der für eine reine Erkennungsregel festgelegt ist, gilt nur für die von ihr generierten Erkennungen.

Vorteile der zusammengesetzten Erkennung

Zusammengesetzte Erkennungen haben folgende Vorteile:

Mehrstufige Angriffe aufdecken: Cyberangriffe sind oft vielschichtig und miteinander verbunden. Durch die kombinierte Erkennung wird das umfassendere Angriffsszenario aufgedeckt, indem scheinbar isolierte Vorfälle verknüpft werden. Mit zusammengesetzten Erkennungen lässt sich beispielsweise die gesamte Abfolge eines Angriffs erkennen, z. B. ein anfänglicher Einbruch, gefolgt von einer Rechteausweitung und Daten-Exfiltration.

Weniger Benachrichtigungen: Mit zusammengesetzten Regeln werden Benachrichtigungen konsolidiert und gefiltert, sodass Sie sich besser auf die Reaktion konzentrieren können. So können Vorfälle mit hoher Auswirkung priorisiert und die allgemeine Benachrichtigungsmüdigkeit verringert werden.
Genauigkeit der Erkennung verbessern: Kombinieren Sie Erkenntnisse aus Ereignissen des Unified Data Model (UDM), Regelerkennungen, Entitätskontext, Ergebnissen der Analyse des Nutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA) und Datentabellen, um eine genauere Erkennungslogik zu erstellen.
Komplexe Logik optimieren: Teilen Sie komplexe Erkennungsszenarien in überschaubare, miteinander verbundene und wiederverwendbare Regeln auf, um die Entwicklung und Wartung zu vereinfachen.

Eingabequelle für zusammengesetzte Regeln

Mit zusammengesetzten Regeln werden Daten aus Sammlungen als Eingabetyp erfasst, in denen Ausgaben von zuvor ausgeführten Regeln gespeichert werden.

Beschränkungen

Beachten Sie beim Entwerfen und Implementieren zusammengesetzter Erkennungen die folgenden Einschränkungen:

Zusammengesetzte Regeln: Google Security Operations unterstützt eine maximale Tiefe von 10 für zusammengesetzte Regeln. Die Tiefe ist die Anzahl der Regeln von einer Basisregel bis zur endgültigen zusammengesetzten Regel.
Regeln, die nur Erkennungen auslösen: Sie haben ein maximales Übereinstimmungszeitfenster von 14 Tagen. Es gilt jedoch Folgendes:
- Wenn in der Regel aufgenommene Ereignisse, Daten aus dem Entity-Diagramm oder Referenzlisten verwendet werden, ist das Abgleichszeitfenster auf 48 Stunden begrenzt.
- Für Regeln, die nur Erkennungen auslösen, gilt ein tägliches Erkennungslimit von 10.000 Erkennungen pro Regel.
Ergebnisvariablen: Jede Regel ist auf maximal 20 Ergebnisvariablen beschränkt. Außerdem ist jede wiederholte Ergebnisvariable auf 25 Werte beschränkt.
Ereignisbeispiele: Pro Ereignisvariable werden in einer Regel nur 10 Ereignisbeispiele gespeichert (z. B. 10 für $e1 und 10 für $e2).

Weitere Informationen zu den Erkennungsgrenzen finden Sie unter Erkennungsgrenzen.

Funktionsweise von zusammengesetzten Erkennungen

Wenn Einzelereignis- oder Mehrfachereignisregeln vordefinierte Bedingungen erfüllen, werden Erkennungen generiert. Diese Erkennungen können optional Ergebnisvariablen enthalten, die bestimmte Daten- oder Ereignisstatus erfassen.

Bei zusammengesetzten Regeln werden diese Erkennungen aus anderen Regeln als Teil der Eingaben verwendet. Die Auswertung kann auf den folgenden Faktoren der Regeln basieren, die die Erkennungen ursprünglich generieren:

Inhalte, die im Abschnitt meta der Regel definiert sind
Zustand oder Datenattribut, der durch die Regeln in den Ergebnisvariablen festgelegt wird
Felder aus der ursprünglichen Erkennung

Auf Grundlage dieser Auswertung können mit zusammengesetzten Regeln Benachrichtigungen ausgelöst und neue Statusinformationen aufgezeichnet werden. So lassen sich mehrere Faktoren aus verschiedenen Erkennungen korrelieren, um komplexe Bedrohungen zu identifizieren.

Weitere Informationen finden Sie unter Syntax für zusammengesetzte Regeln und Beispiele.

Best Practices

Wir empfehlen die folgenden Vorgehensweisen zum Erstellen zusammengesetzter Regeln.

Für Latenz optimieren

Um die Latenz in Erkennungs-Pipelines zu minimieren, beginnen Sie eine Regelfolge mit einer Einzelereignisregel, gefolgt von zusammengesetzten Regeln. Regeln für einzelne Ereignisse werden schneller und häufiger ausgeführt als Regeln für mehrere Ereignisse. So lässt sich die Gesamtlatenz für zusammengesetzte Regeln verringern.

Ergebnisvariablen, Meta-Labels und Abgleichsvariablen verwenden

Wir empfehlen, Ergebnisvariablen, meta-Labels und match-Variablen zu verwenden, um Erkennungen in zusammengesetzten Regeln zu verknüpfen. Diese Methoden bieten die folgenden Vorteile gegenüber der Verwendung von Ereignisstichproben oder Referenzen aus Eingabeerkennungen:

Höhere Zuverlässigkeit: Die Ergebnisse sind deterministischer und zuverlässiger, insbesondere wenn viele Ereignisse zur Erkennung beitragen.
Extrahieren strukturierter Daten: Mit dieser Funktion können Sie bestimmte Felder und Datenpunkte aus den Ereignissen extrahieren, um ein strukturiertes System zum Organisieren von Ereignisdaten zu erstellen.
Flexible Korrelation: Mit meta-Labels können Sie Regeln und damit auch die daraus generierten Erkennungen kategorisieren, um sie flexibler zusammenzuführen. Wenn beispielsweise mehrere Regeln dasselbe meta-Label tactic: exfiltration haben, können Sie eine zusammengesetzte Regel erstellen, die auf alle Erkennungen ausgerichtet ist, bei denen das tactic-Label den Wert exfiltration hat.

Retrohunt testen oder ausführen

Wenn Sie eine zusammengesetzte Regel testen oder rückwirkend anwenden, wird nur die von Ihnen ausgewählte Regel mit vorhandenen Erkennungen ausgeführt. Wenn Sie das gesamte Composite ausführen möchten, müssen Sie manuell einen Retrohunt mit der ersten Regel in der Sequenz starten, warten, bis er abgeschlossen ist, und dann mit der nächsten Regel fortfahren.

Regeln aktualisieren

Wenn Sie eine Regel aktualisieren, die in einer oder mehreren zusammengesetzten Regeln verwendet wird, erstellt das System automatisch eine neue Version der Regel. Für zusammengesetzte Regeln wird automatisch die neue Version verwendet. Wir empfehlen, die aktualisierten Regeln zu testen, um ihr beabsichtigtes Verhalten zu überprüfen.

Nächste Schritte

Informationen zum Erstellen zusammengesetzter Erkennungsregeln finden Sie unter Zusammengesetzte Erkennungsregeln.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten