Diese Seite wurde von der Cloud Translation API übersetzt.

Zusammengesetzte Erkennungen – Übersicht

Unterstützt in:

Google SecOps SIEM

In diesem Dokument werden zusammengesetzte Erkennungen vorgestellt und erläutert, wie sie Workflows zur Bedrohungserkennung durch Korrelation von Ergebnissen aus mehreren Regeln verbessern können.

Für zusammengesetzte Erkennungen werden zusammengesetzte Regeln verwendet, die die Ausgaben (Erkennungen) anderer Regeln (vollständig oder teilweise) mit Ereignissen, Messwerten oder Risikosignalen für Entitäten kombinieren. Mit diesen Regeln werden komplexe, mehrstufige Bedrohungen erkannt, die bei einzelnen Regeln übersehen werden können.

Zusammengesetzte Erkennungen können bei der Analyse von Ereignissen durch definierte Regelinteraktionen und Auslöser helfen. Dies verbessert die Genauigkeit, reduziert Falschalarme und bietet einen umfassenden Überblick über Sicherheitsbedrohungen, indem Daten aus verschiedenen Quellen und Angriffsphasen korreliert werden.

Die folgenden Konzepte definieren die Bausteine von zusammengesetzten Regeln und verdeutlichen, wie sie in Erkennungsworkflows funktionieren:

Kompositregeln:Sie verwenden Erkennungen oder Benachrichtigungen als Eingabe zusammen mit optionalen Ereignissen, Messwerten oder Entitätsrisiken. Diese Regeln müssen immer einen match-Abschnitt haben und können auf meta-Felder, match-Labels und outcome-Variablen aus Eingaberegeln verweisen.

Regeln vom Typ „Nur Erkennung“: Zusammengesetzte Regeln, die nur Erkennungen oder Benachrichtigungen als Eingaben verwenden.

Eingabequelle für zusammengesetzte Regeln

Bei zusammengesetzten Regeln werden Daten aus Sammlungen als Eingabetyp aufgenommen, in denen die Ausgaben zuvor ausgeführter Regeln gespeichert werden.

Beschränkungen

Beachten Sie beim Entwerfen und Implementieren von zusammengesetzten Erkennungen die folgenden Einschränkungen:

Kompositregeln: Google Security Operations unterstützt eine maximale Tiefe von 10 für zusammengesetzte Regeln. Die Tiefe ist die Anzahl der Regeln von einer Basisregel bis zur endgültigen zusammengesetzten Regel.
Nur-Erkennungsregeln: Das Abgleichfenster beträgt maximal 14 Tage. Es gelten jedoch die folgenden Einschränkungen:
- Wenn in der Regel aufgenommene Ereignisse, Daten aus dem Entitätsgraphen oder Referenzlisten verwendet werden, ist das Abgleichfenster auf 48 Stunden begrenzt.
- Für Regeln, die nur zur Erkennung dienen, gilt ein Tageslimit von 10.000 Erkennungen pro Regel.
Ergebnisvariablen: Jede Regel ist auf maximal 20 Ergebnisvariablen beschränkt. Außerdem ist jede wiederholte Ergebnisvariable auf 25 Werte beschränkt.
Ereignisstichproben: Pro Ereignisvariable in einer Regel werden nur 10 Ereignisstichproben gespeichert (z. B. 10 für $e1 und 10 für $e2).

Weitere Informationen zu Erkennungsgrenzen finden Sie unter Erkennungsgrenzen.

Funktionsweise der zusammengesetzten Erkennung

Wenn Einzel- oder Mehrfachereignisregeln vordefinierte Bedingungen erfüllen, werden Ereignisse erkannt. Diese Erkennungen können optional Ergebnisvariablen enthalten, die bestimmte Daten oder Ereignisstatus erfassen.

Zusammengesetzte Regeln verwenden diese Erkennungen aus anderen Regeln als Teil ihrer Eingaben. Die Bewertung kann auf den folgenden Faktoren der Regeln basieren, die die Erkennungen anfänglich generieren:

Inhalte, die im Abschnitt meta der Regel definiert sind
Zustands- oder Datenattribut, das durch die Regeln in Ergebnisvariablen festgelegt wird
Felder aus der ursprünglichen Erkennung

Basierend auf dieser Auswertung können zusammengesetzte Regeln Benachrichtigungen auslösen und neue Statusinformationen aufzeichnen. So lassen sich mehrere Faktoren aus verschiedenen Erkennungen korrelieren, um komplexe Bedrohungen zu identifizieren.

Weitere Informationen finden Sie unter Syntax von zusammengesetzten Regeln und Beispiele.

Best Practices

Wir empfehlen die folgenden Best Practices für die Erstellung zusammengesetzter Regeln.

Für Latenz optimieren

Für eine minimale Latenz in den Erkennungspipelines sollten Sie eine Regelsequenz mit einer Regel für ein einzelnes Ereignis beginnen, gefolgt von zusammengesetzten Regeln. Regeln für einzelne Ereignisse haben eine höhere Ausführungsgeschwindigkeit und Häufigkeit als Regeln für mehrere Ereignisse. Dadurch wird die Gesamtlatenz für zusammengesetzte Regeln reduziert.

Ergebnisvariablen, Meta-Labels und Abgleichsvariablen verwenden

Wir empfehlen, Ergebnisvariablen, meta-Labels und match-Variablen zu verwenden, um Erkennungen in zusammengesetzten Regeln zusammenzuführen. Diese Methoden bieten gegenüber der Verwendung von Ereignisstichproben oder Referenzen aus Eingabeerkennungen folgende Vorteile:

Verbesserte Zuverlässigkeit: Sie erhalten genauere und zuverlässigere Ergebnisse, insbesondere wenn bei Erkennungen viele Ereignisse beteiligt sind.
Extraktion strukturierter Daten: Sie können bestimmte Felder und Datenpunkte aus den Ereignissen extrahieren, um ein strukturiertes System zum Organisieren von Ereignisdaten zu erstellen.
Flexible Korrelation: Mit meta-Labels können Sie Regeln und die daraus generierten Erkennungen kategorisieren, um Erkennungen flexibler zusammenzuführen. Wenn mehrere Regeln beispielsweise dasselbe meta-Labeltactic: exfiltration haben, können Sie eine zusammengesetzte Regel erstellen, die auf jede Erkennung abzielt, bei der das tactic-Label den Wert exfiltration hat.

Nächste Schritte

Informationen zum Erstellen zusammengesetzter Erkennungsregeln finden Sie unter Kombinierte Erkennungsregeln.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten