Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las detecciones compuestas

Compatible con:

Google SecOps SIEM

En este documento, se presentan las detecciones compuestas y cómo pueden mejorar los flujos de trabajo de detección de amenazas correlacionando los resultados de varias reglas.

Las detecciones compuestas usan reglas compuestas, que consumen resultados (detecciónes) de otras reglas (en su totalidad o en parte), combinados con eventos, métricas o indicadores de riesgo de entidades. Estas reglas detectan amenazas complejas de varias etapas que las reglas individuales pueden pasar por alto.

Las detecciones compuestas pueden ayudar a analizar eventos a través de interacciones y activadores de reglas definidos. Esto mejora la precisión, reduce los falsos positivos y proporciona una vista integral de las amenazas de seguridad mediante la correlación de datos de diferentes fuentes y etapas de ataque.

Los siguientes conceptos definen los componentes básicos de las reglas compuestas y ayudan a aclarar cómo funcionan dentro de los flujos de trabajo de detección:

Reglas compuestas: Usa detecciones o alertas como entrada, junto con eventos, métricas o riesgos de entidades opcionales. Estas reglas siempre deben tener una sección match y pueden hacer referencia a campos meta, etiquetas match y variables outcome de las reglas de entrada.

Reglas de solo detección: Son reglas compuestas que solo usan detecciones o alertas como entradas.

Fuente de entrada para reglas compuestas

Las reglas compuestas transfieren datos de las colecciones como el tipo de entrada, que almacena los resultados de las reglas ejecutadas anteriormente.

Limitaciones

Cuando diseñes e implementes detecciones compuestas, ten en cuenta las siguientes limitaciones:

Reglas compuestas: Google Security Operations admite una profundidad máxima de 10 para las reglas compuestas. La profundidad es la cantidad de reglas desde una regla base hasta la regla compuesta final.
Reglas de solo detección: Tienen una ventana de coincidencia máxima de 14 días. Sin embargo, se aplican las siguientes condiciones:
- Si la regla usa eventos transferidos, datos del gráfico de entidades o listas de referencias, el período de coincidencia se limita a 48 horas.
- Las reglas de solo detección están sujetas a un límite diario de 10,000 detecciones por regla.
Variables de resultado: Cada regla está limitada a un máximo de 20 variables de resultado. Además, cada variable de resultado repetida se limita a 25 valores.
Muestras de eventos: Solo se almacenan 10 muestras de eventos por variable de evento en una regla (por ejemplo, 10 para $e1 y 10 para $e2).

Para obtener más información sobre los límites de detección, consulta Límites de detección.

Cómo funcionan las detecciones compuestas

Cuando las reglas de un solo evento o de varios eventos cumplen con condiciones predefinidas, generan detección. De manera opcional, estas detecciones pueden incluir variables de resultado, que capturan datos específicos o estados de eventos.

Las reglas compuestas usan estas detecciones de otras reglas como parte de sus entradas. La evaluación puede basarse en los siguientes factores de las reglas que generan las detecciones inicialmente:

Contenido definido en la sección meta de la regla
Atributo de estado o de datos establecido por las reglas en las variables de resultados
Campos de la detección original

En función de esta evaluación, las reglas compuestas pueden activar alertas y registrar información de estado nueva. Esto ayuda a correlacionar varios factores de diferentes detecciones para identificar amenazas complejas.

Consulta la sintaxis de las reglas compuestas y los ejemplos para obtener más información.

Prácticas recomendadas

Te recomendamos que sigas las siguientes prácticas para crear reglas compuestas.

Optimiza para reducir la latencia

Para obtener una latencia mínima en las canalizaciones de detección, inicia una secuencia de reglas con una regla de un solo evento, seguida de reglas compuestas. Las reglas de un solo evento tienen una velocidad y una frecuencia de ejecución más altas que las reglas de varios eventos, lo que ayuda a reducir la latencia general de las reglas compuestas.

Usa variables de resultado, etiquetas de metadatos y variables de coincidencia

Recomendamos usar variables de resultado, etiquetas meta y variables match para unir las detecciones en reglas compuestas. Estos métodos ofrecen las siguientes ventajas sobre el uso de muestras de eventos o referencias de detecciones de entradas:

Confiabilidad mejorada: Proporciona resultados más deterministas y confiables, especialmente cuando las detecciones involucran muchos eventos contribuyentes.
Extracción de datos estructurados: Te permite extraer campos y datos específicos de los eventos para crear un sistema estructurado que te ayude a organizar los datos de los eventos.
Correlación flexible: Las etiquetas meta te permiten categorizar reglas y, por lo tanto, las detecciones que se generan a partir de ellas para una unión más flexible de detecciones. Por ejemplo, si varias reglas comparten la misma etiqueta meta tactic: exfiltration, puedes tener una regla compuesta que se segmente para cualquier detección en la que la etiqueta tactic tenga el valor exfiltration.

¿Qué sigue?

Para obtener información sobre cómo compilar reglas de detección compuestas, consulta reglas de detección compuestas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.