Esta página se ha traducido con Cloud Translation API.

Información general sobre las detecciones compuestas

Disponible en:

SecOps de Google SIEM

En este documento se presentan las detecciones compuestas y se explica cómo pueden mejorar los flujos de trabajo de detección de amenazas correlacionando las salidas de varias reglas.

Las detecciones compuestas se generan mediante reglas que usan detecciones de otras reglas como entrada, combinadas con eventos, métricas o señales de riesgo de entidades. Estas reglas se combinan con eventos, métricas o señales de riesgo de entidades para detectar amenazas complejas de varias fases que las reglas individuales pueden pasar por alto.

Las detecciones compuestas ayudan a analizar eventos mediante interacciones de reglas y activadores definidos. De esta forma, se mejora la precisión, se reducen los falsos positivos y se ofrece una visión completa de las amenazas de seguridad al correlacionar datos de diferentes fuentes y fases de ataque.

Los siguientes conceptos definen los componentes básicos de las reglas compuestas y aclaran cómo funcionan en los flujos de trabajo de detección:

Reglas compuestas: usan detecciones o alertas (o ambas) como entrada. Opcionalmente, puede enriquecerlos con eventos, métricas y una amplia gama de datos contextuales del gráfico de entidades, como datos de prevalencia, información sobre amenazas o una puntuación de riesgo de la entidad. Estas reglas siempre deben tener una sección de coincidencia y pueden hacer referencia a metacampos, variables match y variables outcome de reglas de entrada.
Detección: resultado que se genera cuando se cumplen las condiciones de una regla.
Reglas de solo detección: reglas compuestas que solo usan detecciones o alertas como entradas.

Cuándo usar detecciones compuestas

Las detecciones compuestas pueden ser útiles para conseguir los siguientes objetivos:

Correlacionar los resultados de dos o más reglas (por ejemplo, vincular una detección de descarga de malware con una alerta posterior de beaconing de C2 del mismo host).
Enriquece las alertas con datos de eventos relacionados.
Reduce la fatiga por alertas activando una alerta final solo cuando se produzca varias veces una detección ruidosa y de baja confianza o cuando se combine con otra actividad sospechosa.
Crea una alerta para un ataque complejo de varias fases en el que cada fase ya se haya identificado mediante su propia regla.

Ventajas de las detecciones compuestas

Las detecciones compuestas tienen las siguientes ventajas:

Descubrir ataques de varias fases: los ciberataques suelen ser multifacéticos y estar interconectados. La detección compuesta revela la narrativa de ataque más amplia vinculando eventos de seguridad aparentemente aislados. Por ejemplo, las detecciones compuestas pueden identificar la secuencia completa de un ataque, como una brecha inicial seguida de una elevación de privilegios y una filtración de datos.
Reduce la fatiga por alertas: las reglas compuestas consolidan y filtran las alertas ruidosas, lo que permite dar una respuesta más centrada. Este enfoque ayuda a priorizar los incidentes de alto impacto y a reducir la fatiga por alertas en general.
Mejorar la precisión de la detección: combina las estadísticas de los eventos del modelo de datos unificado (UDM), las detecciones de reglas, el contexto de las entidades, los resultados de las analíticas de comportamiento de usuarios y entidades (UEBA) y las tablas de datos para crear una lógica de detección más precisa.
Simplifica la lógica compleja: desglosa los escenarios de detección complejos en reglas gestionables, interconectadas y reutilizables para simplificar el desarrollo y el mantenimiento.
Usar en paneles de control: integra las detecciones compuestas como fuentes de datos en los paneles de control de Google SecOps. Puedes usarlos para crear visualizaciones que resuman patrones de ataque de varias fases, lo que facilita la comprensión de riesgos complejos.

Casos prácticos y ejemplos habituales

En esta sección se enumeran algunos casos prácticos habituales de detecciones compuestas.

Monitorizar la actividad de los usuarios después de iniciar sesión

Un caso de uso principal centrado en vincular el evento de inicio de sesión de un usuario con actividades sospechosas posteriores. Aunque una regla multievento estándar puede monitorizar una secuencia corta, una detección compuesta es más adecuada para crear un perfil de riesgo completo de toda la sesión de un usuario.

Objetivo: correlacionar un único evento, como un inicio de sesión de alto riesgo, con una amplia gama de actividades posteriores de "señal débil" durante un periodo más largo, como un día completo.
Ejemplo: crea varias reglas que produzcan detecciones de nivel inferior. A continuación, usa una regla compuesta con una ventana de coincidencia larga (por ejemplo, 24 horas) para activarla cuando se produzca un inicio de sesión sospechoso inicial y correlacionarlo con cualquiera de las siguientes detecciones del mismo usuario:
- Un usuario borra su historial de línea de comandos.
- La creación de una nueva cuenta de administrador local.
- Subida de una gran cantidad de datos a un sitio personal de Cloud Storage.

Combinar con métricas de UEBA

Este caso práctico aprovecha las métricas de UEBA como punto de partida para una detección compuesta con el fin de encontrar comportamientos más complejos y a largo plazo.

Objetivo: correlacionar un pico en una métrica de UEBA con otra actividad anómala.
Ejemplo:
1. Una regla de UEBA detecta un número excesivo de errores al intentar iniciar sesión de un usuario.
2. Otra regla de UEBA detecta un gran número de bytes de salida del mismo usuario.
3. Una detección compuesta vincula estos dos hallazgos independientes de UEBA durante un periodo de días para identificar una posible vulneración de la cuenta seguida de un robo de datos.

Detectar intentos de filtración externa de datos

Esto implica correlacionar varias acciones de usuario distintas que, cuando se combinan, pueden indicar un intento de exfiltración de datos.

Objetivo: crear un perfil de gestión de datos arriesgada por parte de un solo usuario en varios dispositivos y acciones.
Acciones correlacionadas:
- Iniciar sesión desde varios dispositivos (por ejemplo, el ordenador de casa y el del trabajo).
- Acceder a más fuentes de datos de lo habitual.
- Descargar, imprimir y enviar datos por correo simultáneamente.
- Contar cuántos documentos clasificados toca un usuario en un periodo determinado.
- Haber presentado una carta de renuncia.

Cómo funcionan las detecciones compuestas

Cuando las reglas cumplen las condiciones predefinidas, generan detecciones. Estas detecciones pueden incluir de forma opcional variables de resultados, que registran datos específicos o estados de eventos.

Las reglas compuestas usan estas detecciones de otras reglas como parte de sus entradas. La evaluación puede basarse en la información de la sección meta de la regla original, las variables de resultado y las variables de coincidencia.

En función de esta evaluación, puede usar reglas compuestas para crear nuevas detecciones que se utilicen como representación intermedia para la investigación y las alertas con una regla posterior. Esto ayuda a correlacionar varios factores de diferentes detecciones para identificar amenazas complejas.

Para obtener más información sobre la sintaxis y ejemplos, consulta la sintaxis de las reglas compuestas y los ejemplos.

Define tu estrategia

Antes de empezar a crear reglas compuestas, planifica tu estrategia para asegurarte de que las nuevas reglas sean eficaces, eficientes y resuelvan los problemas adecuados.

Evalúa tu estrategia de detección actual. Revisa las reglas que tengas para identificar las que sean demasiado ruidosas, generen un gran número de falsos positivos o sean demasiado complejas y difíciles de gestionar.
Determina los casos específicos en los que las reglas compuestas pueden aportar valor. Esto incluye la detección de ataques de varias fases, la correlación de varias alertas de baja confianza en una sola alerta de alta confianza o la mejora de las detecciones con contexto adicional de otras fuentes de datos.
En función de tu evaluación, crea un plan de implementación. Decide qué reglas ruidosas debes perfeccionar, qué reglas complejas debes simplificar y qué detecciones multifase nuevas debes priorizar.

Este plan definido proporciona una hoja de ruta para crear reglas compuestas específicas y eficaces. Ten en cuenta las siguientes estrategias generales para sacar el máximo partido a las detecciones compuestas y, al mismo tiempo, gestionar las limitaciones técnicas.

Selecciona el método adecuado

Antes de crear una detección compuesta, comprueba si puedes conseguir el resultado que necesitas con otras alternativas. Analiza si puedes identificar un patrón complejo con una detección de UEBA. Si se complica demasiado una detección, se pueden aumentar los costes de mantenimiento y consumir la cuota de reglas.

Usa una detección compuesta cuando: tu objetivo sea correlacionar los resultados finales de dos o más reglas diferentes preexistentes. De esta forma, se conectan las fases de un ataque que, conceptualmente, son independientes.

Ejemplo: Correlacionar una detección de una regla de descarga de malware con una detección posterior de una regla de beaconing de C2 detectado.
Usar una detección de UEBA existente: si quieres saber cuándo un usuario o un dispositivo se desvía de su patrón de actividad normal.

Ejemplo: detectar automáticamente que un usuario ha descargado 100 GB de datos hoy cuando normalmente solo descarga 1 GB.

Gestionar cuotas de reglas y puntuaciones de riesgo

Para gestionar los recursos de tu organización, debes saber cómo influyen los distintos tipos de reglas en tu cuota de reglas.

Las reglas seleccionadas no se tienen en cuenta en el cálculo de la cuota de reglas personalizadas.
Las reglas compuestas y las reglas personalizadas de varios eventos se tienen en cuenta para calcular tu cuota.

Puedes usar una detección seleccionada configurándola como de solo detección. De esta forma, la regla seleccionada puede realizar la detección inicial general sin generar alertas. Después, puede usar una regla compuesta para aplicar una lógica específica a estos resultados, lo que le proporcionará más valor y le permitirá gestionar su cuota de forma estratégica.

Entender la diferencia entre riesgo y contexto

Al diseñar la lógica de detección, distingue entre las reglas que evalúan el riesgo y las que proporcionan contexto.

El riesgo es la evaluación del peligro que supone un conjunto de actividades. Una regla diseñada para el riesgo suele agregar varios eventos o detecciones contextuales para emitir un juicio. Por ejemplo, aunque un solo intento de inicio de sesión fallido proporciona contexto, un número elevado de ellos indica el riesgo de un ataque de fuerza bruta.

El contexto hace referencia a los detalles objetivos que rodean a un evento. Una regla diseñada para el contexto enriquece un evento con detalles de otro. Por ejemplo, aunque una regla puede detectar que un usuario ha iniciado sesión correctamente, una regla contextual proporciona el contexto crucial de que este inicio de sesión se ha producido desde un país nuevo e inusual.

Ejemplo: Una detección inicial puede alertarte de un riesgo potencial, como una llamada DNS a un dominio malicioso. A continuación, una regla compuesta relaciona esa alerta con los registros de eventos de Google SecOps para encontrar el proceso de línea de comandos específico que inició la llamada. De esta forma, se enriquece la alerta de riesgo de alto nivel con contexto crítico y práctico.

Usar ventanas de coincidencia largas de forma estratégica

Las reglas compuestas configuradas con ventanas de coincidencia largas (por ejemplo, 14 días) se ejecutan con menos frecuencia. Su alta latencia puede hacer que no sean adecuadas para enviar alertas urgentes. Puedes usar estas ventanas de larga duración para detectar actividad adversaria lenta y persistente durante periodos prolongados.

Usar detecciones para la visualización

Una estrategia para gestionar las reglas ruidosas es convertir su salida en una visualización en un panel de control. Este enfoque no consume cuota de reglas y puede convertir datos de gran volumen y baja fidelidad en valiosas estadísticas.

Si configuras una regla para que solo detecte y, a continuación, representas sus detecciones en un widget de panel de control, puedes monitorizar tendencias, identificar valores atípicos y obtener una vista de auditoría general de la actividad sin verte abrumado por alertas individuales.

Ejemplo: monitorizar la gestión de datos personales

Una regla registra cada vez que un usuario trata datos de IIP sensibles. En lugar de alertar cada vez, está configurado para detectar solamente. Un widget del panel de control muestra qué usuarios se están acercando a un límite de salida diario (por ejemplo, 10,000 bytes). De esta forma, se obtiene una vista de auditoría rápida de los comportamientos arriesgados sin generar alertas constantes.

Ejemplo: Monitorizar riesgos de DLP específicos:

Un widget agrega las puntuaciones de riesgo de un subconjunto muy específico de reglas de DLP. De esta forma, un equipo específico (por ejemplo, los administradores de prevención de la pérdida de datos) puede monitorizar solo los riesgos relevantes y filtrar el ruido de otros dominios de seguridad.

Crear detecciones compuestas

En el siguiente flujo de trabajo se describe el proceso habitual para crear una regla compuesta. Para ver la sintaxis completa y los detalles, consulta la sintaxis de las reglas compuestas y los ejemplos.

Define el escenario de amenaza: define la amenaza específica que quieres detectar.
Crea o identifica las reglas de entrada: para cada fase del escenario de amenaza, crea o identifica una regla de entrada que detecte la actividad específica.
Define las condiciones de unión: determina la información común que vincula las detecciones de tus reglas de entrada, como etiquetas de reglas, variables o campos de detección.
Crea la regla compuesta: escribe la regla que ingiere las detecciones de las reglas de entrada.
- Defina la sección events, haciendo referencia a las reglas de entrada por su nombre, ID o una etiqueta meta compartida.
- Define la sección match para especificar la clave de unión y el periodo de la coincidencia.
- Define la sección condition para establecer la condición que debe cumplirse para que se active la alerta final.
Prueba e implementa la cadena de reglas: te recomendamos que ejecutes manualmente una búsqueda retrospectiva para cada regla de la secuencia.

Cuando usas la función Probar regla en una regla compuesta, solo se ejecuta en las detecciones que ya existen y que coinciden con los criterios de entrada de la regla. No ejecuta automáticamente las reglas subyacentes para generar nuevas entradas para la prueba, lo que significa que no puedes validar una cadena de reglas completa en una sola acción.

Para ejecutar una búsqueda retrospectiva de la secuencia de reglas, haz lo siguiente:
1. Inicia manualmente una búsqueda retrospectiva a partir de la primera regla de la secuencia.
2. Espera a que se complete.
3. Continúa con la siguiente regla.
Nota: Para evitar que se produzcan coincidencias accidentales con resultados de detección anteriores al hacer pruebas, te recomendamos que añadas un meta: label único a cada regla de la cadena compuesta.

Ver los resultados de las detecciones compuestas

Puede ver los resultados de las detecciones compuestas en la página Detecciones. Una alerta es una detección compuesta cuando la columna Entradas muestra Detección como origen y la columna Tipo de detección muestra la etiqueta Alerta con un número al lado (por ejemplo, Alert (3)).

Nota: Si tienes SIEM y SOAR, también puedes ver los resultados en la pestaña Casos.

Optimizar detecciones compuestas

Te recomendamos que sigas estas prácticas para crear reglas compuestas.

Optimizar la latencia

Para minimizar la latencia en las canalizaciones de detección, usa reglas de un solo evento siempre que sea posible, como en el caso del activador inicial. Las reglas compuestas pueden usar sus detecciones para llevar a cabo correlaciones más complejas con otros eventos, entidades o detecciones, lo que ayuda a reducir la latencia general.

Usar métodos eficientes para combinar detecciones

Te recomendamos que uses variables de resultado, etiquetas meta y variables de coincidencia para combinar detecciones. Estos métodos proporcionan resultados más deterministas y fiables que el uso de muestras de eventos. Las etiquetas de metadatos son especialmente flexibles porque te permiten categorizar reglas para que una regla compuesta pueda orientarse a cualquier detección con esa etiqueta.

Por ejemplo, si varias reglas comparten la misma etiqueta de metadatos tactic: exfiltration, puedes crear una regla compuesta que se aplique a cualquier detección en la que la etiqueta de táctica tenga el valor exfiltration.

Mejorar las detecciones con la biblioteca de funciones

Puedes usar la biblioteca de funciones de YARA-L en puntos estratégicos de una regla compuesta para aumentar la señal y añadir una lógica más compleja.

Gestionar actualizaciones de reglas

Cuando actualizas una regla que se usa en una o varias reglas compuestas, el sistema crea automáticamente una nueva versión de la regla. Las reglas compuestas usan automáticamente la nueva versión. Te recomendamos que pruebes toda la secuencia de reglas actualizada para verificar el comportamiento previsto.

Limitaciones

Cuando diseñe e implemente detecciones compuestas, tenga en cuenta las siguientes limitaciones:

Reglas compuestas: Google SecOps admite una profundidad máxima de 10 para las reglas compuestas. La profundidad es el número de reglas que hay entre una regla base y la regla compuesta final.
Reglas de solo detección: tienen una ventana de coincidencia máxima de 14 días. Sin embargo, se aplican las siguientes condiciones:
- Si la regla usa eventos insertados, datos de gráficos de entidades, tablas de datos o listas de referencia, la ventana de coincidencia se limita a 48 horas.
- Las reglas de solo detección están sujetas a un límite de detección diario de 10.000 detecciones por regla.
Variables de resultado: cada regla tiene un límite de 20 variables de resultado. Además, cada variable de resultado repetida está limitada a 25 valores.
Muestras de eventos: solo se almacenan 10 muestras de eventos por variable de evento en una regla, como 10 para $e1 y 10 para $e2.

Para obtener más información sobre los límites de detección, consulta Límites de detección.

Siguientes pasos

Para obtener información sobre cómo crear reglas de detección compuestas, consulta el artículo sobre reglas de detección compuestas.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.