Se usó la API de Cloud Translation para traducir esta página.

Descripción general de las detecciones compuestas

Compatible con:

Google SecOps SIEM

En este documento, se presentan las detecciones compuestas y cómo pueden mejorar los flujos de trabajo de detección de amenazas correlacionando los resultados de varias reglas.

Las detecciones compuestas usan reglas compuestas, que consumen resultados (detecciones) de otras reglas (en su totalidad o en parte), combinados con eventos, métricas o indicadores de riesgo de entidades. Estas reglas detectan amenazas complejas de varias etapas que las reglas individuales pueden pasar por alto.

Las detecciones compuestas pueden ayudar a analizar eventos a través de interacciones y activadores de reglas definidos. Esto mejora la precisión, reduce los falsos positivos y proporciona una vista integral de las amenazas de seguridad, ya que correlaciona los datos de diferentes fuentes y etapas de ataque.

Los siguientes conceptos definen los componentes básicos de las reglas compuestas y ayudan a aclarar cómo funcionan dentro de los flujos de trabajo de detección:

Reglas compuestas: Usan detecciones o alertas como entrada, junto con eventos, métricas o riesgo de la entidad opcionales. Estas reglas siempre deben tener una sección match y pueden hacer referencia a campos meta, etiquetas match y variables outcome de las reglas de entrada.

Detección: Es el resultado de una regla. También se puede denominar alerta.

Reglas de solo detección: Son reglas compuestas que solo usan detecciones o alertas como entradas. Estas reglas no contribuyen a la puntuación de riesgo de la entidad. Cualquier puntuación de riesgo que se establezca para una regla de solo detección se aplica únicamente a las detecciones que genera.

Beneficios de la detección compuesta

Las detecciones compuestas tienen los siguientes beneficios:

Descubrir ataques de varias etapas: Los ciberataques suelen ser multifacéticos y estar interconectados. La detección compuesta revela la narrativa de ataque más amplia al vincular incidentes aparentemente aislados. Por ejemplo, las detecciones compuestas pueden identificar la secuencia completa de un ataque, como una vulneración inicial, seguida de una elevación de privilegios y una robo de datos.

Reduce la fatiga por alertas: Las reglas compuestas consolidan y filtran las alertas ruidosas, lo que permite una respuesta más enfocada. Este enfoque ayuda a priorizar los incidentes de alto impacto y a reducir la fatiga general por alertas.
Mejora la precisión de la detección: Combina estadísticas de los eventos del Modelo de datos unificado (UDM), las detecciones de reglas, el contexto de la entidad, los hallazgos del análisis del comportamiento de usuarios y entidades (UEBA) y las tablas de datos para crear una lógica de detección más precisa.
Agiliza la lógica compleja: Desglosa las situaciones de detección complejas en reglas interconectadas, reutilizables y fáciles de administrar para simplificar el desarrollo y el mantenimiento.

Fuente de entrada para reglas compuestas

Las reglas compuestas incorporan datos de colecciones como el tipo de entrada, que almacenan los resultados de las reglas ejecutadas anteriormente.

Limitaciones

Cuando diseñes e implementes detecciones compuestas, ten en cuenta las siguientes limitaciones:

Reglas compuestas: Google Security Operations admite una profundidad máxima de 10 para las reglas compuestas. La profundidad es la cantidad de reglas que hay desde una regla base hasta la regla compuesta final.
Reglas de solo detección: Tienen una ventana de coincidencia máxima de 14 días. Sin embargo, se aplican las siguientes condiciones:
- Si la regla usa eventos incorporados, datos del gráfico de entidades o listas de referencia, el período de coincidencia se limita a 48 horas.
- Las reglas de solo detección están sujetas a un límite diario de 10,000 detecciones por regla.
Variables de resultado: Cada regla está limitada a un máximo de 20 variables de resultado. Además, cada variable de resultado repetida se limita a 25 valores.
Muestras de eventos: Solo se almacenan 10 muestras de eventos por variable de evento en una regla (por ejemplo, 10 para $e1 y 10 para $e2).

Para obtener más información sobre los límites de detección, consulta Límites de detección.

Cómo funcionan las detecciones compuestas

Cuando las reglas de evento único o de evento múltiple cumplen con las condiciones predefinidas, generan detecciones. De manera opcional, estas detecciones pueden incluir variables de resultado, que capturan estados específicos de datos o eventos.

Las reglas compuestas usan estas detecciones de otras reglas como parte de sus entradas. La evaluación puede basarse en los siguientes factores de las reglas que generan las detecciones inicialmente:

Contenido definido en la sección meta de la regla
Estado o conjunto de atributos de datos establecidos por las reglas en las variables de resultado
Campos de la detección original

Según esta evaluación, las reglas compuestas pueden activar alertas y registrar información de estado nueva. Esto ayuda a correlacionar varios factores de diferentes detecciones para identificar amenazas complejas.

Consulta la sintaxis de las reglas compuestas y los ejemplos para obtener más información.

Prácticas recomendadas

Recomendamos las siguientes prácticas para crear reglas compuestas.

Optimiza para la latencia

Para minimizar la latencia en las canalizaciones de detección, comienza una secuencia de reglas con una regla de un solo evento, seguida de reglas compuestas. Las reglas de evento único tienen una mayor velocidad y frecuencia de ejecución que las reglas de evento múltiple, lo que ayuda a reducir la latencia general de las reglas compuestas.

Usa variables de resultado, metaetiquetas y variables de coincidencia

Recomendamos usar variables de resultado, etiquetas meta y variables match para unir detecciones en reglas compuestas. Estos métodos ofrecen las siguientes ventajas en comparación con el uso de muestras de eventos o referencias de detecciones de entrada:

Mayor confiabilidad: Proporciona resultados más determinísticos y confiables, en especial cuando las detecciones involucran muchos eventos contribuyentes.
Extracción de datos estructurados: Te permite extraer campos y puntos de datos específicos de los eventos para ayudarte a crear un sistema estructurado para organizar los datos de los eventos.
Correlación flexible: Las etiquetas meta te permiten categorizar reglas y, en consecuencia, las detecciones que se generan a partir de ellas, para unir detecciones de forma más flexible. Por ejemplo, si varias reglas comparten la misma etiqueta metatactic: exfiltration, puedes tener una regla compuesta que se oriente a cualquier detección en la que la etiqueta tactic tenga el valor exfiltration.

Cómo probar o ejecutar una búsqueda retroactiva

Cuando pruebas o realizas una búsqueda retroactiva de una regla compuesta, el sistema ejecuta solo la regla específica que seleccionas, con las detecciones existentes. Para ejecutar el compuesto completo, debes iniciar manualmente una búsqueda retroactiva desde la primera regla de la secuencia, esperar a que finalice y, luego, continuar con la siguiente regla.

Actualizar reglas

Cuando actualizas una regla que se usa en una o más reglas compuestas, el sistema crea automáticamente una nueva versión de la regla. Las reglas compuestas usan automáticamente la versión nueva. Te recomendamos que pruebes las reglas actualizadas para verificar su comportamiento previsto.

¿Qué sigue?

Para obtener información sobre cómo compilar reglas de detección compuestas, consulta Reglas de detección compuestas.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.