Descripción general de las detecciones compuestas
En este documento, se presentan las detecciones compuestas y cómo pueden mejorar los flujos de trabajo de detección de amenazas correlacionando los resultados de varias reglas.
Las detecciones compuestas se generan a partir de reglas que usan detecciones de otras reglas como entrada, combinadas con eventos, métricas o indicadores de riesgo de entidades. Luego, estas reglas se combinan con eventos, métricas o indicadores de riesgo de entidades para detectar amenazas complejas de varias etapas que las reglas individuales pueden pasar por alto.
Las detecciones compuestas ayudan a analizar eventos a través de interacciones y activadores de reglas definidos. Esto mejora la precisión, reduce los falsos positivos y proporciona una vista integral de las amenazas de seguridad, ya que correlaciona los datos de diferentes fuentes y etapas de ataque.
Los siguientes conceptos definen los componentes básicos de las reglas compuestas y aclaran cómo funcionan dentro de los flujos de trabajo de detección:
Reglas compuestas: Usan detecciones o alertas (o ambas) como entrada. De manera opcional, puedes enriquecerlos con eventos, métricas y una amplia variedad de datos contextuales del gráfico de entidades, como datos de prevalencia, inteligencia sobre amenazas o una puntuación de riesgo de la entidad. Estas reglas siempre deben tener una sección de coincidencia y pueden hacer referencia a metacampos, variables
matchy variablesoutcomede las reglas de entrada.Detección: Es el resultado que se genera cuando se cumplen las condiciones de una regla.
Reglas de solo detección: Son reglas compuestas que solo usan detecciones o alertas como entradas.
Cuándo usar las detecciones compuestas
Las detecciones compuestas pueden ser útiles para lograr los siguientes objetivos:
Correlacionar los resultados de dos o más reglas (por ejemplo, vincular una detección de descarga de software malicioso con una alerta posterior de baliza de C2 del mismo host)
Enriquecer las alertas con datos de eventos relacionados
Reducir la fatiga que generan las alertas activando solo una alerta final cuando se produce una detección ruidosa y de baja confianza varias veces o en combinación con otra actividad sospechosa
Crea una alerta para un ataque complejo de varias etapas en el que cada etapa ya se identifica con su propia regla.
Beneficios de las detecciones compuestas
Las detecciones compuestas tienen los siguientes beneficios:
Descubrir ataques de varias etapas: Los ciberataques suelen ser multifacéticos y estar interconectados. La detección compuesta revela la narrativa de ataque más amplia vinculando eventos de seguridad aparentemente aislados. Por ejemplo, las detecciones compuestas pueden identificar la secuencia completa de un ataque, como una vulneración inicial seguida de una elevación de privilegios y una robo de datos.
Reduce la fatiga por alertas: Las reglas compuestas consolidan y filtran las alertas ruidosas, lo que permite una respuesta más enfocada. Este enfoque ayuda a priorizar los incidentes de alto impacto y a reducir la fatiga general por alertas.
Mejora la precisión de la detección: Combina estadísticas de los eventos del modelo de datos unificado (UDM), las detecciones de reglas, el contexto de la entidad, los hallazgos del análisis del comportamiento de usuarios y entidades (UEBA) y las tablas de datos para crear una lógica de detección más precisa.
Optimiza la lógica compleja: Desglosa las situaciones de detección complejas en reglas administrables, interconectadas y reutilizables para simplificar el desarrollo y el mantenimiento.
Uso en paneles: Integra sin problemas las detecciones compuestas como fuentes de datos para los paneles de Google SecOps. Puedes usarlos para crear visualizaciones que resuman los patrones de ataque de varias etapas, lo que facilita la comprensión de los riesgos complejos.
Casos de uso y ejemplos habituales
En esta sección, se enumeran algunos casos de uso comunes para las detecciones compuestas.
Haz un seguimiento de la actividad del usuario después de acceder
Un caso de uso principal que se enfoca en vincular el evento de acceso de un usuario con actividades sospechosas posteriores. Si bien una regla estándar de varios eventos puede hacer un seguimiento de una secuencia corta, una detección compuesta es mejor para crear un perfil de riesgo integral de toda la sesión de un usuario.
Objetivo: Correlacionar un solo evento, como un acceso de alto riesgo, con una amplia variedad de actividades posteriores de "señal débil" durante un período más prolongado, como un día completo.
Ejemplo: Crea varias reglas que produzcan detecciones de nivel inferior. Luego, usa una regla compuesta con un período de coincidencia prolongado (por ejemplo, 24 horas) para activarla en un acceso sospechoso inicial y correlacionarlo con cualquiera de las siguientes detecciones del mismo usuario:
Un usuario borra su historial de línea de comandos.
Se creó una nueva cuenta de administrador local.
Se subieron grandes cantidades de datos a un sitio personal de Cloud Storage.
Combina con las métricas de UEBA
Este caso de uso aprovecha las métricas existentes de UEBA como punto de partida para una detección compuesta que permita encontrar comportamientos más complejos y a largo plazo.
Objetivo: Correlacionar un aumento repentino en una métrica de UEBA con otra actividad anómala.
Ejemplo:
Una regla de UEBA detecta una cantidad excesiva de errores de acceso para un usuario.
Otra regla de UEBA detecta una gran cantidad de bytes de salida del mismo usuario.
Una detección compuesta vincula estos dos hallazgos separados del UEBA durante un período de días para identificar una posible vulneración de la cuenta seguida del robo de datos.
Detectar intentos de robo de datos
Esto implica correlacionar varias acciones distintas del usuario que, cuando se combinan, podrían indicar un intento de exfiltrar datos.
Objetivo: Crear un perfil del manejo de datos riesgosos por parte de un solo usuario en varios dispositivos y acciones.
Acciones correlacionadas:
Acceder desde varios dispositivos (por ejemplo, la computadora de la casa y la del trabajo)
Acceder a más fuentes de datos de lo habitual
Descargar, imprimir y enviar datos por correo electrónico de forma simultánea
Recuento de la cantidad de documentos clasificados con los que interactúa un usuario en un período.
Haber presentado una carta de renuncia
Cómo funcionan las detecciones compuestas
Cuando las reglas cumplen con las condiciones predefinidas, generan detecciones. Estas detecciones pueden incluir, de manera opcional, variables de resultado, que capturan estados específicos de datos o eventos.
Las reglas compuestas usan estas detecciones de otras reglas como parte de sus entradas. La evaluación puede basarse en la información de la sección de metadatos, las variables de resultado y las variables de coincidencia de la regla original.
Según esta evaluación, puedes usar reglas compuestas para crear nuevas detecciones que se utilizarán como una representación intermedia para la investigación y las alertas con una regla posterior. Esto ayuda a correlacionar varios factores de diferentes detecciones para identificar amenazas complejas.
Para obtener más información sobre la sintaxis y los ejemplos, consulta la sintaxis de las reglas compuestas y los ejemplos.
Define tu estrategia
Antes de comenzar a crear reglas compuestas, planifica tu estrategia para asegurarte de que las nuevas reglas sean eficaces, eficientes y resuelvan los problemas correctos.
Evalúa tu estrategia de detección actual. Revisa las reglas existentes para identificar las que son demasiado ruidosas, generan una gran cantidad de falsos positivos o son demasiado complejas y difíciles de administrar.
Determina las situaciones específicas en las que las reglas compuestas pueden aportar valor. Esto incluye la detección de ataques de varias etapas, la correlación de varias alertas de baja confianza en una sola alerta de alta confianza o el enriquecimiento de las detecciones con contexto adicional de otras fuentes de datos.
Según tu evaluación, crea un plan de implementación. Decide qué reglas ruidosas debes refinar, qué reglas complejas debes simplificar y qué nuevas detecciones de varias etapas debes priorizar.
Este plan definido proporciona una hoja de ruta para crear reglas compuestas efectivas y segmentadas. Considera las siguientes estrategias generales para obtener el mayor valor posible de las detecciones compuestas y, al mismo tiempo, administrar las restricciones técnicas.
Selecciona el método adecuado
Antes de crear una detección compuesta, si puedes lograr el resultado requerido con otras alternativas. Analiza si puedes identificar un patrón complejo con una detección de UEBA existente. Complicar demasiado una detección podría aumentar los gastos generales de mantenimiento y consumir la cuota de reglas.
Usa una detección compuesta cuando tu objetivo sea correlacionar los resultados finales de dos o más reglas diferentes preexistentes. Esto conecta etapas de un ataque que, conceptualmente, están separadas.
Ejemplo: Correlacionar una detección de una regla de Malware Downloaded con una detección posterior de una regla de C2 Beaconing Detected.
Usa una detección de UEBA existente cuando quieras saber cuándo un usuario o dispositivo rompe su patrón normal de actividad.
Ejemplo: Detectar automáticamente que un usuario descargó 100 GB de datos hoy, cuando normalmente solo descarga 1 GB.
Administra las cuotas de reglas y las puntuaciones de riesgo
Para administrar los recursos de tu organización, debes comprender cómo los diferentes tipos de reglas afectan tu cuota de reglas.
Las reglas seleccionadas no se consideran en tu cuota de reglas personalizadas.
Las reglas compuestas y las reglas personalizadas de varios eventos se incluyen en tu cuota.
Puedes usar una detección seleccionada configurándola como solo detección. Esto permite que la regla seleccionada realice la detección inicial general sin generar alertas. Luego, puedes usar una regla compuesta para aplicar una lógica específica a estos hallazgos, lo que proporciona más valor y, al mismo tiempo, administra tu cuota de forma estratégica.
Comprende la diferencia entre riesgo y contexto
Cuando diseñes la lógica de detección, distingue entre las reglas que evalúan el riesgo y las que proporcionan contexto.
El riesgo es la evaluación de qué tan peligroso es un conjunto de actividades. Una regla diseñada para el riesgo a menudo agrega varios eventos o detecciones contextuales para emitir un juicio. Por ejemplo, si bien un solo intento de acceso fallido proporciona contexto, una gran cantidad de ellos indica el riesgo de un ataque de fuerza bruta.
El contexto se refiere a los detalles fácticos que rodean un evento. Una regla diseñada para enriquecer el contexto enriquece un evento con detalles de otro. Por ejemplo, si bien una regla puede detectar un acceso exitoso del usuario, una regla contextual proporciona el contexto crucial de que este acceso provino de un país nuevo e inusual.
Ejemplo: Una detección inicial puede alertarte sobre un riesgo potencial, como una llamada DNS a un dominio malicioso. Luego, una regla compuesta correlaciona esa alerta con los registros de eventos en Google SecOps para encontrar el proceso específico de la línea de comandos que inició la llamada. Esto enriquece la alerta de riesgo de alto nivel con contexto crítico y práctico.
Usa ventanas de concordancia largas de forma estratégica
Las reglas compuestas configuradas con ventanas de coincidencia largas (por ejemplo, de 14 días) se ejecutan con menos frecuencia. Su alta latencia puede hacer que no sean adecuados para las alertas urgentes. Considera usar estos períodos prolongados para detectar actividad adversaria lenta y persistente durante períodos extendidos.
Usa las detecciones para la visualización
Una estrategia para administrar las reglas ruidosas es convertir su resultado en una visualización en un panel. Este enfoque no consume la cuota de reglas y puede convertir datos de gran volumen y baja fidelidad en estadísticas valiosas.
Si estableces una regla para solo detectar y, luego, registras sus detecciones en un widget del panel, puedes hacer un seguimiento de las tendencias, identificar valores atípicos y obtener una vista de auditoría de alto nivel de la actividad sin sentirte abrumado por las alertas individuales.
Ejemplo: Seguimiento del manejo de datos de PII
Una regla hace un seguimiento cada vez que un usuario manipula datos de PII sensibles.
En lugar de alertar cada vez, está configurado para detectar solamente. Luego, un widget del panel muestra qué usuarios se acercan a un límite de salida diario (por ejemplo, 10,000 bytes). Esto proporciona una vista rápida de auditoría del comportamiento riesgoso sin generar alertas constantes.
Ejemplo: Supervisa riesgos específicos de la DLP:
Un widget agrega las puntuaciones de riesgo de un subconjunto muy específico de reglas de DLP. Esto permite que un equipo específico (por ejemplo, los administradores de la Prevención de pérdida de datos [DLP]) supervisen solo los riesgos pertinentes y filtren el ruido de otros dominios de seguridad.
Cómo crear detecciones compuestas
En el siguiente flujo de trabajo, se describe el proceso típico para crear una regla compuesta. Para ver la sintaxis y los detalles completos, consulta la sintaxis de las reglas compuestas y los ejemplos.
Define la situación de amenaza: Define la amenaza específica que deseas detectar.
Crea o identifica las reglas de entrada: Para cada etapa de la situación de amenaza, crea o identifica una regla de entrada que detecte la actividad específica.
Define las condiciones de unión: Determina la información común que vincula las detecciones de tus reglas de entrada, como etiquetas de reglas, variables o campos de detección.
Crea la regla compuesta: Escribe la regla que ingiere las detecciones de las reglas de entrada.
Define la sección
events, haciendo referencia a las reglas de entrada por su nombre, ID o una etiqueta de metadatos compartida.Define la sección
matchpara especificar la clave de unión y el período para la coincidencia.Define la sección
conditionpara establecer la condición que se debe cumplir para que se active la alerta final.
Prueba y, luego, implementa la cadena de reglas: Te recomendamos que ejecutes manualmente una búsqueda retrospectiva para cada regla de la secuencia.
Cuando usas la función Probar regla en una regla compuesta, solo se ejecuta en las detecciones preexistentes que coinciden con los criterios de entrada de la regla. No ejecuta automáticamente las reglas subyacentes para generar nuevas entradas para la prueba, lo que significa que no puedes validar una cadena de reglas completa en una sola acción.
Para ejecutar una búsqueda retroactiva de la secuencia de reglas, haz lo siguiente:
Inicia manualmente una búsqueda retroactiva a partir de la primera regla de la secuencia.
Espera a que se complete.
Continúa con la siguiente regla.
Cómo ver los resultados de detección compuesta
Puedes ver los resultados de la detección compuesta en la página Detecciones. Una alerta es una detección compuesta cuando la columna Entradas muestra Detección como fuente y la columna Tipo de detección muestra una etiqueta Alerta con un número junto a ella (por ejemplo, Alert (3)).
Nota: Si tienes SIEM y SOAR, también puedes ver los resultados en la pestaña Cases.
Cómo optimizar las detecciones compuestas
Recomendamos las siguientes prácticas para crear reglas compuestas.
Optimiza la latencia
Para minimizar la latencia en las canalizaciones de detección, usa reglas de un solo evento siempre que sea posible, como para el activador inicial. Las reglas compuestas pueden usar sus detecciones para realizar correlaciones más complejas con otros eventos, entidades o detecciones, lo que ayuda a reducir la latencia general.
Usa métodos eficientes para unir detecciones
Recomendamos usar variables de resultado, metaetiquetas y variables de coincidencia para unir las detecciones. Estos métodos proporcionan resultados más determinísticos y confiables que el uso de muestras de eventos. Las etiquetas de metadatos son particularmente flexibles porque te permiten categorizar reglas para que una regla compuesta pueda segmentar cualquier detección con esa etiqueta.
Por ejemplo, si varias reglas comparten la misma metaetiqueta tactic: exfiltration, puedes tener una regla compuesta que se oriente a cualquier detección en la que la etiqueta de táctica tenga el valor exfiltration.
Mejora las detecciones con la biblioteca de funciones
Puedes usar la biblioteca de funciones de YARA-L en puntos estratégicos dentro de una regla compuesta para aumentar la señal y agregar lógica más compleja.
Administra las actualizaciones de reglas
Cuando actualizas una regla que se usa en una o más reglas compuestas, el sistema crea automáticamente una nueva versión de la regla. Las reglas compuestas usan automáticamente la versión nueva. Te recomendamos que pruebes toda la secuencia de reglas actualizada para verificar el comportamiento previsto.
Limitaciones
Cuando diseñes e implementes detecciones compuestas, ten en cuenta las siguientes limitaciones:
Reglas compuestas: Google SecOps admite una profundidad máxima de 10 para las reglas compuestas. La profundidad es la cantidad de reglas desde una regla base hasta la regla compuesta final.
Reglas de solo detección: Tienen una ventana de coincidencia máxima de 14 días. Sin embargo, se aplican las siguientes condiciones:
Si la regla usa eventos transferidos, datos del gráfico de entidades, tablas de datos o listas de referencia, la ventana de coincidencia se limita a 48 horas.
Las reglas de solo detección están sujetas a un límite diario de 10,000 detecciones por regla.
Variables de resultado: Cada regla está limitada a un máximo de 20 variables de resultado. Además, cada variable de resultado repetida se limita a 25 valores.
Muestras de eventos: Solo se almacenan 10 muestras de eventos por variable de evento en una regla, por ejemplo, 10 para
$e1y 10 para$e2.
Para obtener más información sobre los límites de detección, consulta Límites de detección.
¿Qué sigue?
Para obtener información sobre cómo compilar reglas de detección compuestas, consulta Reglas de detección compuestas.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.