Présentation des détections composites

Compatible avec :

Ce document présente les détections composites et explique comment elles peuvent améliorer les workflows de détection des menaces en corrélant les résultats de plusieurs règles.

Les détections composites sont générées par des règles qui utilisent les détections d'autres règles comme entrée, combinées à des signaux d'événements, de métriques ou de risque d'entité. Ces règles sont ensuite combinées à des signaux d'événements, de métriques ou de risque d'entité pour détecter les menaces complexes et à plusieurs étapes que les règles individuelles peuvent manquer.

Les détections composites permettent d'analyser les événements grâce à des interactions et des déclencheurs de règles définis. Cela améliore la précision, réduit les faux positifs et offre une vue complète des menaces de sécurité en corrélant les données provenant de différentes sources et étapes d'attaque.

Les concepts suivants définissent les blocs de construction des règles composites et expliquent leur fonctionnement dans les workflows de détection :

  • Règles composites : elles utilisent des détections ou des alertes (ou les deux) comme entrée. Vous pouvez également les enrichir avec des événements, des métriques et un large éventail de données contextuelles provenant du graphique d'entités, telles que des données de prévalence, des renseignements sur les menaces ou un score de risque d'entité. Ces règles doivent toujours comporter une section de correspondance et peuvent faire référence à des métachamps, à des variables match et à des variables outcome issues des règles d'entrée.

  • Détection : résultat généré lorsque les conditions d'une règle sont remplies.

  • Règles de détection uniquement : règles composites qui n'utilisent que des détections ou des alertes comme entrées.

Quand utiliser les détections composites ?

Les détections composites peuvent être utiles pour atteindre les objectifs suivants :

  • Corrélez les résultats de deux règles ou plus (par exemple, en associant une détection de téléchargement de logiciel malveillant à une alerte de balise C2 ultérieure provenant du même hôte).

  • Enrichissez les alertes avec les données d'événements associés.

  • Réduisez la fatigue liée aux alertes en ne déclenchant une alerte finale que lorsqu'une détection bruyante et peu fiable se produit plusieurs fois ou en combinaison avec d'autres activités suspectes.

  • Créez une alerte pour une attaque complexe en plusieurs étapes, où chaque étape est déjà identifiée par sa propre règle.

Avantages des détections composites

Les détections composites présentent les avantages suivants :

  • Démasquer les attaques en plusieurs étapes : les cyberattaques sont souvent complexes et interconnectées. La détection composite révèle le scénario d'attaque plus large en associant des événements de sécurité apparemment isolés. Par exemple, les détections composites peuvent identifier la séquence complète d'une attaque, comme une intrusion initiale suivie d'une élévation des privilèges et d'une exfiltration de données.

  • Réduisez la fatigue liée aux alertes : les règles composites consolident et filtrent les alertes bruyantes, ce qui permet d'y répondre de manière plus ciblée. Cette approche permet de donner la priorité aux incidents à fort impact et de réduire la fatigue liée aux alertes.

  • Améliorer la précision de la détection : combinez les insights issus des événements du modèle de données unifié (UDM), des détections de règles, du contexte des entités, des résultats de l'analyse du comportement des utilisateurs et des entités (UEBA) et des tableaux de données pour créer une logique de détection plus précise.

  • Rationalisez la logique complexe : décomposez les scénarios de détection complexes en règles gérables, interconnectées et réutilisables pour simplifier le développement et la maintenance.

  • Utilisation dans les tableaux de bord : intégrez facilement les détections composites en tant que sources de données pour les tableaux de bord Google SecOps. Vous pouvez les utiliser pour créer des visualisations qui résument les schémas d'attaque en plusieurs étapes, ce qui facilite la compréhension des risques complexes.

Cas d'utilisation courants et exemples

Cette section répertorie quelques cas d'utilisation courants des détections composites.

Suivre l'activité des utilisateurs après la connexion

Cas d'utilisation principal axé sur l'association d'un événement de connexion d'utilisateur à des activités suspectes ultérieures. Alors qu'une règle multi-événements standard peut suivre une courte séquence, une détection composite est plus adaptée pour créer un profil de risque complet de l'ensemble de la session d'un utilisateur.

  • Objectif : Mettre en corrélation un événement unique, comme une connexion à haut risque, avec un large éventail d'activités "à signal faible" ultérieures sur une période plus longue, comme une journée entière.

  • Exemple : Créez plusieurs règles qui génèrent des détections de niveau inférieur. Utilisez ensuite une règle composite avec une longue fenêtre de correspondance (par exemple, 24 heures) pour déclencher une alerte lors d'une connexion suspecte initiale et la corréler avec l'une des détections suivantes du même utilisateur :

    • Un utilisateur efface l'historique de sa ligne de commande.

    • La création d'un compte administrateur local.

    • Importation de données volumineuses vers un site Cloud Storage personnel.

Combiner avec les métriques UEBA

Ce cas d'utilisation s'appuie sur les métriques UEBA existantes comme point de départ pour une détection composite permettant de trouver des comportements plus complexes et à long terme.

  • Objectif : corréler un pic dans une métrique UEBA avec une autre activité anormale.

  • Exemple :

    1. Une règle UEBA détecte un nombre excessif d'échecs de connexion pour un utilisateur.

    2. Une autre règle UEBA détecte un grand nombre d'octets sortants provenant du même utilisateur.

    3. Une détection composite associe ces deux résultats UEBA distincts sur une période de plusieurs jours pour identifier un éventuel piratage de compte suivi d'un vol de données.

Détecter les tentatives d'exfiltration de données

Cela implique de corréler plusieurs actions utilisateur distinctes qui, combinées, peuvent indiquer une tentative d'exfiltration de données.

  • Objectif : créer un profil de gestion des données à risque par un seul utilisateur sur plusieurs appareils et actions.

  • Actions corrélées :

    • Vous vous connectez sur plusieurs appareils (par exemple, votre ordinateur personnel et votre ordinateur professionnel).

    • Accès à un nombre de sources de données plus élevé que d'habitude.

    • Télécharger, imprimer et envoyer des données par e-mail simultanément.

    • Nombre de documents classifiés avec lesquels un utilisateur interagit au cours d'une période donnée.

    • Vous avez envoyé une lettre de démission.

Fonctionnement des détections composites

Lorsque les règles remplissent des conditions prédéfinies, elles génèrent des détections. Ces détections peuvent éventuellement inclure des variables de résultat, qui capturent des états de données ou d'événements spécifiques.

Les règles composites utilisent ces détections provenant d'autres règles comme entrées. L'évaluation peut être basée sur les informations de la section "meta" de la règle d'origine, les variables de résultat et les variables de correspondance.

Sur la base de cette évaluation, vous pouvez utiliser des règles composites pour créer de nouvelles détections à utiliser comme représentation intermédiaire pour l'analyse et les alertes avec une règle ultérieure. Cela permet de corréler plusieurs facteurs issus de différentes détections pour identifier les menaces complexes.

Pour en savoir plus sur la syntaxe et obtenir des exemples, consultez Syntaxe des règles composites et Exemples.

Définir votre stratégie

Avant de commencer à créer des règles composites, planifiez votre stratégie pour vous assurer que vos nouvelles règles sont efficaces, efficientes et résolvent les bons problèmes.

  1. Évaluez votre stratégie de détection actuelle. Examinez vos règles existantes pour identifier celles qui sont trop bruyantes, génèrent un nombre élevé de faux positifs ou sont trop complexes et difficiles à gérer.

  2. Déterminez les scénarios spécifiques dans lesquels les règles composites peuvent être utiles. Cela inclut la détection des attaques en plusieurs étapes, la corrélation de plusieurs alertes à faible niveau de confiance en une seule alerte à niveau de confiance élevé ou l'enrichissement des détections avec un contexte supplémentaire provenant d'autres sources de données.

  3. Créez un plan d'implémentation en fonction de votre évaluation. Décidez quelles règles bruyantes vous devez affiner, quelles règles complexes vous devez simplifier et quelles nouvelles détections en plusieurs étapes vous devez prioriser.

Ce plan défini fournit une feuille de route pour créer des règles composites ciblées et efficaces. Voici quelques stratégies générales pour tirer le meilleur parti des détections composites tout en gérant les contraintes techniques.

Sélectionnez la méthode appropriée.

Avant de créer une détection composite, vérifiez si vous pouvez obtenir le résultat souhaité avec d'autres alternatives. Analysez si vous pouvez identifier un schéma complexe avec une détection UEBA existante. Si vous compliquez trop une détection, vous risquez d'augmenter les frais de maintenance et de consommer votre quota de règles.

  • Utilisez une détection composite lorsque votre objectif est de corréler les résultats finaux de deux règles préexistantes différentes ou plus. Cela permet de relier des étapes d'une attaque qui sont conceptuellement distinctes.

    Exemple : corrélation d'une détection à partir d'une règle "Logiciel malveillant téléchargé" avec une détection ultérieure à partir d'une règle "Détection de balise C2".

  • Utilisez une détection UEBA existante lorsque vous souhaitez savoir quand un utilisateur ou un appareil rompt son schéma d'activité normal.

    Exemple : Détection automatique du fait qu'un utilisateur a téléchargé 100 Go de données aujourd'hui alors qu'il n'en télécharge normalement que 1 Go.

Gérer les quotas de règles et les scores de risque

Pour gérer les ressources de votre organisation, comprenez l'impact des différents types de règles sur votre quota de règles.

  • Les règles sélectionnées ne sont pas comptabilisées dans votre quota de règles personnalisées.

  • Les règles composites et les règles multievent personnalisées sont comptabilisées dans votre quota.

Vous pouvez utiliser une détection organisée en la définissant sur "Détection uniquement". Cela permet à la règle sélectionnée d'effectuer la détection générale initiale sans générer d'alertes. Vous pouvez ensuite utiliser une règle composite pour appliquer une logique spécifique à ces résultats, ce qui vous permet d'obtenir plus de valeur tout en gérant stratégiquement votre quota.

Comprendre la différence entre risque et contexte

Lorsque vous concevez une logique de détection, faites la distinction entre les règles qui évaluent le risque et celles qui fournissent du contexte.

Le risque correspond à l'évaluation du degré de dangerosité d'un ensemble d'activités. Une règle conçue pour le risque agrège souvent plusieurs événements ou détections contextuels pour émettre un jugement. Par exemple, si une seule tentative de connexion échoue, cela fournit un contexte. En revanche, si un grand nombre de tentatives échouent, cela indique un risque d'attaque par force brute.

Le contexte fait référence aux détails factuels entourant un événement. Une règle conçue pour le contexte enrichit un événement avec des détails provenant d'un autre événement. Par exemple, alors qu'une règle peut détecter une connexion utilisateur réussie, une règle contextuelle fournit le contexte crucial selon lequel cette connexion provient d'un pays nouveau et inhabituel.

Exemple : Une détection initiale peut vous alerter sur un risque potentiel, comme un appel DNS vers un domaine malveillant. Une règle composite met ensuite en corrélation cette alerte avec les journaux d'événements dans Google SecOps pour trouver le processus de ligne de commande spécifique qui a initié l'appel. Cela enrichit l'alerte de risque de haut niveau avec un contexte critique et exploitable.

Utiliser stratégiquement de longues fenêtres de correspondance

Les règles composites configurées avec de longues périodes de correspondance (par exemple, 14 jours) sont exécutées moins fréquemment. Leur latence élevée peut les rendre inadaptés aux alertes urgentes. Envisagez d'utiliser ces fenêtres de longue durée pour détecter les activités adverses lentes et persistantes sur de longues périodes.

Utiliser les détections pour la visualisation

Une stratégie pour gérer les règles bruyantes consiste à transformer leur sortie en visualisation sur un tableau de bord. Cette approche ne consomme pas de quota de règles et peut transformer des données à faible fidélité et à volume élevé en insights précieux.

En définissant une règle de détection uniquement, puis en traçant ses détections dans un widget de tableau de bord, vous pouvez suivre les tendances, identifier les valeurs aberrantes et obtenir une vue d'ensemble de l'activité sans être submergé par les alertes individuelles.

Exemple : Suivre le traitement des données permettant d'identifier personnellement l'utilisateur

Une règle permet de suivre chaque fois qu'un utilisateur manipule des données PII sensibles. Au lieu d'envoyer une alerte à chaque fois, il est configuré pour détecter uniquement. Un widget de tableau de bord indique ensuite les utilisateurs qui approchent d'une limite de sortie quotidienne (par exemple, 10,000 octets). Cela permet d'obtenir rapidement une vue d'audit des comportements à risque sans générer d'alertes constantes.

Exemple : Surveiller des risques spécifiques de protection contre la perte de données :

Un widget agrège les scores de risque d'un sous-ensemble très spécifique de règles de protection contre la perte de données. Cela permet à une équipe spécifique (par exemple, les administrateurs de la protection contre la perte de données) de surveiller uniquement les risques pertinents, en filtrant le bruit provenant d'autres domaines de sécurité.

Créer des détections composites

Le workflow suivant décrit le parcours type pour créer une règle composite. Pour obtenir la syntaxe complète et plus d'informations, consultez la syntaxe des règles composites et les exemples.

  1. Définissez le scénario de menace : définissez la menace spécifique que vous souhaitez détecter.

  2. Créez ou identifiez les règles d'entrée : pour chaque étape du scénario de menace, créez ou identifiez une règle d'entrée qui détecte l'activité spécifique.

  3. Définissez les conditions de jointure : identifiez l'élément d'information commun qui relie les détections de vos règles d'entrée, comme les libellés de règles, les variables ou les champs de détection.

  4. Créez la règle composite : rédigez la règle qui ingère les détections à partir des règles d'entrée.

    • Définissez la section events en faisant référence aux règles d'entrée par leur nom, leur ID ou un libellé de métadonnées partagé.

    • Définissez la section match pour spécifier la clé de jointure et la période de correspondance.

    • Définissez la section condition pour définir la condition à remplir pour que l'alerte finale se déclenche.

  5. Testez et déployez la chaîne de règles : nous vous recommandons d'exécuter manuellement une analyse rétroactive pour chaque règle de la séquence.

    Lorsque vous utilisez la fonctionnalité Tester la règle sur une règle composite, elle ne s'exécute que sur les détections préexistantes qui correspondent aux critères d'entrée de la règle. Il n'exécute pas automatiquement les règles sous-jacentes pour générer de nouvelles entrées pour le test, ce qui signifie que vous ne pouvez pas valider une chaîne de règles entière en une seule action.

    Pour exécuter une analyse rétroactive pour la séquence de règles :

    1. Démarrez manuellement une rétrochasse à partir de la première règle de la séquence.

    2. Attendez la fin de l'opération.

    3. Passez à la règle suivante.

Afficher les résultats de détection composite

Vous pouvez afficher les résultats de détection composite sur la page Détections. Une alerte est une détection composite lorsque la colonne Entrées indique Détection comme source et que la colonne Type de détection affiche un libellé Alerte suivi d'un nombre (par exemple, Alert (3)).

Remarque : Si vous disposez à la fois d'un SIEM et d'un SOAR, vous pouvez également afficher les résultats dans l'onglet Demandes.

Optimiser les détections composites

Nous vous recommandons de suivre les pratiques suivantes pour créer des règles composites.

Optimiser pour la latence

Pour une latence minimale dans les pipelines de détection, utilisez des règles à événement unique chaque fois que possible, par exemple pour le déclencheur initial. Les règles composites peuvent utiliser leurs détections pour effectuer des corrélations plus complexes avec d'autres événements, entités ou détections, ce qui permet de réduire la latence globale.

Utiliser des méthodes efficaces pour joindre les détections

Nous vous recommandons d'utiliser des variables de résultat, des métalibellés et des variables de correspondance pour joindre les détections. Ces méthodes fournissent des résultats plus déterministes et fiables que l'utilisation d'échantillons d'événements. Les libellés Meta sont particulièrement flexibles, car ils vous permettent de catégoriser les règles afin qu'une règle composite puisse cibler toute détection portant ce libellé.

Par exemple, si plusieurs règles partagent le même métalibellé tactic: exfiltration, vous pouvez créer une règle composite qui cible toute détection dont le libellé de tactique a la valeur exfiltration.

Améliorer les détections avec la bibliothèque de fonctions

Vous pouvez utiliser la bibliothèque de fonctions YARA-L à des points stratégiques d'une règle composite pour augmenter le signal et ajouter une logique plus complexe.

Gérer les mises à jour des règles

Lorsque vous modifiez une règle utilisée dans une ou plusieurs règles composites, le système crée automatiquement une nouvelle version de la règle. Les règles composites utilisent automatiquement la nouvelle version. Nous vous recommandons de tester l'intégralité de la séquence de règles modifiée pour vérifier le comportement souhaité.

Limites

Lorsque vous concevez et implémentez des détections composites, tenez compte des limites suivantes :

  • Règles composites : Google SecOps accepte une profondeur maximale de 10 pour les règles composites. La profondeur correspond au nombre de règles entre une règle de base et la règle composite finale.

  • Règles de détection uniquement : leur fenêtre de correspondance maximale est de 14 jours. Toutefois, les conditions suivantes s'appliquent :

    • Si la règle utilise des événements ingérés, des données de graphiques d'entités, des tableaux de données ou des listes de référence, la fenêtre de correspondance est limitée à 48 heures.

    • Les règles de détection uniquement sont soumises à une limite de détection quotidienne de 10 000 détections par règle.

  • Variables de résultat : chaque règle est limitée à 20 variables de résultat maximum. De plus, chaque variable de résultat répétée est limitée à 25 valeurs.

  • Exemples d'événements : seules 10 instances d'événements sont stockées par variable d'événement dans une règle, par exemple 10 pour $e1 et 10 pour $e2.

Pour en savoir plus sur les limites de détection, consultez Limites de détection.

Étapes suivantes

Pour savoir comment créer des règles de détection composites, consultez Règles de détection composites.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.