Cette page a été traduite par l'API Cloud Translation.

Présentation des détections composites

Compatible avec :

Google SecOps SIEM

Ce document présente les détections composites et explique comment elles peuvent améliorer les workflows de détection des menaces en corrélant les résultats de plusieurs règles.

Les détections composites utilisent des règles composites, qui consomment des sorties (détections) d'autres règles (en tout ou en partie), combinées à des signaux d'événements, de métriques ou de risque d'entité. Ces règles détectent les menaces complexes et à plusieurs étapes que les règles individuelles peuvent manquer.

Les détections composites peuvent vous aider à analyser les événements grâce à des interactions et des déclencheurs de règles définis. Cela améliore la précision, réduit les faux positifs et offre une vue complète des menaces de sécurité en corrélant les données provenant de différentes sources et étapes d'attaque.

Les concepts suivants définissent les blocs de construction des règles composites et permettent de clarifier leur fonctionnement dans les workflows de détection :

Règles composites : elles utilisent des détections ou des alertes comme entrée, ainsi que des événements, des métriques ou des risques liés aux entités (facultatifs). Ces règles doivent toujours comporter une section match et peuvent faire référence à des champs meta, des libellés match et des variables outcome provenant des règles d'entrée.

Détection : résultat d'une règle. On parle également d'alerte.

Règles de détection uniquement : règles composites qui n'utilisent que des détections ou des alertes comme entrées. Ces règles ne contribuent pas au score de risque de l'entité. Tout score de risque défini pour une règle de détection uniquement ne s'applique qu'aux détections qu'elle génère.

Avantages de la détection composite

Les détections composites présentent les avantages suivants :

Démasquer les attaques en plusieurs étapes : les cyberattaques sont souvent complexes et interconnectées. La détection composite révèle le scénario d'attaque plus large en associant des incidents apparemment isolés. Par exemple, les détections composites peuvent identifier la séquence complète d'une attaque, comme une intrusion initiale, suivie d'une élévation des privilèges et d'une exfiltration de données.

Réduisez la fatigue liée aux alertes : les règles composites consolident et filtrent les alertes bruyantes, ce qui permet une réponse plus ciblée. Cette approche permet de hiérarchiser les incidents à fort impact et de réduire la fatigue liée aux alertes.
Améliorer la précision de la détection : combinez les insights provenant des événements du modèle de données unifié (UDM), des détections de règles, du contexte des entités, des résultats de l'analyse du comportement des utilisateurs et des entités (UEBA) et des tableaux de données pour créer une logique de détection plus précise.
Rationalisez la logique complexe : décomposez les scénarios de détection complexes en règles gérables, interconnectées et réutilisables pour simplifier le développement et la maintenance.

Source d'entrée pour les règles composites

Les règles composites ingèrent les données des collections comme type d'entrée, qui stockent les sorties des règles exécutées précédemment.

Limites

Lorsque vous concevez et implémentez des détections composites, tenez compte des limites suivantes :

Règles composites : Google Security Operations accepte une profondeur maximale de 10 pour les règles composites. La profondeur correspond au nombre de règles entre une règle de base et la règle composite finale.
Règles de détection uniquement : la fenêtre de correspondance maximale est de 14 jours. Toutefois, les éléments suivants s'appliquent :
- Si la règle utilise des événements ingérés, des données de graphique d'entités ou des listes de référence, la fenêtre de correspondance est limitée à 48 heures.
- Les règles de détection uniquement sont soumises à une limite de détection quotidienne de 10 000 détections par règle.
Variables de résultat : chaque règle est limitée à 20 variables de résultat maximum. De plus, chaque variable de résultat répétée est limitée à 25 valeurs.
Exemples d'événements : seules 10 instances d'événements sont stockées par variable d'événement dans une règle (par exemple, 10 pour $e1 et 10 pour $e2).

Pour en savoir plus sur les limites de détection, consultez Limites de détection.

Fonctionnement des détections composites

Lorsque des règles à événement unique ou à événements multiples remplissent des conditions prédéfinies, elles génèrent des détections. Ces détections peuvent éventuellement inclure des variables de résultat, qui capturent des états de données ou d'événements spécifiques.

Les règles composites utilisent ces détections provenant d'autres règles comme entrées. L'évaluation peut être basée sur les facteurs suivants des règles qui génèrent initialement les détections :

Contenu défini dans la section meta de la règle
État ou ensemble d'attributs de données définis par les règles dans les variables de résultat
Champs de la détection d'origine

Sur la base de cette évaluation, les règles composites peuvent déclencher des alertes et enregistrer de nouvelles informations sur l'état. Cela permet de corréler plusieurs facteurs issus de différentes détections pour identifier les menaces complexes.

Pour en savoir plus, consultez la syntaxe des règles composites et les exemples.

Bonnes pratiques

Nous vous recommandons de suivre les pratiques suivantes pour créer des règles composites.

Optimiser pour la latence

Pour une latence minimale dans les pipelines de détection, commencez une séquence de règles par une règle à événement unique, suivie de règles composites. Les règles à événement unique ont une vitesse et une fréquence d'exécution plus élevées que les règles multi-événements, ce qui permet de réduire la latence globale des règles composites.

Utiliser des variables de résultat, des métalibellés et des variables de correspondance

Nous vous recommandons d'utiliser des variables de résultat, des libellés meta et des variables match pour joindre les détections dans les règles composites. Ces méthodes offrent les avantages suivants par rapport à l'utilisation d'échantillons d'événements ou de références à partir de détections d'entrée :

Fiabilité améliorée : fournit des résultats plus déterministes et fiables, en particulier lorsque les détections impliquent de nombreux événements contributeurs.
Extraction de données structurées : vous permet d'extraire des champs et des points de données spécifiques à partir des événements pour vous aider à créer un système structuré d'organisation des données d'événement.
Corrélation flexible : les libellés meta vous permettent de classer les règles et, par conséquent, les détections générées à partir de celles-ci, pour une association plus flexible des détections. Par exemple, si plusieurs règles partagent le même libellé metatactic: exfiltration, vous pouvez créer une règle composite qui cible toute détection dont le libellé tactic a la valeur exfiltration.

Tester ou exécuter une rétrochasse

Lorsque vous testez ou effectuez une recherche rétroactive sur une règle composite, le système n'exécute que la règle spécifique que vous sélectionnez, en utilisant les détections existantes. Pour exécuter l'ensemble du composite, vous devez démarrer manuellement une recherche RetroHunt à partir de la première règle de la séquence, attendre qu'elle se termine, puis passer à la règle suivante.

Mettre à jour les règles

Lorsque vous modifiez une règle utilisée dans une ou plusieurs règles composites, le système crée automatiquement une nouvelle version de la règle. Les règles composites utilisent automatiquement la nouvelle version. Nous vous recommandons de tester les règles mises à jour pour vérifier leur comportement prévu.

Étapes suivantes

Pour savoir comment créer des règles de détection composites, consultez Règles de détection composites.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.