Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan deteksi gabungan

Didukung di:

Google secops SIEM

Dokumen ini memperkenalkan deteksi komposit dan cara deteksi ini dapat meningkatkan alur kerja deteksi ancaman dengan mengorelasikan output dari beberapa aturan.

Deteksi komposit menggunakan aturan komposit, yang menggunakan output (deteksi) dari aturan lain (secara keseluruhan atau sebagian)—dikombinasikan dengan peristiwa, metrik, atau sinyal risiko entitas. Aturan ini mendeteksi ancaman multistage yang kompleks yang mungkin terlewatkan oleh aturan individual.

Deteksi komposit dapat membantu menganalisis peristiwa melalui interaksi dan pemicu aturan yang ditentukan. Hal ini meningkatkan akurasi, mengurangi positif palsu, dan memberikan gambaran komprehensif tentang ancaman keamanan dengan mengorelasikan data dari berbagai sumber dan tahap serangan.

Konsep berikut menentukan elemen penyusun aturan komposit dan membantu memperjelas cara kerjanya dalam alur kerja deteksi:

Aturan komposit: menggunakan deteksi atau pemberitahuan sebagai input, beserta peristiwa, metrik, atau risiko entitas opsional. Aturan ini harus selalu memiliki bagian match dan dapat mereferensikan kolom meta, label match, dan variabel outcome dari aturan input.

Deteksi: hasil aturan. Juga dapat disebut sebagai notifikasi.

Aturan hanya deteksi: aturan komposit yang hanya menggunakan deteksi atau pemberitahuan sebagai input. Aturan ini tidak berkontribusi pada skor risiko entitas. Skor risiko yang ditetapkan untuk aturan hanya deteksi hanya berlaku untuk deteksi yang dihasilkan.

Manfaat deteksi gabungan

Deteksi komposit memiliki manfaat berikut:

Mengungkap serangan multi-tahap: Serangan siber sering kali memiliki banyak aspek dan saling terhubung. Deteksi komposit mengungkapkan narasi serangan yang lebih luas dengan menautkan insiden yang tampaknya terisolasi. Misalnya, deteksi gabungan dapat mengidentifikasi urutan lengkap serangan, seperti pelanggaran awal, diikuti dengan eskalasi hak istimewa dan pemindahan data yang tidak sah.

Mengurangi kelelahan akibat pemberitahuan: Aturan komposit menggabungkan dan memfilter pemberitahuan yang tidak relevan, sehingga memungkinkan respons yang lebih terfokus. Pendekatan ini membantu memprioritaskan insiden berdampak tinggi dan mengurangi kelelahan akibat peringatan secara keseluruhan.
Meningkatkan akurasi deteksi: Gabungkan insight dari peristiwa Model Data Terpadu (UDM), deteksi aturan, konteks entitas, temuan Analisis Perilaku Pengguna dan Entitas (UEBA), dan tabel data untuk membangun logika deteksi yang lebih akurat.
Menyederhanakan logika yang kompleks: Memecah skenario deteksi yang kompleks menjadi aturan yang mudah dikelola, saling terhubung, dan dapat digunakan kembali untuk menyederhanakan pengembangan dan pemeliharaan.

Sumber input untuk aturan komposit

Aturan komposit menyerap data dari kumpulan sebagai jenis input, yang menyimpan output aturan yang dijalankan sebelumnya.

Batasan

Saat mendesain dan menerapkan deteksi gabungan, pertimbangkan batasan berikut:

Aturan komposit—Google Security Operations mendukung kedalaman maksimum 10 untuk aturan komposit. Kedalaman adalah jumlah aturan dari aturan dasar hingga aturan komposit akhir.
Aturan hanya deteksi—Memiliki periode pencocokan maksimum 14 hari. Namun, hal berikut berlaku:
- Jika aturan menggunakan peristiwa yang diproses, data grafik entitas, atau daftar referensi, jangka waktu pencocokan dibatasi hingga 48 jam.
- Aturan hanya deteksi tunduk pada batas deteksi harian sebanyak 10.000 deteksi per aturan.
Variabel hasil—Setiap aturan dibatasi hingga maksimum 20 variabel hasil. Selain itu, setiap variabel hasil yang berulang dibatasi hingga 25 nilai.
Contoh peristiwa—Hanya 10 contoh peristiwa yang disimpan per variabel peristiwa dalam aturan (misalnya, 10 untuk $e1 dan 10 untuk $e2).

Untuk mengetahui informasi selengkapnya tentang batas deteksi, lihat Batas deteksi.

Cara kerja deteksi gabungan

Jika aturan peristiwa tunggal atau multiperistiwa memenuhi kondisi yang telah ditentukan, aturan tersebut akan menghasilkan deteksi. Deteksi ini dapat secara opsional menyertakan variabel hasil, yang mencatat data atau status peristiwa tertentu.

Aturan komposit menggunakan deteksi ini dari aturan lain sebagai bagian dari inputnya. Evaluasi dapat didasarkan pada faktor-faktor berikut dari aturan yang awalnya menghasilkan deteksi:

Konten yang ditentukan di bagian meta aturan
Status atau set atribut data yang ditetapkan oleh aturan dalam variabel hasil
Kolom dari deteksi asli

Berdasarkan evaluasi ini, aturan gabungan dapat memicu pemberitahuan dan mencatat informasi status baru. Hal ini membantu mengorelasikan beberapa faktor dari berbagai deteksi untuk mengidentifikasi ancaman yang kompleks.

Lihat sintaksis aturan komposit dan contoh untuk mengetahui informasi selengkapnya.

Praktik terbaik

Kami merekomendasikan praktik berikut untuk membuat aturan komposit.

Mengoptimalkan latensi

Untuk latensi minimal dalam pipeline deteksi, mulai urutan aturan dengan aturan peristiwa tunggal, diikuti dengan aturan komposit. Aturan peristiwa tunggal memiliki kecepatan dan frekuensi eksekusi yang lebih tinggi daripada aturan multi-peristiwa, yang membantu mengurangi latensi keseluruhan untuk aturan komposit.

Menggunakan variabel hasil, label meta, dan variabel pencocokan

Sebaiknya gunakan variabel hasil, label meta, dan variabel match untuk menggabungkan deteksi dalam aturan komposit. Metode ini menawarkan keuntungan berikut dibandingkan dengan menggunakan sampel atau referensi peristiwa dari deteksi input:

Peningkatan keandalan—Memberikan hasil yang lebih deterministik dan andal, terutama saat deteksi melibatkan banyak peristiwa yang berkontribusi.
Ekstraksi data terstruktur—Memungkinkan Anda mengekstrak kolom dan titik data tertentu dari peristiwa untuk membantu membuat sistem terstruktur dalam mengatur data peristiwa.
Korelasi fleksibel—label meta memungkinkan Anda mengategorikan aturan, dan akibatnya, deteksi yang dihasilkan dari aturan tersebut, untuk penggabungan deteksi yang lebih fleksibel. Misalnya, jika beberapa aturan memiliki label meta yang sama tactic: exfiltration, Anda dapat memiliki aturan komposit yang menargetkan deteksi apa pun dengan label tactic yang memiliki nilai exfiltration.

Menguji atau menjalankan retrohunt

Saat Anda menguji atau melakukan retrohunt aturan komposit, sistem hanya menjalankan aturan spesifik yang Anda pilih, menggunakan deteksi yang ada. Untuk menjalankan seluruh komposit, Anda harus memulai retrohunt secara manual dari aturan pertama dalam urutan, menunggu hingga selesai, lalu melanjutkan dengan aturan berikutnya.

Perbarui aturan

Saat Anda memperbarui aturan yang digunakan dalam satu atau beberapa aturan komposit, sistem akan otomatis membuat versi baru aturan tersebut. Aturan komposit otomatis menggunakan versi baru. Sebaiknya uji aturan yang diperbarui untuk memverifikasi perilaku yang diinginkan.

Langkah berikutnya

Untuk mengetahui informasi tentang cara membuat aturan deteksi komposit, lihat aturan deteksi komposit.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.