Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei rilevamenti compositi

Supportato in:

Google secops SIEM

Questo documento introduce i rilevamenti compositi e il modo in cui possono migliorare i flussi di lavoro di rilevamento delle minacce mettendo in correlazione gli output di più regole.

I rilevamenti compositi utilizzano regole composite, che consumano output (rilevamenti) di altre regole (in tutto o in parte), combinati con eventi, metriche o indicatori di rischio delle entità. Queste regole rilevano minacce complesse e in più fasi che le singole regole possono mancare.

I rilevamenti compositi possono aiutarti ad analizzare gli eventi tramite interazioni e trigger di regole definiti. In questo modo migliora l'accuratezza, riduce i falsi positivi e fornisce una visione completa delle minacce alla sicurezza mettendo in correlazione i dati provenienti da diverse origini e fasi di attacco.

I seguenti concetti definiscono i componenti di base delle regole composite e aiutano a chiarire il loro funzionamento all'interno dei flussi di lavoro di rilevamento:

Regole composite:utilizzano rilevamenti o avvisi come input, insieme a eventi, metriche o rischi per le entità facoltativi. Queste regole devono sempre avere una sezione match e possono fare riferimento a campi meta, etichette match e variabili outcome delle regole di input.

Rilevamento: il risultato di una regola. Può anche essere definito avviso.

Regole di solo rilevamento: regole composite che utilizzano solo rilevamenti o avvisi come input. Queste regole non contribuiscono al punteggio di rischio dell'entità. Qualsiasi punteggio di rischio impostato per una regola di solo rilevamento si applica solo ai rilevamenti che genera.

Vantaggi del rilevamento composito

I rilevamenti compositi offrono i seguenti vantaggi:

Scopri gli attacchi multifase: gli attacchi informatici sono spesso sfaccettati e interconnessi. Il rilevamento composito rivela la narrativa più ampia dell'attacco collegando incidenti apparentemente isolati. Ad esempio, i rilevamenti compositi possono identificare la sequenza completa di un attacco, ad esempio una violazione iniziale, seguita da escalation dei privilegi eesfiltrazione di datiti.

Riduzione dell'affaticamento da avvisi: le regole composite consolidano e filtrano gli avvisi rumorosi, consentendo una risposta più mirata. Questo approccio consente di dare la priorità agli incidenti ad alto impatto e ridurre l'affaticamento da avvisi complessivo.
Migliora la precisione del rilevamento: combina gli approfondimenti provenienti da eventi Unified Data Model (UDM), rilevamenti di regole, contesto delle entità, risultati di User and Entity Behavior Analytics (UEBA) e tabelle di dati per creare una logica di rilevamento più precisa.
Semplifica la logica complessa: suddividi scenari di rilevamento complessi in regole gestibili, interconnesse e riutilizzabili per semplificare lo sviluppo e la manutenzione.

Origine di input per le regole composite

Le regole composite acquisiscono i dati dalle raccolte come tipo di input, che memorizzano gli output delle regole eseguite in precedenza.

Limitazioni

Quando progetti e implementi rilevamenti compositi, tieni presente le seguenti limitazioni:

Regole composite: Google Security Operations supporta una profondità massima di 10 per le regole composite. La profondità è il numero di regole da una regola di base alla regola composita finale.
Regole di sola rilevazione: hanno una finestra di corrispondenza massima di 14 giorni. Tuttavia, si applicano le seguenti condizioni:
- Se la regola utilizza eventi importati, dati del grafico delle entità o elenchi di riferimento, la finestra di corrispondenza è limitata a 48 ore.
- Le regole di solo rilevamento sono soggette a un limite di rilevamento giornaliero di 10.000 rilevamenti per regola.
Variabili di risultato: ogni regola è limitata a un massimo di 20 variabili di risultato. Inoltre, ogni variabile di risultato ripetuta è limitata a 25 valori.
Esempi di eventi: in una regola vengono memorizzati solo 10 esempi di eventi per variabile evento (ad esempio, 10 per $e1 e 10 per $e2).

Per ulteriori informazioni sui limiti di rilevamento, vedi Limiti di rilevamento.

Come funzionano i rilevamenti compositi

Quando le regole a evento singolo o a più eventi soddisfano le condizioni predefinite, generano rilevamenti. Queste rilevazioni possono includere facoltativamente variabili di risultato, che acquisiscono dati o stati di eventi specifici.

Le regole composite utilizzano questi rilevamenti di altre regole come parte dei loro input. La valutazione può basarsi sui seguenti fattori delle regole che inizialmente generano i rilevamenti:

Contenuti definiti nella sezione meta della regola
Stato o insieme di attributi dei dati impostato dalle regole nelle variabili di risultato
Campi del rilevamento originale

In base a questa valutazione, le regole composite possono attivare avvisi e registrare nuove informazioni sullo stato. Ciò consente di correlare più fattori di rilevamenti diversi per identificare minacce complesse.

Per saperne di più, consulta la sintassi delle regole composite e gli esempi.

Best practice

Ti consigliamo di seguire le seguenti pratiche per creare regole composite.

Ottimizzare per la latenza

Per una latenza minima nelle pipeline di rilevamento, inizia una sequenza di regole con una regola a evento singolo, seguita da regole composite. Le regole a evento singolo hanno una velocità e una frequenza di esecuzione maggiori rispetto alle regole multi-evento, il che contribuisce a ridurre la latenza complessiva delle regole composite.

Utilizzare le variabili di risultato, le etichette meta e le variabili di corrispondenza

Ti consigliamo di utilizzare variabili di risultato, etichette meta e variabili match per unire i rilevamenti nelle regole composite. Questi metodi offrono i seguenti vantaggi rispetto all'utilizzo di campioni di eventi o riferimenti dalle rilevazioni di input:

Maggiore affidabilità: fornisci risultati più deterministici e affidabili, soprattutto quando i rilevamenti coinvolgono molti eventi che contribuiscono.
Estrazione dei dati strutturati: consente di estrarre campi e punti dati specifici dagli eventi per creare un sistema strutturato per organizzare i dati degli eventi.
Correlazione flessibile: le etichette meta ti consentono di classificare le regole e, di conseguenza, i rilevamenti generati da queste, per unire i rilevamenti in modo più flessibile. Ad esempio, se più regole condividono la stessa etichetta meta tactic: exfiltration, puoi avere una regola composita che ha come target qualsiasi rilevamento in cui l'etichetta tactic ha il valore exfiltration.

Testare o eseguire una retrocaccia

Quando testi o esegui la ricerca retroattiva di una regola composita, il sistema esegue solo la regola specifica che selezioni, utilizzando i rilevamenti esistenti. Per eseguire l'intera composizione, devi avviare manualmente una RetroHunt dalla prima regola della sequenza, attendere il completamento e poi continuare con la regola successiva.

Aggiorna regole

Quando aggiorni una regola utilizzata in una o più regole composite, il sistema crea automaticamente una nuova versione della regola. Le regole composite utilizzano automaticamente la nuova versione. Ti consigliamo di testare le regole aggiornate per verificarne il comportamento previsto.

Passaggi successivi

Per informazioni su come creare regole di rilevamento composite, vedi Regole di rilevamento composite.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.