Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei rilevamenti compositi

Supportato in:

Google SecOps SIEM

Questo documento introduce i rilevamenti compositi e spiega come possono migliorare i workflow di rilevamento delle minacce mettendo in correlazione gli output di più regole.

I rilevamenti compositi vengono generati da regole che utilizzano i rilevamenti di altre regole come input, combinati con eventi, metriche o indicatori di rischio delle entità. Queste regole vengono poi combinate con eventi, metriche o indicatori di rischio delle entità per rilevare minacce complesse e multifase che le singole regole possono mancare.

I rilevamenti compositi consentono di analizzare gli eventi tramite interazioni e trigger delle regole definiti. In questo modo migliora l'accuratezza, riduce i falsi positivi e fornisce una visione completa delle minacce alla sicurezza mettendo in correlazione i dati provenienti da diverse origini e fasi di attacco.

I seguenti concetti definiscono i componenti di base delle regole composite e chiariscono il loro funzionamento all'interno dei flussi di lavoro di rilevamento:

Regole composite: utilizzano rilevamenti o avvisi (o entrambi) come input. Se vuoi, puoi arricchirli con eventi, metriche e un'ampia gamma di dati contestuali del grafico delle entità, come dati di prevalenza, informazioni sulle minacce o un punteggio di rischio dell'entità. Queste regole devono sempre avere una sezione di corrispondenza e possono fare riferimento a campi meta, variabili match e variabili outcome delle regole di input.
Rilevamento: output generato quando le condizioni di una regola vengono soddisfatte.
Regole di solo rilevamento: regole composite che utilizzano solo rilevamenti o avvisi come input.

Quando utilizzare i rilevamenti compositi

I rilevamenti compositi possono essere utili per raggiungere i seguenti obiettivi:

Correlare i risultati di due o più regole (ad esempio, collegando un rilevamento di download di malware con un successivo avviso di beaconing C2 dallo stesso host).
Arricchisci gli avvisi con i dati degli eventi correlati.
Riduce l'affaticamento da avvisi attivando un avviso finale solo quando un rilevamento rumoroso e a bassa confidenza si verifica più volte o in combinazione con altre attività sospette.
Crea un avviso per un attacco complesso e in più fasi in cui ogni fase è già identificata dalla propria regola.

Vantaggi dei rilevamenti compositi

I rilevamenti compositi offrono i seguenti vantaggi:

Scopri gli attacchi multifase: gli attacchi informatici sono spesso sfaccettati e interconnessi. Il rilevamento composito rivela la narrativa più ampia dell'attacco collegando eventi di sicurezza apparentemente isolati. Ad esempio, i rilevamenti compositi possono identificare la sequenza completa di un attacco, ad esempio una violazione iniziale seguita dall'escalation dei privilegi e dall&#3esfiltrazione di datiti.
Riduzione dell'affaticamento da avvisi: le regole composite consolidano e filtrano gli avvisi rumorosi, consentendo una risposta più mirata. Questo approccio consente di dare la priorità agli incidenti ad alto impatto e ridurre l'affaticamento da avvisi complessivo.
Migliora la precisione del rilevamento: combina gli approfondimenti provenienti da eventi Unified Data Model (UDM), rilevamenti di regole, contesto delle entità, risultati di User and Entity Behavior Analytics (UEBA) e tabelle di dati per creare una logica di rilevamento più precisa.
Semplifica la logica complessa: suddividi scenari di rilevamento complessi in regole gestibili, interconnesse e riutilizzabili per semplificare lo sviluppo e la manutenzione.
Utilizzo nelle dashboard: integra perfettamente i rilevamenti compositi come origini dati per le dashboard di Google SecOps. Puoi utilizzarli per creare visualizzazioni che riepilogano i pattern di attacco in più fasi, semplificando la comprensione dei rischi complessi.

Casi d'uso ed esempi comuni

Questa sezione elenca alcuni casi d'uso comuni per i rilevamenti compositi.

Monitorare l'attività utente dopo l'accesso

Un caso d'uso principale incentrato sul collegamento dell'evento di accesso di un utente con attività sospette successive. Mentre una regola standard multi-evento può monitorare una sequenza breve, un rilevamento composito è più adatto per creare un profilo di rischio completo dell'intera sessione di un utente.

Obiettivo: correlare un singolo evento, come un accesso ad alto rischio, con un'ampia gamma di attività "deboli" successive per un periodo di tempo più lungo, ad esempio un'intera giornata.
Esempio: crea più regole che producono rilevamenti di livello inferiore. Quindi, utilizza una regola composita con una finestra di corrispondenza lunga (ad esempio 24 ore) per attivare un accesso iniziale sospetto e metterlo in correlazione con uno dei seguenti rilevamenti dello stesso utente:
- Un utente che cancella la cronologia della riga di comando.
- La creazione di un nuovo account amministratore locale.
- Un caricamento di grandi quantità di dati su un sito Cloud Storage personale.

Combinare con le metriche UEBA

Questo caso d'uso sfrutta le metriche UEBA esistenti come punto di partenza per un rilevamento composito per trovare comportamenti più complessi e a lungo termine.

Obiettivo: correlare un picco in una metrica UEBA con un'altra attività anomala.
Esempio:
1. Una regola UEBA rileva un numero eccessivo di tentativi di accesso non riusciti per un utente.
2. Un'altra regola UEBA rileva un numero elevato di byte in uscita dallo stesso utente.
3. Un rilevamento composito collega questi due risultati UEBA separati per un periodo di giorni per identificare una potenziale compromissione dell'account seguita dal furto di dati.

Rilevare i tentativi di esfiltrazione di dati

Ciò comporta la correlazione di diverse azioni utente distinte che, combinate, potrebbero indicare un tentativo di esfiltrazione dei dati.

Obiettivo: creare un profilo di gestione dei dati rischiosa da parte di un singolo utente su più dispositivi e azioni.
Azioni correlate:
- Accesso da più dispositivi (ad esempio, computer di casa e di lavoro).
- Accesso a un numero maggiore di origini dati rispetto al solito.
- Scaricamento, stampa e invio simultanei dei dati.
- Conteggio del numero di documenti classificati che un utente tocca in un periodo di tempo.
- Aver presentato una lettera di dimissioni.

Come funzionano i rilevamenti compositi

Quando le regole soddisfano le condizioni predefinite, generano rilevamenti. Questi rilevamenti possono includere facoltativamente variabili di risultato, che acquisiscono stati specifici di dati o eventi.

Le regole composite utilizzano questi rilevamenti di altre regole come parte dei loro input. La valutazione può basarsi sulle informazioni della sezione meta della regola originale, sulle variabili di risultato e sulle variabili di corrispondenza.

In base a questa valutazione, puoi utilizzare regole composite per creare nuove rilevazioni da utilizzare come rappresentazione intermedia per l'indagine e gli avvisi con una regola successiva. Ciò consente di correlare più fattori di diverse rilevazioni per identificare minacce complesse.

Per ulteriori informazioni sulla sintassi e sugli esempi, consulta Sintassi delle regole composite e Esempi.

Definisci la tua strategia

Prima di iniziare a creare regole composite, pianifica la tua strategia per assicurarti che le nuove regole siano efficaci, efficienti e risolvano i problemi giusti.

Valuta la tua attuale strategia di rilevamento. Esamina le regole esistenti per identificare quelle troppo rumorose, che generano un numero elevato di falsi positivi o che sono eccessivamente complesse e difficili da gestire.
Determina gli scenari specifici in cui le regole composite possono fornire valore. Ciò include il rilevamento di attacchi in più fasi, la correlazione di più avvisi a bassa confidenza in un unico avviso ad alta confidenza o l'arricchimento dei rilevamenti con contesto aggiuntivo da altre origini dati.
In base alla tua valutazione, crea un piano di implementazione. Decidi quali regole rumorose devi perfezionare, quali regole complesse devi semplificare e quali nuove rilevazioni in più fasi devi dare la priorità.

Questo piano definito fornisce una roadmap per la creazione di regole composite mirate ed efficaci. Prendi in considerazione le seguenti strategie di alto livello per ottenere il massimo valore dalle rilevazioni composite gestendo al contempo i vincoli tecnici.

Seleziona il metodo appropriato

Prima di creare un rilevamento composito, se puoi ottenere il risultato richiesto con altre alternative. Analizza se riesci a identificare un pattern complesso con un rilevamento UEBA esistente. Una rilevazione troppo complessa potrebbe aumentare i costi di manutenzione e consumare la quota di regole.

Utilizza un rilevamento composito quando: il tuo obiettivo è correlare i risultati finali di due o più regole diverse preesistenti. In questo modo vengono collegate fasi concettualmente separate di un attacco.

Esempio: correlare un rilevamento da una regola Malware scaricato con un rilevamento successivo da una regola Beaconing C2 rilevato.
Utilizza un rilevamento UEBA esistente quando: vuoi scoprire quando un utente o un dispositivo interrompe il suo normale pattern di attività.

Esempio: rilevamento automatico del download di 100 GB di dati da parte di un utente oggi, quando normalmente ne scarica solo 1 GB.

Gestire le quote delle regole e i punteggi di rischio

Per gestire le risorse della tua organizzazione, scopri in che modo i diversi tipi di regole influenzano la quota di regole.

Le regole curate non vengono conteggiate ai fini della quota di regole personalizzate.
Le regole composite e le regole personalizzate multi-evento vengono conteggiate ai fini della quota.

Puoi utilizzare un rilevamento curato impostandolo su solo rilevamento. In questo modo, la regola curata esegue il rilevamento iniziale generale senza generare avvisi. Puoi quindi utilizzare una regola composita per applicare una logica specifica a questi risultati, fornendo più valore e gestendo strategicamente la quota.

Comprendere la differenza tra rischio e contesto

Quando progetti la logica di rilevamento, distingui tra regole che valutano il rischio e regole che forniscono il contesto.

Il rischio è la valutazione della pericolosità di un insieme di attività. Una regola progettata per il rischio spesso aggrega più eventi o rilevamenti contestuali per formulare un giudizio. Ad esempio, un singolo tentativo di accesso non riuscito fornisce un contesto, mentre un numero elevato di tentativi indica il rischio di un attacco di tipo brute force.

Il contesto si riferisce ai dettagli fattuali che circondano un evento. Una regola progettata per il contesto arricchisce un evento con i dettagli di un altro. Ad esempio, mentre una regola può rilevare un accesso utente riuscito, una regola contestuale fornisce il contesto cruciale che questo accesso proviene da un paese nuovo e insolito.

Esempio: un rilevamento iniziale può avvisarti di un potenziale rischio, ad esempio una chiamata DNS a un dominio dannoso. Una regola composita correla poi l'avviso con i log eventi in Google SecOps per trovare il processo della riga di comando specifico che ha avviato la chiamata. Ciò arricchisce l'avviso di rischio di alto livello con un contesto critico e fruibile.

Utilizzare in modo strategico finestre di corrispondenza lunghe

Le regole composite configurate con finestre di corrispondenza lunghe (ad esempio 14 giorni) vengono eseguite meno frequentemente. La loro latenza elevata può renderli inadatti per gli avvisi sensibili al tempo. Valuta la possibilità di utilizzare questi intervalli di lunga durata per rilevare attività ostili lente e persistenti per periodi prolungati.

Utilizzare i rilevamenti per la visualizzazione

Una strategia per gestire le regole rumorose è trasformare il loro output in una visualizzazione in una dashboard. Questo approccio non consuma la quota di regole e può trasformare dati a volume elevato e bassa fedeltà in approfondimenti preziosi.

Se imposti una regola per rilevare solo e poi tracci le rilevazioni in un widget del dashboard, puoi monitorare le tendenze, identificare i valori anomali e ottenere una visione di controllo di alto livello dell'attività senza essere sopraffatto dai singoli avvisi.

Esempio: monitorare la gestione dei dati PII

Una regola tiene traccia di ogni volta che un utente gestisce dati PII sensibili. Anziché inviare un avviso ogni volta, è impostato solo per il rilevamento. Un widget della dashboard mostra poi quali utenti si stanno avvicinando a un limite di uscita giornaliero (ad esempio, 10,000 byte). In questo modo, viene fornita una rapida visualizzazione di controllo del comportamento rischioso senza generare avvisi costanti.

Esempio: monitorare rischi DLP specifici:

Un widget aggrega i punteggi di rischio di un sottoinsieme molto specifico di regole DLP. In questo modo, un team specifico (ad esempio gli amministratori della prevenzione della perdita di dati (DLP)) può monitorare solo i rischi pertinenti, filtrando il rumore di altri domini di sicurezza.

Creare rilevamenti compositi

Il seguente flusso di lavoro descrive il percorso tipico per la creazione di una regola composita. Per la sintassi e i dettagli completi, consulta la sintassi delle regole composite e gli esempi.

Definisci lo scenario di minaccia: definisci la minaccia specifica che vuoi rilevare.
Crea o identifica le regole di input: per ogni fase dello scenario di minaccia, crea o identifica una regola di input che rilevi l'attività specifica.
Definisci le condizioni di unione: determina l'informazione comune che collega i rilevamenti delle regole di input, ad esempio etichette delle regole, variabili o campi di rilevamento.
Crea la regola composita: scrivi la regola che acquisisce i rilevamenti dalle regole di input.
- Definisci la sezione events, facendo riferimento alle regole di input in base al nome, all'ID o a un'etichetta meta condivisa.
- Definisci la sezione match per specificare la chiave di join e la finestra temporale per la corrispondenza.
- Definisci la sezione condition per impostare la condizione che deve essere soddisfatta per l'attivazione dell'avviso finale.
Testa e implementa la catena di regole: ti consigliamo di eseguire manualmente una retrohunt per ogni regola della sequenza.

Quando utilizzi la funzionalità Testa regola su una regola composita, viene eseguita solo su rilevamenti preesistenti che corrispondono ai criteri di input della regola. Non esegue automaticamente le regole sottostanti per generare nuovi input per il test, il che significa che non puoi convalidare un'intera catena di regole in una singola azione.

Per eseguire una retrocaccia per la sequenza di regole:
1. Avvia manualmente una retrocaccia dalla prima regola della sequenza.
2. Attendi il completamento.
3. Continua con la regola successiva.
Suggerimento: per evitare di corrispondere accidentalmente ai risultati di rilevamento precedenti durante il test, valuta la possibilità di aggiungere un meta: label univoco a ogni regola all'interno della catena composita.

Visualizzare i risultati del rilevamento composito

Puoi visualizzare i risultati del rilevamento composito nella pagina Rilevamenti. Un avviso è un rilevamento composito quando la colonna Input mostra Rilevamento come origine e la colonna Tipo di rilevamento mostra un'etichetta Avviso con un numero accanto (ad esempio, Alert (3)).

Nota: se disponi sia di SIEM che di SOAR, puoi anche visualizzare i risultati nella scheda Richieste.

Ottimizzare i rilevamenti compositi

Ti consigliamo di seguire le seguenti pratiche per creare regole composite.

Ottimizzare per la latenza

Per una latenza minima nelle pipeline di rilevamento, utilizza regole per singoli eventi ogni volta che è possibile, ad esempio per l'attivatore iniziale. Le regole composite possono utilizzare le rilevazioni per eseguire correlazioni più complesse con altri eventi, entità o rilevazioni, il che contribuisce a ridurre la latenza complessiva.

Utilizzare metodi efficienti per unire i rilevamenti

Ti consigliamo di utilizzare variabili di risultato, metaetichette e variabili di corrispondenza per unire i rilevamenti. Questi metodi forniscono risultati più deterministici e affidabili rispetto all'utilizzo di campioni di eventi. Le metaetichette sono particolarmente flessibili perché ti consentono di classificare le regole in modo che una regola composita possa scegliere come target qualsiasi rilevamento con quell'etichetta.

Ad esempio, se più regole condividono la stessa metaetichetta tactic: exfiltration, puoi avere una regola composita che ha come target qualsiasi rilevamento in cui l'etichetta della tattica ha il valore exfiltration.

Migliorare i rilevamenti con la libreria di funzioni

Puoi utilizzare la libreria di funzioni YARA-L in punti strategici all'interno di una regola composita per aumentare il segnale e aggiungere una logica più complessa.

Gestire gli aggiornamenti delle regole

Quando aggiorni una regola utilizzata in una o più regole composite, il sistema crea automaticamente una nuova versione della regola. Le regole composite utilizzano automaticamente la nuova versione. Ti consigliamo di testare l'intera sequenza di regole aggiornata per verificare il comportamento previsto.

Limitazioni

Quando progetti e implementi rilevamenti compositi, tieni presente le seguenti limitazioni:

Regole composite: Google SecOps supporta una profondità massima di 10 per le regole composite. La profondità è il numero di regole da una regola di base alla regola composita finale.
Regole di solo rilevamento: hanno una finestra di corrispondenza massima di 14 giorni. Tuttavia, si applicano le seguenti condizioni:
- Se la regola utilizza eventi importati, dati del grafico delle entità, tabelle di dati o elenchi di riferimento, la finestra di corrispondenza è limitata a 48 ore.
- Le regole di solo rilevamento sono soggette a un limite di rilevamento giornaliero di 10.000 rilevamenti per regola.
Variabili di risultato: ogni regola è limitata a un massimo di 20 variabili di risultato. Inoltre, ogni variabile di risultato ripetuta è limitata a 25 valori.
Esempi di eventi: in una regola vengono memorizzati solo 10 esempi di eventi per variabile evento, ad esempio 10 per $e1 e 10 per $e2.

Per ulteriori informazioni sui limiti di rilevamento, vedi Limiti di rilevamento.

Passaggi successivi

Per informazioni su come creare regole di rilevamento composite, vedi Regole di rilevamento composite.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.