複合検出の概要

以下でサポートされています。

このドキュメントでは、複合検出と、複数のルールの出力を関連付けることで脅威検出ワークフローを強化する方法について説明します。

複合検出では、他のルール(全体または一部)の出力(検出)をイベント、指標、エンティティ リスクシグナルと組み合わせて使用する複合ルールが使用されます。これらのルールは、個々のルールでは見逃される可能性のある複雑な多段階の脅威を検出します。

複合検出は、定義されたルール インタラクションとトリガーを通じてイベントを分析するのに役立ちます。これにより、精度が向上し、誤検出が減少し、さまざまなソースと攻撃ステージのデータを関連付けることで、セキュリティ脅威の包括的なビューが提供されます。

次のコンセプトは、複合ルールの構成要素を定義し、検出ワークフロー内での機能の仕組みを明確にするのに役立ちます。

複合ルール: 検出またはアラートを入力として使用します。イベント、指標、エンティティ リスクは省略可能です。これらのルールには常に match セクションがあり、入力ルールから meta フィールド、match ラベル、outcome 変数を参照できます。

検出: ルールの結果。アラートとも呼ばれます。

検出のみのルール: 検出またはアラートのみを入力として使用する複合ルール。これらのルールは、エンティティのリスクスコアに影響しません。検出専用ルールに設定されたリスクスコアは、そのルールで生成された検出にのみ適用されます。

複合検出のメリット

複合検出には、次のようなメリットがあります。

多段階攻撃を特定する: サイバー攻撃は多くの場合、多面的で相互に関連しています。複合検出は、一見独立しているインシデントを関連付けることで、攻撃の全体像を明らかにします。たとえば、複合検出では、最初の侵害に続いて権限昇格とデータ漏洩が発生するなど、攻撃シーケンス全体を特定できます。

  • アラート疲労を軽減する: 複合ルールは、ノイズの多いアラートを統合してフィルタし、より的を絞った対応を可能にします。このアプローチにより、影響の大きいインシデントを優先し、アラート疲労を軽減できます。

  • 検出精度を高める: 統合データモデル(UDM)イベント、ルール検出、エンティティ コンテキスト、ユーザーとエンティティの行動分析(UEBA)の結果、データテーブルの分析情報を組み合わせて、より正確な検出ロジックを構築します。

  • 複雑なロジックを合理化する: 複雑な検出シナリオを、管理可能で相互接続された再利用可能なルールに分割して、開発とメンテナンスを簡素化します。

複合ルールの入力ソース

複合ルールは、入力タイプとしてコレクションからデータを取り込みます。このコレクションには、以前に実行されたルールの出力が保存されます。

制限事項

複合検出を設計して実装する際は、次の制限事項を考慮してください。

  • 複合ルール - Google Security Operations は、複合ルールの最大深さを 10 までサポートしています。深さは、基本ルールから最終的な複合ルールまでのルールの数です。

  • 検出専用ルール - 最大一致ウィンドウは 14 日間です。ただし、次の点が適用されます。

    • ルールで取り込まれたイベント、エンティティ グラフデータ、リファレンス リストを使用する場合、一致ウィンドウは 48 時間に制限されます。
    • 検出専用ルールには、ルールあたり 1 日 10,000 件の検出上限が適用されます。

  • 結果変数 - 各ルールで使用できる結果変数は最大 20 個です。また、各繰り返し結果変数は 25 個の値に制限されます。

  • イベント サンプル - ルールのイベント変数ごとに 10 個のイベント サンプルのみが保存されます(例: $e1 に 10 個、$e2 に 10 個)。

検出上限の詳細については、 検出上限をご覧ください。

複合検出の仕組み

単一イベント ルールまたはマルチイベント ルールが事前定義された条件を満たすと、検出が生成されます。これらの検出には、特定のデータやイベントの状態をキャプチャする結果変数を含めることもできます。

複合ルールは、他のルールからのこれらの検出を入力の一部として使用します。評価は、最初に検出を生成するルールの次の要素に基づいて行うことができます。

  • ルールの meta セクションで定義されたコンテンツ
  • 結果変数のルールによって設定される状態またはデータ属性
  • 元の検出のフィールド

この評価に基づいて、複合ルールはアラートをトリガーし、新しい状態情報を記録できます。これにより、さまざまな検出結果から複数の要因を関連付け、複雑な脅威を特定できます。

詳細については、複合ルールの構文をご覧ください。

ベスト プラクティス

複合ルールを作成する際は、次の方法をおすすめします。

レイテンシを最適化する

検出パイプラインのレイテンシを最小限に抑えるには、単一イベント ルールでルール シーケンスを開始し、複合ルールを続けます。単一イベントルールは、マルチイベント ルールよりも実行速度と頻度が高いため、複合ルールの全体的なレイテンシを短縮できます。

出力変数、メタラベル、一致変数を使用する

複合ルールで検出を結合するには、結果変数、meta ラベル、match 変数を使用することをおすすめします。これらのメソッドには、入力検出のイベント サンプルや参照を使用するよりも次のような利点があります。

  • 信頼性の向上 - 特に検出に多くのイベントが関連している場合に、より確定的で信頼性の高い結果を提供します。

  • 構造化データの抽出 - イベントから特定のフィールドとデータポイントを抽出して、イベントデータを整理するための構造化システムを作成できます。

  • 柔軟な関連付け - meta ラベルを使用すると、ルールと、そこから生成された検出を分類して、検出をより柔軟に結合できます。たとえば、複数のルールが同じ meta ラベル tactic: exfiltration を共有している場合、tactic ラベルの値が exfiltration である検出をターゲットとする複合ルールを作成できます。

レトロハントをテストまたは実行する

複合ルールをテストまたはレトロハントすると、システムは既存の検出を使用して、選択した特定のルールのみを実行します。複合全体を実行するには、シーケンスの最初のルールから Retrohunt を手動で開始し、完了するまで待ってから、次のルールに進む必要があります。

ルールを更新

1 つ以上の複合ルールで使用されているルールを更新すると、ルールの新しいバージョンが自動的に作成されます。複合ルールでは、新しいバージョンが自動的に使用されます。更新されたルールをテストして、意図した動作を確認することをおすすめします。

次のステップ

複合検出ルールを作成する方法については、複合検出ルールをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。