Esta página foi traduzida pela API Cloud Translation.

Informações gerais sobre detecções compostas

Compatível com:

Google SecOps SIEM

Este documento apresenta as detecções compostas e como elas podem melhorar os fluxos de trabalho de detecção de ameaças ao correlacionar as saídas de várias regras.

As detecções compostas usam regras compostas, que consomem saídas (detecções) de outras regras (inteira ou parcialmente) combinadas com eventos, métricas ou indicadores de risco de entidade. Essas regras detectam ameaças complexas e em vários estágios que as regras individuais podem perder.

As detecções compostas podem ajudar a analisar eventos por interações e gatilhos de regras definidos. Isso melhora a precisão, reduz os falsos positivos e fornece uma visão abrangente das ameaças de segurança ao correlacionar dados de diferentes fontes e estágios de ataque.

Os conceitos a seguir definem os elementos básicos das regras compostas e ajudam a esclarecer como elas funcionam nos fluxos de trabalho de detecção:

Regras compostas:use detecções ou alertas como entrada, junto com eventos, métricas ou risco de entidade opcionais. Essas regras precisam sempre ter uma seção match e podem fazer referência a campos meta, rótulos match e variáveis outcome das regras de entrada.

Regras somente de detecção: regras compostas que usam apenas detecções ou alertas como entradas.

Origem de entrada para regras compostas

As regras compostas consomem dados de coleções como o tipo de entrada, que armazenam saídas de regras executadas anteriormente.

Limitações

Ao projetar e implementar detecções compostas, considere as seguintes limitações:

Regras compostas: o Google Security Operations oferece suporte a uma profundidade máxima de 10 para regras compostas. A profundidade é o número de regras de uma regra de base até a regra composta final.
Regras somente de detecção: têm uma janela de correspondência máxima de 14 dias. No entanto, o seguinte se aplica:
- Se a regra usar eventos ingeridos, dados de gráfico de entidade ou listas de referência, o período de correspondência será limitado a 48 horas.
- As regras de apenas detecção estão sujeitas a um limite diário de 10.000 detecções por regra.
Variáveis de resultado: cada regra é limitada a um máximo de 20 variáveis de resultado. Além disso, cada variável de resultado repetida é limitada a 25 valores.
Exemplos de eventos: apenas 10 exemplos de eventos são armazenados por variável de evento em uma regra (por exemplo, 10 para $e1 e 10 para $e2).

Para mais informações sobre os limites de detecção, consulte Limites de detecção.

Como as detecções compostas funcionam

Quando as regras de eventos únicos ou múltiplos atendem a condições predefinidas, elas geram detecções. Essas detecções podem incluir variáveis de resultado, que capturam dados ou estados de eventos específicos.

As regras compostas usam essas detecções de outras regras como parte das entradas. A avaliação pode ser baseada nos seguintes fatores das regras que geram as detecções inicialmente:

Conteúdo definido na seção meta da regra
Estado ou atributo de dados definido pelas regras nas variáveis de resultado
Campos da detecção original

Com base nessa avaliação, as regras compostas podem acionar alertas e registrar novas informações de estado. Isso ajuda a correlacionar vários fatores de detecções diferentes para identificar ameaças complexas.

Consulte a sintaxe de regras compostas e os exemplos para mais informações.

Práticas recomendadas

Recomendamos as práticas a seguir para criar regras compostas.

Otimizar para latência

Para minimizar a latência nos pipelines de detecção, inicie uma sequência de regras com uma regra de evento único, seguida por regras compostas. As regras de evento único têm maior velocidade e frequência de execução do que as regras de eventos múltiplos, o que ajuda a reduzir a latência geral das regras compostas.

Usar variáveis de resultado, metarótulos e variáveis de correspondência

Recomendamos o uso de variáveis de resultado, identificadores meta e variáveis match para agrupar as detecções em regras compostas. Esses métodos oferecem as seguintes vantagens em relação ao uso de amostras de eventos ou referências de detecções de entrada:

Melhoria na confiabilidade: forneça resultados mais determinísticos e confiáveis, especialmente quando as detecções envolvem muitos eventos que contribuem.
Extração de dados estruturados: permite extrair campos e pontos de dados específicos dos eventos para ajudar a criar um sistema estruturado para organizar os dados dos eventos.
Correção flexível: os rótulos meta permitem categorizar regras e, consequentemente, as detecções geradas por elas para uma combinação mais flexível de detecções. Por exemplo, se várias regras compartilharem o mesmo rótulo meta tactic: exfiltration, você poderá ter uma regra composta que segmenta qualquer detecção em que o rótulo tactic tenha o valor exfiltration.

A seguir

Para saber como criar regras de detecção compostas, consulte regras de detecção compostas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.