Esta página foi traduzida pela API Cloud Translation.

Visão geral das detecções compostas

Compatível com:

Google SecOps SIEM

Este documento apresenta as detecções compostas e como elas podem melhorar os fluxos de trabalho de detecção de ameaças correlacionando saídas de várias regras.

As detecções compostas usam regras compostas, que consomem saídas (detecções) de outras regras (total ou parcialmente), combinadas com eventos, métricas ou indicadores de risco de entidade. Essas regras detectam ameaças complexas e de várias etapas que as regras individuais podem perder.

As detecções compostas ajudam a analisar eventos por interações e acionadores de regras definidos. Isso melhora a precisão, reduz os falsos positivos e oferece uma visão abrangente das ameaças à segurança ao correlacionar dados de diferentes fontes e estágios de ataque.

Os conceitos a seguir definem os elementos básicos das regras compostas e ajudam a esclarecer como elas funcionam nos fluxos de trabalho de detecção:

Regras compostas:usam detecções ou alertas como entrada, além de eventos, métricas ou risco de entidade opcionais. Essas regras sempre precisam ter uma seção match e podem fazer referência a campos meta, rótulos match e variáveis outcome das regras de entrada.

Detecção: o resultado de uma regra. Também pode ser chamado de alerta.

Regras somente de detecção: regras compostas que usam apenas detecções ou alertas como entradas. Essas regras não contribuem para a pontuação de risco da entidade. Qualquer pontuação de risco definida para uma regra somente de detecção se aplica apenas às detecções geradas por ela.

Benefícios da detecção combinada

As detecções compostas têm os seguintes benefícios:

Revelar ataques de várias etapas: os ataques cibernéticos geralmente são multifacetados e interconectados. A detecção combinada revela a narrativa mais ampla do ataque ao vincular incidentes aparentemente isolados. Por exemplo, as detecções compostas podem identificar a sequência completa de um ataque, como uma violação inicial, seguida por escalonamento de privilégios e exfiltração de dados.

Reduza a fadiga de alertas: as regras compostas consolidam e filtram alertas ruidosos, permitindo uma resposta mais focada. Essa abordagem ajuda a priorizar incidentes de alto impacto e reduzir a fadiga geral de alertas.
Aumentar a precisão da detecção: combine insights de eventos do Modelo de dados unificado (UDM), detecções de regras, contexto de entidade, descobertas da análise do comportamento de usuários e entidades (UEBA) e tabelas de dados para criar uma lógica de detecção mais precisa.
Simplifique a lógica complexa: divida cenários de detecção complexos em regras gerenciáveis, interconectadas e reutilizáveis para simplificar o desenvolvimento e a manutenção.

Origem de entrada para regras compostas

As regras compostas ingerem dados de coleções como o tipo de entrada, que armazena saídas de regras executadas anteriormente.

Limitações

Ao projetar e implementar detecções compostas, considere as seguintes limitações:

Regras compostas: o Google Security Operations aceita uma profundidade máxima de 10 para regras compostas. A profundidade é o número de regras de uma regra básica até a regra composta final.
Regras somente de detecção: têm um período máximo de correspondência de 14 dias. No entanto, as seguintes condições se aplicam:
- Se a regra usar eventos ingeridos, dados de gráfico de entidades ou listas de referência, a janela de correspondência será limitada a 48 horas.
- As regras de apenas detecção estão sujeitas a um limite diário de 10.000 detecções por regra.
Variáveis de resultado: cada regra é limitada a um máximo de 20 variáveis de resultado. Além disso, cada variável de resultado repetida é limitada a 25 valores.
Exemplos de eventos: apenas 10 exemplos de eventos são armazenados por variável de evento em uma regra (por exemplo, 10 para $e1 e 10 para $e2).

Para mais informações sobre limites de detecção, consulte Limites de detecção.

Como as detecções compostas funcionam

Quando as regras de evento único ou múltiplo atendem a condições predefinidas, elas geram detecções. Essas detecções podem incluir variáveis de resultado, que capturam dados ou estados de eventos específicos.

As regras compostas usam essas detecções de outras regras como parte das entradas. A avaliação pode ser baseada nos seguintes fatores das regras que geram as detecções inicialmente:

Conteúdo definido na seção meta da regra
Estado ou conjunto de atributos de dados definido pelas regras nas variáveis de resultado
Campos da detecção original

Com base nessa avaliação, as regras compostas podem acionar alertas e registrar novas informações de estado. Isso ajuda a correlacionar vários fatores de diferentes detecções para identificar ameaças complexas.

Consulte a sintaxe das regras compostas e exemplos para mais informações.

Práticas recomendadas

Recomendamos as seguintes práticas para criar regras compostas.

Otimizar para latência

Para ter uma latência mínima nos pipelines de detecção, comece uma sequência de regras com uma regra de evento único, seguida por regras compostas. As regras de evento único têm maior velocidade e frequência de execução do que as regras de vários eventos, o que ajuda a reduzir a latência geral das regras compostas.

Usar variáveis de resultado, rótulos de metadados e variáveis de correspondência

Recomendamos usar variáveis de resultado, rótulos meta e variáveis match para combinar detecções em regras compostas. Esses métodos oferecem as seguintes vantagens em relação ao uso de amostras de eventos ou referências de detecções de entrada:

Maior confiabilidade: forneça resultados mais deterministas e confiáveis, especialmente quando as detecções envolvem muitos eventos contribuintes.
Extração de dados estruturados: permite extrair campos e pontos de dados específicos dos eventos para ajudar a criar um sistema estruturado de organização dos dados de eventos.
Correlação flexível: os rótulos meta permitem categorizar regras e, consequentemente, as detecções geradas por elas, para uma junção mais flexível de detecções. Por exemplo, se várias regras compartilharem o mesmo rótulo meta tactic: exfiltration, você poderá ter uma regra combinada que segmenta qualquer detecção em que o rótulo tactic tenha o valor exfiltration.

Testar ou executar uma retrocaça

Ao testar ou fazer uma busca retroativa de uma regra composta, o sistema executa apenas a regra específica selecionada, usando detecções atuais. Para executar todo o composto, você precisa iniciar manualmente uma RetroHunt com base na primeira regra da sequência, aguardar a conclusão e continuar com a próxima regra.

Atualizar regras

Quando você atualiza uma regra usada em uma ou mais regras compostas, o sistema cria automaticamente uma nova versão dela. As regras compostas usam automaticamente a nova versão. Recomendamos testar as regras atualizadas para verificar o comportamento pretendido.

A seguir

Para informações sobre como criar regras de detecção compostas, consulte regras de detecção compostas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.