复合检测概览

支持的平台:

本文档介绍了复合检测,以及它们如何通过关联多条规则的输出来增强威胁检测工作流。

复合检测使用复合规则,这些规则会使用其他规则的输出(检测)(全部或部分),并将其与事件、指标或实体风险信号结合使用。这些规则可检测个别规则可能错过的复杂多阶段威胁。

复合检测可通过定义的规则互动和触发器帮助分析事件。这通过关联来自不同来源和攻击阶段的数据,提高了准确性、减少了误报,并提供了对安全威胁的全面视图。

以下概念定义了复合规则的构成要素,并有助于阐明这些规则在检测工作流中的运作方式:

复合规则:使用检测或提醒作为输入,以及可选事件、指标或实体风险信号。这些规则始终必须包含 match 部分,并且可以引用输入规则中的 meta 字段、match 标签和 outcome 变量。

仅检测规则:仅使用检测或提醒作为输入的复合规则。

复合规则的输入源

复合规则会以集合作为输入类型注入数据,集合会存储之前运行的规则的输出。

限制

在设计和实现复合检测时,请考虑以下限制:

  • 复合规则 - Google Security Operations 支持复合规则的最大深度为 10。深度是指从基本规则到最终复合规则的规则数量。

  • 仅检测规则 - 匹配时间范围上限为 14 天。但是,请注意以下事项:

    • 如果规则使用提取的事件、实体图数据或参考列表,匹配时间范围将限制为 48 小时。
    • 仅检测规则的每日检测次数上限为每条规则 10,000 次。

  • 结果变量 - 每条规则最多只能有 20 个结果变量。此外,每个重复的结果变量最多只能包含 25 个值。

  • 事件示例 - 规则中每个事件变量仅存储 10 个事件示例(例如,$e1 为 10 个,$e2 为 10 个)。

如需详细了解检测限制,请参阅 检测限制

复合检测的工作原理

当单事件规则或多事件规则满足预定义条件时,它们会生成检测。这些检测可以选择性地包含结果变量,用于捕获特定数据或事件状态。

复合规则会将其他规则中的这些检测结果用作其输入的一部分。评估可以基于最初生成检测结果的规则的以下因素:

  • 规则的 meta 部分中定义的内容
  • 由结果变量中的规则设置的状态或数据属性
  • 原始检测中的字段

根据此评估,复合规则可以触发提醒并记录新的状态信息。这有助于关联来自不同检测的多个因素,以识别复杂的威胁。

如需了解详情,请参阅复合规则语法示例

最佳做法

我们建议您在构建复合规则时遵循以下做法。

针对延迟时间进行优化

为了尽可能缩短检测流水线中的延迟时间,请先使用单个事件规则启动规则序列,然后再使用复合规则。与多事件规则相比,单事件规则的执行速度和频率更高,这有助于缩短复合规则的总体延迟时间。

使用结果变量、元标签和匹配变量

我们建议您使用结果变量、meta 标签和 match 变量在复合规则中联接检测结果。与使用输入检测中的事件样本或引用相比,这些方法具有以下优势:

  • 提高了可靠性 - 提供更确定性和更可靠的结果,尤其是在检测涉及许多促成事件时。

  • 结构化数据提取 - 可让您从事件中提取特定字段和数据点,以帮助创建用于整理事件数据的结构化系统。

  • 灵活关联 - 借助 meta 标签,您可以对规则进行分类,进而对由这些规则生成的检测进行分类,以便更灵活地联接检测。例如,如果有多个规则共用相同的 meta 标签 tactic: exfiltration,您可以创建一个复合规则,以定位到 tactic 标签的值为 exfiltration 的任何检测。

后续步骤

如需了解如何构建复合检测规则,请参阅复合检测规则

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。