本頁面由 Cloud Translation API 翻譯而成。

複合偵測項目總覽

支援的國家/地區：

Google SecOps SIEM

本文將介紹複合式偵測功能，以及如何透過關聯多項規則的輸出內容，強化威脅偵測工作流程。

複合式偵測會使用複合式規則，並取用其他規則的輸出內容 (偵測結果) (全部或部分)，再結合事件、指標或實體風險信號。這類規則可偵測複雜的多階段威脅，個別規則可能無法偵測到這類威脅。

複合式偵測功能可透過定義的規則互動和觸發條件，協助分析事件。這項功能會關聯不同來源和攻擊階段的資料，提高準確度、減少誤報，並提供安全威脅的全面檢視畫面。

下列概念定義複合規則的建構區塊，有助於釐清這些規則在偵測工作流程中的運作方式：

複合式規則：以偵測結果或快訊做為輸入內容，並搭配選用的事件、指標或實體風險。這些規則一律須包含 match 區段，且可參照輸入規則中的 meta 欄位、match 標籤和 outcome 變數。

偵測：規則的結果。也稱為「快訊」。

僅限偵測的規則：僅使用偵測或快訊做為輸入內容的複合規則。這些規則不會影響實體的風險分數。僅供偵測的規則所設定的任何風險分數，只會套用至該規則產生的偵測結果。

複合式偵測的優點

複合式偵測具有下列優點：

揭露多階段攻擊：網路攻擊通常是多面向且相互關聯的。複合式偵測功能會連結看似孤立的事件，揭露更廣泛的攻擊情節。舉例來說，複合式偵測可以識別攻擊的完整序列，例如初始入侵，接著是權限提升和資料外洩。

減少警報疲乏：複合規則會整合及篩除雜訊警報，讓您更專注於應變。這種做法有助於優先處理影響重大的事件，並減少整體警報疲乏。
提高偵測準確度：整合來自統一資料模型 (UDM) 事件、規則偵測、實體脈絡、使用者和實體行為分析 (UEBA) 發現項目，以及資料表的洞察資料，建構更準確的偵測邏輯。
簡化複雜的邏輯：將複雜的偵測情境分解為可管理、互連且可重複使用的規則，簡化開發和維護作業。

複合規則會從集合擷取資料做為輸入類型，這些集合會儲存先前執行的規則輸出內容。

設計及實作複合偵測時，請考量下列限制：

複合規則：Google Security Operations 支援的複合規則深度上限為 10。深度是指從基本規則到最終複合規則的規則數量。
僅供偵測的規則：比對視窗最多 14 天。不過，以下情況適用：
- 如果規則使用擷取的事件、實體圖形資料或參照清單，比對時間範圍會限制在 48 小時內。
- 僅偵測規則的每日偵測次數上限為每項規則 10,000 次。
結果變數：每個規則最多只能有 20 個結果變數。此外，每個重複的結果變數最多只能有 25 個值。
事件樣本：規則中的每個事件變數只會儲存 10 個事件樣本 (例如，$e1 10 個，$e2 10 個)。

如要進一步瞭解偵測限制，請參閱偵測限制。

單一事件或多重事件規則符合預先定義的條件時，就會產生偵測結果。這些偵測結果可視需要包含結果變數，用於擷取特定資料或事件狀態。

複合規則會將其他規則的偵測結果做為輸入內容。評估依據可以是最初產生偵測結果的規則，包括下列因素：

根據這項評估結果，複合規則可以觸發快訊並記錄新的狀態資訊。這有助於關聯不同偵測結果中的多個因素，以找出複雜威脅。

建議您採用下列做法建立複合規則。

如要在偵測管線中盡量減少延遲，請先使用單一事件規則啟動規則序列，再使用複合規則。單一事件規則的執行速度和頻率高於多重事件規則，有助於降低複合規則的整體延遲時間。

建議您使用結果變數、meta標籤和match變數，在複合規則中加入偵測結果。相較於使用事件樣本或輸入偵測的參照，這些方法具有下列優點：

提升可靠性：提供更具決定性且可靠的結果，尤其是在偵測作業涉及許多相關事件時。
結構化資料擷取：可從事件中擷取特定欄位和資料點，協助建立結構化系統來整理事件資料。
彈性關聯：meta 標籤可讓您分類規則，以及從這些規則產生的偵測結果，以便更彈性地加入偵測結果。舉例來說，如果多項規則共用相同的 meta 標籤 tactic: exfiltration，您可以建立複合規則，指定 tactic 標籤值為 exfiltration 的任何偵測結果。

測試或回溯搜尋複合規則時，系統只會使用現有偵測結果，執行您選取的特定規則。如要執行整個複合規則，您需要從序列中的第一個規則手動啟動 RetroHunt，等待完成，然後繼續下一個規則。

更新一或多個複合規則中使用的規則時，系統會自動建立新版本的規則。複合規則會自動使用新版本。建議您測試更新後的規則，確認是否符合預期。

如要瞭解如何建立複合式偵測規則，請參閱複合式偵測規則。