Descripción general de la categoría de reglas compuestas
En este documento se ofrece una descripción general de los conjuntos de reglas compuestas, las fuentes de datos obligatorias y las opciones de configuración para ajustar las alertas que generan. Estos conjuntos de reglas proporcionan alertas de mayor fidelidad. Establecen niveles de gravedad, confianza, riesgo y prioridad en todo el contenido de detección habilitado de Google Security Operations para entornos de Google Cloud y de endpoints.
Describe los conjuntos de reglas
La categoría Reglas compuestas incluye los siguientes conjuntos de reglas:
Información sobre las reglas compuestas de los endpoints
Estas reglas correlacionan las detecciones de varias reglas de detección relacionadas con el mismo endpoint durante un periodo definido. Los niveles de confianza y riesgo se determinan en función de las características específicas de esas detecciones.
Información sobre las reglas compuestas de Cloud
Estas reglas correlacionan las detecciones de varias reglas de detección asociadas a la mismaGoogle Cloud cuenta o Google Cloud recurso durante un periodo definido. Los niveles de confianza y riesgo se basan en características específicas de esas detecciones.
Dispositivos y tipos de registros admitidos
Estas reglas se basan principalmente en los registros de auditoría de Cloud, los registros de detección y respuesta de endpoints, y los registros de proxy de red. Google SecOps UDM normaliza automáticamente estas fuentes de registro. En las siguientes categorías se describen las fuentes de registro más importantes que se necesitan para que el contenido compuesto seleccionado funcione correctamente:
Fuentes de registro de reglas compuestas de endpoints
Google Cloud Fuentes de registro de reglas compuestas
Fuentes de registro de reglas deGoogle Cloud y de endpoints
- Inteligencia de amenazas aplicada (ATI)
- Amenazas de Chrome Enterprise
- Analíticas de riesgos para UEBA
Para ver una lista completa de las detecciones seleccionadas disponibles, consulta Usar detecciones seleccionadas. Ponte en contacto con tu representante de Google SecOps si necesitas habilitar las fuentes de detección con otro mecanismo.
Google SecOps proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar para crear registros UDM con los datos que necesitan los conjuntos de reglas de detección compuestos y seleccionados. Para ver una lista de todas las fuentes de datos admitidas por Google SecOps, consulta Analizadores predeterminados admitidos.
Modificar reglas de un conjunto de reglas
Puedes personalizar el comportamiento de las reglas de un conjunto de reglas para que se adapten a las necesidades de tu organización. Ajusta el funcionamiento de cada regla seleccionando uno de los siguientes modos de detección y configura si las reglas generan alertas.
- Amplia: detecta comportamientos potencialmente maliciosos o anómalos, pero puede generar más falsos positivos debido a la naturaleza general de la regla.
Para modificar los ajustes, sigue estos pasos:
En la lista de reglas, marque la casilla situada junto a cada regla que quiera modificar.
Configura los ajustes Estado y Alertas de las reglas de la siguiente manera:
Estado: aplica el modo (Preciso o Amplio) a la regla seleccionada. Selecciona
Enabledpara activar el estado de la regla en el modo.Alertas: controla si la regla genera una alerta en la página Alertas. Selecciona Activado para habilitar las alertas.
Ajustar las alertas de los conjuntos de reglas
Puedes reducir el número de alertas generadas por una regla compuesta mediante exclusiones de reglas.
Una exclusión de regla especifica criterios que impiden que una regla o un conjunto de reglas evalúen determinados eventos. Usa exclusiones para reducir el volumen de detecciones. Para obtener más información, consulta el artículo sobre cómo configurar exclusiones de reglas.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.