Descripción general de la categoría de reglas compuestas

Compatible con:

En este documento, se proporciona una descripción general de los conjuntos de reglas compuestos, las fuentes de datos requeridas y las opciones de configuración para ajustar las alertas que generan. Estos conjuntos de reglas proporcionan alertas de mayor fidelidad. Establecen niveles de gravedad, confianza, riesgo y prioridad en todo el contenido de detección habilitado para Google Security Operations en los entornos de Google Cloudy de endpoints.

Describe conjuntos de reglas

La categoría Reglas compuestas incluye los siguientes conjuntos de reglas:

Comprende las reglas compuestas de los extremos

Estas reglas correlacionan los resultados de varias reglas de detección que se relacionan con el mismo endpoint durante un período definido. Los niveles de confianza y riesgo se determinan según las características específicas de esas detecciones.

Comprende las reglas compuestas de Cloud

Estas reglas correlacionan los hallazgos de varias reglas de detección asociadas con la misma cuenta o recurso deGoogle Cloud durante un período definido. Google Cloud Los niveles de confianza y riesgo se basan en características específicas de esas detecciones.

Dispositivos y tipos de registros compatibles

Estas reglas se basan principalmente en los registros de auditoría de Cloud, los registros de detección y respuesta de extremos, y los registros del proxy de red. El UDM de Google SecOps normaliza automáticamente estas fuentes de registros. En las siguientes categorías, se describen las fuentes de registros más importantes que se requieren para que el contenido compuesto seleccionado funcione de manera eficaz:

Fuentes de registros de reglas compuestas de extremos

Google Cloud Fuentes de registro de reglas compuestas

Google Cloud y fuentes de registros de reglas de extremos

Para obtener una lista completa de las detecciones seleccionadas disponibles, consulta Cómo usar las detecciones seleccionadas. Comunícate con tu representante de Google SecOps si necesitas habilitar las fuentes de detección con un mecanismo diferente.

Google SecOps proporciona analizadores predeterminados que analizan y normalizan los registros sin procesar para crear registros de UDM con los datos que requieren los conjuntos de reglas de detección compuestas y seleccionadas. Para obtener una lista de todas las fuentes de datos compatibles con Google SecOps, consulta Analizadores predeterminados compatibles.

Cómo modificar reglas en un conjunto de reglas

Puedes personalizar el comportamiento de las reglas dentro de un conjunto de reglas para satisfacer las necesidades de tu organización. Para ajustar el funcionamiento de cada regla, selecciona uno de los siguientes modos de detección y configura si las reglas generan alertas.

  • Generales: Detectan comportamientos potencialmente maliciosos o anómalos, pero pueden producir más falsos positivos debido a la naturaleza general de la regla.

Para modificar la configuración, haz lo siguiente:

  1. En la lista de reglas, selecciona la casilla de verificación junto a cada regla que desees modificar.

  2. Configura los parámetros de Estado y Alertas de las reglas de la siguiente manera:

    • Estado: Aplica el modo (Preciso o Amplio) a la regla seleccionada. Configúralo en Enabled para activar el estado de la regla en el modo.

    • Alertas: Controla si la regla genera una alerta en la página Alertas. Configúralo en Activado para habilitar las alertas.

Cómo ajustar las alertas de los conjuntos de reglas

Puedes reducir la cantidad de alertas que genera una regla compuesta con las exclusiones de reglas.

Una exclusión de regla especifica criterios que impiden que una regla o un conjunto de reglas evalúen ciertos eventos. Usa exclusiones para reducir el volumen de detección. Consulta Cómo configurar exclusiones de reglas para obtener más información.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.