Présentation de la catégorie de règles composites

Compatible avec :

Ce document présente les ensembles de règles composites, les sources de données requises et les options de configuration permettant d'ajuster les alertes qu'ils génèrent. Ces ensembles de règles permettent de générer des alertes plus précises. Ils définissent les niveaux de gravité, de confiance, de risque et de priorité pour l'ensemble du contenu de détection compatible avec Google Security Operations pour les environnements Google Cloudet de points de terminaison.

Décrire les ensembles de règles

La catégorie "Règles composites" inclut les ensembles de règles suivants :

Comprendre les règles composites des points de terminaison

Ces règles mettent en corrélation les résultats de plusieurs règles de détection qui concernent le même point de terminaison sur une période définie. Les niveaux de confiance et de risque sont déterminés par des caractéristiques spécifiques de ces détections.

Comprendre les règles composites Cloud

Ces règles mettent en corrélation les résultats de plusieurs règles de détection associées au même compteGoogle Cloud ou à la même ressource Google Cloud sur une période définie. Les niveaux de confiance et de risque sont basés sur des caractéristiques spécifiques de ces détections.

Appareils et types de journaux compatibles

Ces règles s'appuient principalement sur Cloud Audit Logs, les journaux de détection et de réponse des points de terminaison, ainsi que les journaux de proxy réseau. Google SecOps UDM normalise automatiquement ces sources de journaux. Les catégories suivantes décrivent les sources de journaux les plus importantes requises pour que le contenu composite organisé fonctionne efficacement :

Sources de journaux des règles composites de points de terminaison

Google Cloud Sources de journaux de règles composites

Google Cloud et les sources de journaux des règles de point de terminaison

Pour obtenir la liste complète des détections organisées disponibles, consultez Utiliser des détections organisées. Contactez votre représentant Google SecOps si vous devez activer les sources de détection à l'aide d'un autre mécanisme.

Google SecOps fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts pour créer des enregistrements UDM avec les données requises par les ensembles de règles de détection composites et organisés. Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Modifier les règles d'un ensemble de règles

Vous pouvez personnaliser le comportement des règles d'un ensemble de règles pour répondre aux besoins de votre organisation. Ajustez le fonctionnement de chaque règle en sélectionnant l'un des modes de détection suivants et configurez si les règles génèrent des alertes.

  • Générale : détecte les comportements potentiellement malveillants ou anormaux, mais peut générer plus de faux positifs en raison de la nature générale de la règle.

Pour modifier les paramètres :

  1. Dans la liste des règles, cochez la case à côté de chaque règle à modifier.

  2. Configurez les paramètres État et Alertes pour les règles comme suit :

    • État : applique le mode (Précis ou Large) à la règle sélectionnée. Définissez sur Enabled pour activer l'état de la règle sur le mode.

    • Alertes : indique si la règle génère une alerte sur la page Alertes. Définissez la valeur sur Activé pour activer les alertes.

Ajuster les alertes des ensembles de règles

Vous pouvez réduire le nombre d'alertes générées par une règle composite à l'aide des exclusions de règles.

Une exclusion de règle spécifie des critères qui empêchent l'évaluation de certains événements par une règle ou un ensemble de règles. Utilisez des exclusions pour réduire le volume de détection. Pour en savoir plus, consultez Configurer les exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.