Panoramica della categoria di regole composite

Questo documento fornisce una panoramica dei set di regole compositi, delle origini dati richieste e delle opzioni di configurazione per ottimizzare gli avvisi generati. Questi insiemi di regole forniscono avvisi di maggiore fedeltà. Stabiliscono i livelli di gravità, confidenza, rischio e priorità in tutti i contenuti di rilevamento abilitati per Google Security Operations per Google Cloud e gli ambienti endpoint.

Descrivere i set di regole

La categoria Regole composite include i seguenti set di regole:

• Regole composite degli endpoint
• Regole composite del cloud

Informazioni sulle regole composite degli endpoint

Queste regole mettono in correlazione i risultati di più regole di rilevamento relative allo stesso endpoint in un periodo di tempo definito. I livelli di confidenza e rischio sono determinati da caratteristiche specifiche di questi rilevamenti.

Informazioni sulle regole composite di Cloud

Queste regole mettono in correlazione i risultati di più regole di rilevamento associate allo stesso Google Cloud account o Google Cloud risorsa in un periodo di tempo definito. I livelli di confidenza e rischio si basano su caratteristiche specifiche di questi rilevamenti.

Dispositivi e tipi di log supportati

Queste regole si basano principalmente su Cloud Audit Logs, log di rilevamento e risposta degli endpoint e log proxy di rete. L'UDM di Google SecOps normalizza automaticamente queste origini log. Le seguenti categorie descrivono le origini log più importanti richieste per il funzionamento efficace dei contenuti compositi curati:

Origini log delle regole composite degli endpoint

• Minacce per Linux
• Minacce per macOS
• Minacce per Windows

Origini dei log delle regole compositeGoogle Cloud

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud e origini log delle regole degli endpoint

• Applied Threat Intelligence (ATI)
• Chrome Enterprise Threats
• Analisi dei rischi per UEBA

Per un elenco completo dei rilevamenti curati disponibili, vedi Utilizzare i rilevamenti curati. Contatta il tuo rappresentante di Google SecOps se devi attivare le origini di rilevamento utilizzando un meccanismo diverso.

Google SecOps fornisce parser predefiniti che analizzano e normalizzano i log non elaborati per creare record UDM con i dati richiesti dai set di regole di rilevamento compositi e curati. Per un elenco di tutte le origini dati supportate da Google SecOps, consulta Parser predefiniti supportati.

Modificare le regole in un insieme di regole

Puoi personalizzare il comportamento delle regole all'interno di un insieme di regole per soddisfare le esigenze della tua organizzazione. Modifica il funzionamento di ogni regola selezionando una delle seguenti modalità di rilevamento e configura se le regole generano avvisi.

• Generale:rileva comportamenti potenzialmente dannosi o anomali, ma potrebbe produrre più falsi positivi a causa della natura generale della regola.

Per modificare le impostazioni:

1. Nell'elenco delle regole, seleziona la casella di controllo accanto a ogni regola da modificare.

2. Configura le impostazioni Stato e Avvisi per le regole nel seguente modo:

   • Stato:applica la modalità (Esatta o Generica) alla regola selezionata. Imposta su Enabled per attivare lo stato della regola nella modalità.

   • Avvisi:controlla se la regola genera un avviso nella pagina Avvisi. Imposta l'opzione su On per attivare gli avvisi.

Ottimizzare gli avvisi dai set di regole

Puoi ridurre il numero di avvisi generati da una regola composita utilizzando le esclusioni delle regole.

Un'esclusione di regole specifica i criteri che impediscono a determinati eventi di essere valutati da una regola o da un insieme di regole. Utilizza le esclusioni per ridurre il volume di rilevamento. Per saperne di più, consulta Configurare le esclusioni delle regole.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.