複合ルールのカテゴリの概要

このドキュメントでは、複合ルールセットの概要、必要なデータソース、生成されるアラートを調整するための構成オプションについて説明します。これらのルールセットにより、忠実度の高いアラートが提供されます。 Google Cloud環境とエンドポイント環境のすべての Google Security Operations 対応検出コンテンツにわたって、重大度、信頼度、リスク、優先度レベルを確立します。

ルールセットの説明を取得する

[複合ルール] カテゴリには、次のルールセットが含まれています。

• エンドポイント複合ルール
• クラウド複合ルール

エンドポイントの複合ルールについて

これらのルールは、定義された期間に同じエンドポイントに関連する複数の検出ルールの検出結果を関連付けます。信頼度とリスクレベルは、検出の特定の特性によって決まります。

Cloud 複合ルールについて

これらのルールは、同じGoogle Cloud アカウントまたは Google Cloud リソースに関連付けられた複数の検出ルールの検出結果を、定義された期間にわたって関連付けます。信頼度とリスクレベルは、これらの検出の特定の特性に基づいています。

サポート対象のデバイスとログタイプ

これらのルールは、主に Cloud Audit Logs、エンドポイントの検出とレスポンスのログ、ネットワーク プロキシログに依存しています。Google SecOps UDM は、これらのログソースを自動的に正規化します。次のカテゴリは、キュレートされた複合コンテンツが効果的に機能するために必要な最も重要なログソースの概要を示しています。

エンドポイント複合ルール ログソース

• Linux の脅威
• macOS の脅威
• Windows の脅威

Google Cloud 複合ルールログソース

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud とエンドポイント ルールログのソース

• Applied Threat Intelligence（ATI）
• Chrome Enterprise の脅威
• UEBA のリスク分析

利用可能なキュレーテッド検出の完全なリストについては、キュレーテッド検出を使用するをご覧ください。別のメカニズムを使用して検出ソースを有効にする必要がある場合は、Google SecOps の担当者にお問い合わせください。

Google SecOps には、未加工のログを解析して正規化し、複合検出ルールセットとキュレートされた検出ルールセットで必要なデータを使用して UDM レコードを作成するデフォルトのパーサーが用意されています。Google SecOps がサポート対象とするすべてのデータソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。

ルールセット内のルールを変更する

ルールセット内のルールの動作をカスタマイズして、組織のニーズを満たすことができます。次のいずれかの検出モードを選択して各ルールの動作を調整し、ルールでアラートを生成するかどうかを設定します。

• Broad: 悪意のある動作や異常な動作を検出しますが、ルールの一般的な性質により、誤検出が多くなる可能性があります。

設定を変更するには、次の操作を行います。

1. ルールのリストで、変更する各ルールの横にあるチェックボックスをオンにします。

2. ルールの [ステータス] と [アラート] の設定を次のように構成します。

   • ステータス: 選択したルールにモード（正確または広範囲）を適用します。ルールのステータスをモードに設定するには、Enabled に設定します。

   • アラート: ルールで [アラート] ページにアラートを生成するかどうかを制御します。アラートを有効にするには、[オン] に設定します。

ルールセットのアラートを調整する

ルール除外を使用すると、複合ルールによって生成されるアラートの数を減らすことができます。

ルールの除外では、特定のイベントがルールまたはルールセットによって評価されないようにする条件を指定します。除外を使用して、検出量を減らします。詳細については、ルールの除外対象の構成をご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。