Vista geral da categoria de regras compostas

Este documento apresenta uma vista geral dos conjuntos de regras compostos, das origens de dados necessárias e das opções de configuração para otimizar os alertas que geram. Estes conjuntos de regras oferecem alertas de maior fidelidade. Estabelecem níveis de gravidade, confiança, risco e prioridade em todo o conteúdo de deteção ativado no Google Security Operations para ambientes de rede e de pontos finais. Google Cloud

Descreva conjuntos de regras

A categoria Regras compostas inclui os seguintes conjuntos de regras:

• Regras compostas de pontos finais
• Regras compostas na nuvem

Compreenda as regras compostas de pontos finais

Estas regras correlacionam as conclusões de várias regras de deteção relacionadas com o mesmo ponto final durante um período definido. Os níveis de confiança e risco são determinados por caraterísticas específicas dessas deteções.

Compreenda as regras compostas da nuvem

Estas regras correlacionam as conclusões de várias regras de deteção associadas à mesma Google Cloud conta ou Google Cloud recurso durante um período definido. Os níveis de confiança e risco baseiam-se em características específicas dessas deteções.

Dispositivos e tipos de registos suportados

Estas regras baseiam-se principalmente nos registos de auditoria da nuvem, nos registos de deteção e resposta de endpoints e nos registos de proxy de rede. O UDM do Google SecOps normaliza automaticamente estas origens de registos. As seguintes categorias descrevem as origens de registos mais importantes necessárias para que o conteúdo composto organizado funcione de forma eficaz:

Origens de registo de regras compostas de pontos finais

• Ameaças do Linux
• Ameaças do macOS
• Ameaças do Windows

Google Cloud origens de registo de regras compostas

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud e origens dos registos de regras de pontos finais

• Applied Threat Intelligence (ATI)
• Ameaças do Chrome Enterprise
• Risk Analytics para UEBA

Para ver uma lista completa das deteções organizadas disponíveis, consulte o artigo Use deteções organizadas. Contacte o seu representante do Google SecOps se precisar de ativar as origens de deteção através de um mecanismo diferente.

O Google SecOps fornece analisadores predefinidos que analisam e normalizam registos não processados para criar registos UDM com dados exigidos por conjuntos de regras de deteção compostos e organizados. Para ver uma lista de todas as origens de dados suportadas pelo Google SecOps, consulte o artigo Analizadores predefinidos suportados.

Modifique regras num conjunto de regras

Pode personalizar o comportamento das regras num conjunto de regras para satisfazer as necessidades da sua organização. Ajuste o funcionamento de cada regra selecionando um dos seguintes modos de deteção e configure se as regras geram alertas.

• Ampla: deteta comportamentos potencialmente maliciosos ou anómalos, mas pode produzir mais falsos positivos devido à natureza geral da regra.

Para modificar as definições, faça o seguinte:

1. Na lista de regras, selecione a caixa de verificação junto a cada regra que quer modificar.

2. Configure as definições de Estado e Alertas para as regras da seguinte forma:

   • Estado: aplica o modo (Preciso ou Amplo) à regra selecionada. Defina como Enabled para ativar o estado da regra no modo

   • Alertas: controla se a regra gera um alerta na página Alertas. Defina como Ativado para ativar os alertas.

Ajuste os alertas de conjuntos de regras

Pode reduzir o número de alertas gerados por uma regra composta usando exclusões de regras.

Uma exclusão de regra especifica critérios que impedem que determinados eventos sejam avaliados por uma regra ou um conjunto de regras. Use exclusões para reduzir o volume de deteção. Consulte o artigo Configure exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.