Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zusammengesetzte Erkennungen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument werden zusammengesetzte Erkennungen vorgestellt und es wird erläutert, wie sie Workflows zur Bedrohungserkennung verbessern können, indem sie die Ausgaben mehrerer Regeln korrelieren.

Zusammengesetzte Erkennungen werden durch Regeln generiert, die Erkennungen aus anderen Regeln als Eingabe verwenden – kombiniert mit Ereignissen, Messwerten oder Risikosignalen für Entitäten. Diese Regeln werden dann mit Ereignissen, Messwerten oder Risikosignalen für Entitäten kombiniert, um komplexe, mehrstufige Bedrohungen zu erkennen, die von einzelnen Regeln möglicherweise nicht erkannt werden.

Zusammengesetzte Erkennungen helfen, Ereignisse durch definierte Regelinteraktionen und Trigger zu analysieren. Dadurch wird die Genauigkeit verbessert, falsch positive Ergebnisse werden reduziert und es wird ein umfassender Überblick über Sicherheitsbedrohungen geboten, indem Daten aus verschiedenen Quellen und Angriffsphasen korreliert werden.

Die folgenden Konzepte definieren die Bausteine zusammengesetzter Regeln und verdeutlichen, wie sie in Erkennungs-Workflows funktionieren:

Zusammengesetzte Regeln: verwenden Erkennungen oder Benachrichtigungen (oder beides) als Eingabe. Optional können sie mit Ereignissen, Messwerten und einer Vielzahl von Kontextdaten aus dem Entitätengraphen angereichert werden, z. B. mit Daten zur Häufigkeit, Threat Intelligence oder einem Risikowert für Entitäten. Diese Regeln müssen immer einen Übereinstimmungsabschnitt haben und können auf Metafelder, match-Variablen und outcome-Variablen aus Eingaberegeln verweisen.
Erkennung: Ausgabe, die generiert wird, wenn die Bedingungen einer Regel erfüllt sind.
Regeln nur für die Erkennung: Zusammengesetzte Regeln, die nur Erkennungen oder Benachrichtigungen als Eingabe verwenden.

Wann sollten zusammengesetzte Erkennungen verwendet werden?

Zusammengesetzte Erkennungen können hilfreich sein, um die folgenden Ziele zu erreichen:

Ergebnisse von zwei oder mehr Regeln korrelieren (z. B. eine Erkennung vom Typ „Malware heruntergeladen“ mit einer nachfolgenden C2-Beaconing-Benachrichtigung vom selben Host verknüpfen)
Benachrichtigungen mit zugehörigen Ereignisdaten anreichern
Benachrichtigungsermüdung reduzieren, indem nur dann eine endgültige Benachrichtigung ausgelöst wird, wenn eine „laute“ Erkennung mit geringem Konfidenzwert mehrmals oder in Kombination mit anderen verdächtigen Aktivitäten auftritt
Eine Benachrichtigung für einen komplexen, mehrstufigen Angriff erstellen, bei dem jede Phase bereits durch eine eigene Regel identifiziert wird

Vorteile von zusammengesetzten Erkennungen

Zusammengesetzte Erkennungen bieten folgende Vorteile:

Mehrstufige Angriffe aufdecken: Cyberangriffe sind oft vielschichtig und miteinander verbunden. Zusammengesetzte Erkennungen decken das umfassendere Angriffsszenario auf, indem sie scheinbar isolierte Sicherheitsereignisse verknüpfen. So können beispielsweise zusammengesetzte Erkennungen die vollständige Abfolge eines Angriffs identifizieren, z. B. einen anfänglichen Einbruch, gefolgt von einer Rechteausweitung und einer Daten-Exfiltration.
Benachrichtigungsermüdung reduzieren: Zusammengesetzte Regeln konsolidieren und filtern „laute“ Benachrichtigungen, sodass gezielter reagiert werden kann. Dieser Ansatz hilft, Vorfälle mit hoher Auswirkung zu priorisieren und die allgemeine Benachrichtigungsermüdung zu reduzieren.
Genauigkeit der Erkennung verbessern: Kombinieren Sie Statistiken aus Ereignissen des Unified Data Model (UDM), Regelerkennungen, Entitätenkontext, User and Entity Behavior Analytics (UEBA)-Ergebnissen und Datentabellen, um eine genauere Erkennungslogik zu erstellen.
Komplexe Logik optimieren: Teilen Sie komplexe Erkennungsszenarien in überschaubare, miteinander verbundene und wiederverwendbare Regeln auf, um die Entwicklung und Wartung zu vereinfachen.
In Dashboards verwenden: Integrieren Sie zusammengesetzte Erkennungen nahtlos als Daten quellen für Google SecOps-Dashboards. Sie können damit Visualisierungen erstellen, die mehrstufige Angriffsmuster zusammenfassen, um komplexe Risiken besser zu verstehen.

Gängige Anwendungsfälle

In diesem Abschnitt werden einige gängige Anwendungsfälle für zusammengesetzte Erkennungen aufgeführt.

Erkennungen mit Kontext aus Rohereignissen anreichern

In diesem Anwendungsfall wird eine allgemeine Benachrichtigung aus einem System mit Ereignislogs aus einem anderen System verknüpft.

Ziel:Die spezifische lokale Aktion identifizieren, die eine allgemeine Benachrichtigung ausgelöst hat.
Beispiel :
1. In Google Cloud Event Threat Detection wird eine Benachrichtigung ausgelöst, weil eine Arbeitslast einen DNS-Aufruf an eine schädliche Domain gesendet hat. Das ist die Erkennung.
2. Durch diese Erkennung wird eine zusammengesetzte Regel ausgelöst.
3. Die Regel sucht dann in den Rohlogs von Endpoint Detection and Response (EDR) (den Ereignissen) derselben Arbeitslast innerhalb eines Zeitfensters von einer Minute nach Befehlszeilenoperationen, die dieselbe schädliche Domain enthalten.
Die endgültige Benachrichtigung bietet umfassenden Kontext: Sie zeigt, dass eine schädliche Domain kontaktiert wurde, und den verwendeten ssh-Befehl. Diese Informationen machen das Ergebnis viel umsetzbarer als die ursprüngliche Erkennung.

Nutzeraktivitäten nach der Anmeldung verfolgen

Ein primärer Anwendungsfall konzentriert sich auf die Verknüpfung des Anmeldeereignisses eines Nutzers mit nachfolgenden verdächtigen Aktivitäten. Während mit einer Standardregel für mehrere Ereignisse eine kurze Sequenz verfolgt werden kann, eignet sich eine zusammengesetzte Erkennung besser, um ein umfassendes Risikoprofil der gesamten Sitzung eines Nutzers zu erstellen.

Ziel: Ein einzelnes Ereignis wie eine risikoreiche Anmeldung über einen längeren Zeitraum, z. B. einen ganzen Tag, mit einer Vielzahl nachfolgender Aktivitäten mit schwachen Signalen korrelieren.
Beispiel: Erstellen Sie mehrere Regeln, die Erkennungen auf niedrigerer Ebene erzeugen. Verwenden Sie dann eine zusammengesetzte Regel mit einem langen Übereinstimmungsfenster (z. B. 24 Stunden), um eine anfängliche verdächtige Anmeldung auszulösen und sie mit einer der folgenden Erkennungen desselben Nutzers zu korrelieren:
- Ein Nutzer löscht seinen Befehlszeilenverlauf.
- Ein neues lokales Administratorkonto wird erstellt.
- Eine große Datenmenge wird auf eine persönliche Cloud Storage-Website hochgeladen.

Mit UEBA-Messwerten kombinieren

In diesem Anwendungsfall werden vorhandene UEBA-Messwerte als Ausgangspunkt für eine zusammengesetzte Erkennung verwendet, um komplexere, langfristige Verhaltensweisen zu finden.

Ziel: Einen Anstieg eines UEBA-Messwerts mit einer anderen anomalen Aktivität korrelieren.
Beispiel:
1. Eine UEBA-Regel erkennt eine übermäßige Anzahl von Anmeldefehlern für einen Nutzer.
2. Eine andere UEBA-Regel erkennt eine große Anzahl von ausgehenden Bytes vom selben Nutzer.
3. Eine zusammengesetzte Erkennung verknüpft diese beiden separaten UEBA-Ergebnisse über einen Zeitraum von mehreren Tagen, um eine potenzielle Kontokompromittierung mit anschließendem Datendiebstahl zu identifizieren.

Versuche zur Daten-Exfiltration erkennen

Dabei werden mehrere unterschiedliche Nutzeraktionen korreliert, die in Kombination auf einen Versuch zur Datenexfiltration hindeuten könnten.

Ziel: Ein Profil für den risikoreichen Umgang mit Daten durch einen einzelnen Nutzer auf mehreren Geräten und bei mehreren Aktionen erstellen.
Korrelierte Aktionen:
- Anmeldung von mehreren Geräten (z. B. privates und Arbeitsgerät)
- Zugriff auf mehr Datenquellen als üblich
- Gleichzeitiges Herunterladen, Drucken und Senden von Daten per E-Mail
- Zählen, wie viele klassifizierte Dokumente ein Nutzer innerhalb eines bestimmten Zeitraums bearbeitet
- Ein Rücktrittsschreiben eingereicht haben

Mehrstufige Malware erkennen

In diesem Anwendungsfall wird Malware identifiziert, die langsam über einen längeren Zeitraum hinweg aktiv ist und mit einzelnen Regeln mit kurzen Übereinstimmungsfenstern nur schwer zu erkennen ist.

Ziel:Den anfänglichen Infektionsvektor mit nachfolgenden schädlichen Aktionen verknüpfen, auch wenn sie Stunden oder Tage auseinanderliegen.
Beispiel :
1. Ein Nutzer besucht eine schädliche Website (anfängliches Netzwerkereignis).
2. Eine „Dropper-Datei“ wird heruntergeladen und ausgeführt (erstes Prozessereignis).
3. Viel später lädt die Dropper-Datei eine andere ausführbare Datei herunter und führt sie aus (zweites Prozessereignis).
Dazu ist ein langes match-Fenster erforderlich, um die über- und untergeordneten Prozesse zu verbinden. Dies ist mit zusammengesetzten Erkennungen möglich.

Anzahl der Benachrichtigungen reduzieren

In diesem Anwendungsfall werden Erkennungen verwaltet, die zu „laut“ sind oder zu viele falsch positive Ergebnisse liefern.

Ziel:Eine „laute“ Regel optimieren, ohne sie zu deaktivieren oder komplexe Ausschlüsse zu erstellen.
Beispiel :
1. Legen Sie für eine „laute“ kuratierte Erkennung die Einstellung „Nur erkennen“ fest, damit keine Benachrichtigungen mehr generiert werden.
2. Erstellen Sie eine zusammengesetzte Erkennung, die die Ausgabe dieser kuratierten Regel als erste Bedingung verwendet.
3. Fügen Sie eine zweite Bedingung hinzu, um zusätzliche Qualifikationen zu liefern, z. B. „Nur benachrichtigen, wenn diese Erkennung innerhalb einer Stunde fünfmal für denselben Nutzer auftritt“ oder wenn sie mit einer Erkennung aus einer anderen Regel kombiniert wird.

Funktionsweise von zusammengesetzten Erkennungen

Wenn Regeln vordefinierte Bedingungen erfüllen, generieren sie Erkennungen. Diese Erkennungen können optional Ergebnisvariablen enthalten, die bestimmte Daten oder Ereigniszustände erfassen.

Zusammengesetzte Regeln verwenden diese Erkennungen aus anderen Regeln als Teil ihrer Eingaben. Die Auswertung kann auf den Informationen aus dem Metaabschnitt der ursprünglichen Regel, den Ergebnisvariablen und den Übereinstimmungsvariablen basieren.

Basierend auf dieser Auswertung können Sie mit zusammengesetzten Regeln neue Erkennungen erstellen, die als Zwischenrepräsentation für die Untersuchung und Benachrichtigung mit einer nachfolgenden Regel verwendet werden. So können Sie mehrere Faktoren aus verschiedenen Erkennungen korrelieren, um komplexe Bedrohungen zu identifizieren.

Weitere Informationen zur Syntax und zu Beispielen finden Sie unter Regeln für zusammengesetzte Erkennungen und Beispiele.

Strategie festlegen

Bevor Sie mit dem Erstellen zusammengesetzter Regeln beginnen, sollten Sie eine Strategie festlegen, damit Ihre neuen Regeln effektiv und effizient sind und die richtigen Probleme lösen.

Aktuelle Erkennungsstrategie bewerten. Prüfen Sie Ihre vorhandenen Regeln, um diejenigen zu identifizieren, die zu „laut“ sind, eine hohe Anzahl falsch positiver Ergebnisse liefern oder zu komplex und schwer zu verwalten sind.
Bestimmen Sie die spezifischen Szenarien, in denen zusammengesetzte Regeln einen Mehrwert bieten können. Dazu gehören das Erkennen mehrstufiger Angriffe, das Korrelieren mehrerer Benachrichtigungen mit geringem Konfidenzwert zu einer einzelnen Benachrichtigung mit hohem Konfidenzwert oder das Anreichern von Erkennungen mit zusätzlichem Kontext aus anderen Datenquellen.
Erstellen Sie basierend auf Ihrer Bewertung einen Implementierungsplan. Entscheiden Sie, welche „lauten“ Regeln Sie optimieren, welche komplexen Regeln Sie vereinfachen und welche neuen mehrstufigen Erkennungen Sie priorisieren müssen.

Dieser definierte Plan bietet eine Roadmap für die Erstellung gezielter und effektiver zusammengesetzter Regeln. Berücksichtigen Sie die folgenden allgemeinen Strategien, um den größtmöglichen Nutzen aus zusammengesetzten Erkennungen zu ziehen und gleichzeitig technische Einschränkungen zu verwalten.

Geeignete Methode auswählen

Bevor Sie eine zusammengesetzte Erkennung erstellen, sollten Sie prüfen, ob Sie das gewünschte Ergebnis mit anderen Alternativen erzielen können. Analysieren Sie, ob Sie ein komplexes Muster mit einer vorhandenen UEBA-Erkennung identifizieren können. Eine zu komplexe Erkennung kann den Wartungsaufwand erhöhen und das Regelkontingent belasten.

Verwenden Sie eine zusammengesetzte Erkennung, wenn Sie die Endergebnisse von zwei oder mehr verschiedenen, bereits vorhandenen Regeln korrelieren möchten. Dadurch werden konzeptionell getrennte Phasen eines Angriffs miteinander verbunden.

Beispiel: Eine Erkennung aus einer Regel vom Typ „Malware heruntergeladen“ mit einer nachfolgenden Erkennung aus einer Regel vom Typ „C2-Beaconing erkannt“ korrelieren.
Verwenden Sie eine vorhandene UEBA-Erkennung, wenn Sie herausfinden möchten, wann ein Nutzer oder Gerät von seinem normalen Aktivitätsmuster abweicht.

Beispiel: Automatisch erkennen, dass ein Nutzer heute 100 GB Daten heruntergeladen hat , während er normalerweise nur 1 GB herunterlädt.

Regelkontingente und Risikowerte verwalten

Um die Ressourcen Ihrer Organisation zu verwalten, müssen Sie wissen, wie sich die verschiedenen Regeltypen auf Ihr Regelkontingent auswirken.

Kuratierte Regeln werden nicht auf Ihr Kontingent für benutzerdefinierte Regeln angerechnet.
Zusammengesetzte Regeln und benutzerdefinierte Regeln für mehrere Ereignisse werden auf Ihr Kontingent angerechnet.

Sie können eine kuratierte Erkennung verwenden, indem Sie sie auf „Nur erkennen“ setzen. So kann die kuratierte Regel die anfängliche allgemeine Erkennung durchführen, ohne Benachrichtigungen zu erzeugen. Anschließend können Sie eine zusammengesetzte Regel verwenden, um eine bestimmte Logik auf diese Ergebnisse anzuwenden, wodurch Sie einen größeren Mehrwert erzielen und gleichzeitig Ihr Kontingent strategisch verwalten.

Unterschied zwischen Risiko und Kontext

Beim Entwerfen der Erkennungslogik müssen Sie zwischen Regeln, die das Risiko bewerten, und Regeln, die Kontext liefern, unterscheiden.

Das Risiko ist die Bewertung, wie gefährlich eine Reihe von Aktivitäten ist. Eine Regel, die für das Risiko entwickelt wurde, fasst oft mehrere kontextbezogene Ereignisse oder Erkennungen zusammen, um eine Entscheidung zu treffen. Während beispielsweise eine einzelne fehlgeschlagene Anmeldung Kontext liefert, deutet eine hohe Anzahl darauf hin, dass das Risiko eines Brute-Force-Angriffs besteht.

Kontext bezieht sich auf die Fakten rund um ein Ereignis. Eine Regel, die für den Kontext entwickelt wurde, reichert ein Ereignis mit Details aus einem anderen an. Eine Regel kann beispielsweise eine erfolgreiche Nutzeranmeldung erkennen, aber eine kontextbezogene Regel liefert den entscheidenden Kontext, dass diese Anmeldung aus einem neuen und ungewöhnlichen Land stammt.

Beispiel: Eine anfängliche Erkennung kann Sie auf ein potenzielles Risiko aufmerksam machen, z. B. einen DNS-Aufruf an eine schädliche Domain. Eine zusammengesetzte Regel korreliert diese Benachrichtigung dann mit Ereignislogs in Google SecOps, um den spezifischen Befehlszeilenprozess zu finden, der den Aufruf initiiert hat. Dadurch wird die allgemeine Risikobenachrichtigung mit kritischem, umsetzbarem Kontext angereichert.

Lange Übereinstimmungsfenster strategisch verwenden

Zusammengesetzte Regeln, die mit langen Übereinstimmungsfenstern (z. B. 14 Tage) konfiguriert sind, werden seltener ausgeführt. Ihre hohe Latenz kann sie für zeitkritische Benachrichtigungen ungeeignet machen. Verwenden Sie diese langen Zeitfenster, um langsame, anhaltende feindselige Aktivitäten über längere Zeiträume zu erkennen.

Erkennungen für die Visualisierung verwenden

Eine Strategie zur Verwaltung „lauter“ Regeln besteht darin, ihre Ausgabe in eine Visualisierung auf einem Dashboard umzuwandeln. Dieser Ansatz verbraucht kein Regelkontingent und kann Daten mit hohem Volumen und geringer Genauigkeit in wertvolle Statistiken umwandeln.

Wenn Sie eine Regel auf „Nur erkennen“ setzen und dann die Erkennungen in einem Dashboard-Widget darstellen, können Sie Trends verfolgen, Ausreißer identifizieren und einen allgemeinen Audit-Überblick über die Aktivität erhalten, ohne von einzelnen Benachrichtigungen überfordert zu werden.

Beispiel: Umgang mit personenbezogenen Daten verfolgen

Eine Regel verfolgt jede Interaktion eines Nutzers mit sensiblen personenbezogenen Daten. Anstatt jedes Mal eine Benachrichtigung auszulösen, ist sie auf „Nur erkennen“ gesetzt. Ein Dashboard-Widget zeigt dann, welche Nutzer sich einem täglichen Limit für ausgehende Daten nähern (z. B. 10,000 Byte). So erhalten Sie einen schnellen Audit-Überblick über risikoreiches Verhalten, ohne ständig Benachrichtigungen zu generieren.

Beispiel: Bestimmte DLP-Risiken überwachen:

Ein Widget fasst die Risikowerte aus einer sehr spezifischen Teilmenge von DLP-Regeln zusammen. So kann ein bestimmtes Team (z. B. die Administratoren für den Schutz vor Datenverlust) nur die relevanten Risiken überwachen und „Rauschen“ aus anderen Sicherheitsbereichen herausfiltern.

Zusammengesetzte Erkennungen erstellen

Der folgende Workflow beschreibt die typischen Schritte zum Erstellen einer zusammengesetzten Regel. Weitere Informationen zur Syntax und zu Beispielen finden Sie unter Regeln für zusammengesetzte Erkennungen und Beispiele.

Bedrohungsszenario definieren: Definieren Sie die spezifische Bedrohung, die Sie erkennen möchten.
Eingaberegeln erstellen oder identifizieren: Erstellen oder identifizieren Sie für jede Phase des Bedrohungsszenarios eine Eingaberegel, die die spezifische Aktivität erkennt.
Join-Bedingungen definieren: Bestimmen Sie die gemeinsame Information die die Erkennungen aus Ihren Eingaberegeln verknüpft, z. B. Regellabels, Variablen oder Erkennungsfelder.
Zusammengesetzte Regel erstellen: Schreiben Sie die Regel, die die Erkennungen aus den Eingaberegeln aufnimmt.
- Definieren Sie den Abschnitt events und verweisen Sie auf die Eingaberegeln anhand ihres Namens, ihrer ID oder eines gemeinsamen Meta-Labels.
- Definieren Sie den Abschnitt match, um den Join-Schlüssel und das Zeitfenster für die Übereinstimmung anzugeben.
- Definieren Sie den Abschnitt condition, um die Bedingung festzulegen, die erfüllt sein muss, damit die endgültige Benachrichtigung ausgelöst wird.
Regelkette testen und bereitstellen: Wir empfehlen, für jede Regel in der Sequenz manuell eine Retrohunt auszuführen.

Wenn Sie die Funktion Regel testen für eine zusammengesetzte Regel verwenden, wird sie nur für bereits vorhandene Erkennungen ausgeführt, die den Eingabekriterien der Regel entsprechen. Die zugrunde liegenden Regeln werden nicht automatisch ausgeführt, um neue Eingaben für den Test zu generieren. Das bedeutet, dass Sie nicht die gesamte Regelkette in einer einzigen Aktion validieren können.

So führen Sie eine Retrohunt für die Regelsequenz aus:
1. Starten Sie manuell eine Retrohunt von der ersten Regel in der Sequenz.
2. Warten Sie, bis der Vorgang abgeschlossen ist.
3. Fahren Sie mit der nächsten Regel fort.
Tipp: Um zu verhindern, dass bei Tests versehentlich frühere Erkennungsergebnisse abgeglichen werden, sollten Sie jeder Regel in der zusammengesetzten Kette ein eindeutiges meta: label hinzufügen.

Beispiel:


rule CheckCuratedDetection_with_EDR_and_EG {

  meta:
    author = "noone@cymbal.com"

  events:

    $d.detection.detection.rule_name = /SCC: Custom Modules: Configurable Bad Domain/
    $d.detection.collection_elements.references.event.network.dns.questions.name = $domain
    $d.detection.collection_elements.references.event.principal.asset.hostname = $hostname

    $e.metadata.log_type = "LIMACHARLIE_EDR"
    $e.metadata.product_event_type = "NETWORK_CONNECTIONS"
    $domain = re.capture($e.principal.process.command_line, "\\s([a-zA-Z0-9.-]+\\.[a-zA-Z0-9.-]+)$")
    $hostname = re.capture($e.principal.hostname, "([^.]*)")

    $prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
    $prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
    $prevalence.graph.entity.hostname = $domain
    $prevalence.graph.entity.domain.prevalence.day_count = 10
    $prevalence.graph.entity.domain.prevalence.rolling_max <= 5
    $prevalence.graph.entity.domain.prevalence.rolling_max > 0

  match:
    $hostname over 1h

  outcome:
    $risk_score = 80
    $CL_target = array($domain)

  condition:
    $e and $d and $prevalence

}

Ergebnisse von zusammengesetzten Erkennungen ansehen

Sie können die Ergebnisse von zusammengesetzten Erkennungen ansehen auf der Seite Erkennungen. Eine Benachrichtigung ist eine zusammengesetzte Erkennung, wenn in der Spalte Eingaben Erkennung als Quelle angezeigt wird und in der Spalte Erkennungstyp das Label Benachrichtigung mit einer Zahl daneben angezeigt wird (z. B. Alert (3)).

Hinweis: Wenn Sie sowohl SIEM als auch SOAR haben, können Sie die Ergebnisse auch auf dem Tab Fälle ansehen.

Zusammengesetzte Erkennungen optimieren

Wir empfehlen die folgenden Best Practices für die Erstellung zusammengesetzter Regeln.

Auf Latenz optimieren

Um die Latenz in Erkennungspipelines zu minimieren, verwenden Sie nach Möglichkeit Regeln für einzelne Ereignisse, z. B. für den anfänglichen Trigger. Zusammengesetzte Regeln können ihre Erkennungen verwenden, um komplexere Korrelationen mit anderen Ereignissen, Entitäten oder Erkennungen durchzuführen, was dazu beiträgt, die Gesamtlatenz zu reduzieren.

Effiziente Methoden zum Verknüpfen von Erkennungen verwenden

Wir empfehlen, Ergebnisvariablen, Meta-Labels und Übereinstimmungsvariablen zu verwenden, um Erkennungen zu verknüpfen. Diese Methoden liefern deterministischere und zuverlässigere Ergebnisse als die Verwendung von Ereignisbeispielen. Meta-Labels sind besonders flexibel, da Sie Regeln damit kategorisieren können, sodass eine zusammengesetzte Regel auf jede Erkennung mit diesem Label ausgerichtet werden kann.

Wenn beispielsweise mehrere Regeln dasselbe Meta-Label tactic: exfiltration haben, können Sie eine zusammengesetzte Regel erstellen, die auf jede Erkennung ausgerichtet ist, bei der das Taktiklabel den Wert exfiltration hat.

Wenn Sie nocase mit Join-Variablen in zusammengesetzten Erkennungen verwenden, wird möglicherweise der folgende semantische Analysefehler angezeigt:

semantic analysis: match variable <variable_name> is not assigned to an event field.

In zusammengesetzten Erkennungen definiert die erste Variablenzuweisung (z. B. $username = $fact1...) die Eigenschaften der Variablen, einschließlich der Groß-/Kleinschreibung bei Verwendung von nocase. Die Anwendung von nocase auf nachfolgende Variablenzuweisungen derselben Join Variablen (z. B. $username = $fact2...) wird vom Compiler als widersprüchliche Neudefinition oder redundante Einschränkung interpretiert, was zu einem semantischen Fehler führt.

Erkennungen mit der Funktionsbibliothek verbessern

Sie können die YARA-L-Funktionsbibliothek an strategischen Punkten in einer zusammengesetzten Regel verwenden, um das Signal zu erhöhen und komplexere Logik hinzuzufügen.

Regelaktualisierungen verwalten

Wenn Sie eine Regel aktualisieren, die in einer oder mehreren zusammengesetzten Regeln verwendet wird, erstellt das System automatisch eine neue Version der Regel. Zusammengesetzte Regeln verwenden automatisch die neue Version. Wir empfehlen, die gesamte aktualisierte Regelsequenz zu testen, um das beabsichtigte Verhalten zu überprüfen.

Beschränkungen

Berücksichtigen Sie beim Entwerfen und Implementieren von zusammengesetzten Erkennungen die folgenden Einschränkungen:

Verfügbarkeit von SOAR-Falldaten: Zusammengesetzte Erkennungen haben keinen Zugriff auf alle SOAR-Falldaten. Regellogik, mit der Fälle nach Status gefiltert oder ausgeschlossen werden sollen (z. B. $edetection.feedback_summary.status != "CLOSED"), wird nicht unterstützt.
Zusammengesetzte Regeln: Google SecOps unterstützt eine maximale Tiefe von 10 für zusammengesetzte Regeln. Die Tiefe ist die Anzahl der Regeln von einer Basisregel bis zur endgültigen zusammengesetzten Regel.
Regeln nur für die Erkennung: Sie haben ein maximales Übereinstimmungsfenster von 14 Tagen und unterliegen einem täglichen Erkennungslimit von 10.000 Erkennungen pro Regel.
Ergebnisvariablen: Jede Regel ist auf maximal 20 Ergebnis variablen begrenzt. Außerdem ist jede wiederholte Ergebnisvariable auf 25 Werte begrenzt.
Ereignisbeispiele: Pro Ereignisvariable in einer Regel werden nur 10 Ereignisbeispiele gespeichert, z. B. 10 für $e1 und 10 für $e2.

Weitere Informationen zu Erkennungslimits finden Sie unter Erkennungslimits.

Nächste Schritte

Informationen zum Erstellen von Regeln für zusammengesetzte Erkennungen finden Sie unter Regeln für zusammengesetzte Erkennungen und Beispiele.

Benötigen Sie weitere Hilfe? Erhalten Sie Antworten von Community-Mitgliedern und Google SecOps-Experten.