Wir haben unsere Navigationsstruktur neu organisiert, um sie direkt an Ihre Arbeitsabläufe anzupassen. Weitere Informationen finden Sie in den Versionshinweisen zu Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zusammengesetzte Erkennungen – Übersicht

Unterstützt in:

Google SecOps SIEM

In diesem Dokument werden zusammengesetzte Erkennungen vorgestellt und es wird erläutert, wie sie Workflows zur Erkennung von Bedrohungen verbessern können, indem sie Ausgaben aus mehreren Regeln korrelieren.

Zusammengesetzte Erkennungen werden durch Regeln generiert, die Erkennungen aus anderen Regeln als Eingabe verwenden – kombiniert mit Ereignissen, Messwerten oder Risikosignalen für Entitäten. Diese Regeln werden dann mit Ereignissen, Messwerten oder Risikosignalen für Entitäten kombiniert, um komplexe, mehrstufige Bedrohungen zu erkennen, die mit einzelnen Regeln nicht erkannt werden können.

Mit zusammengesetzten Erkennungen lassen sich Ereignisse anhand definierter Regelinteraktionen und ‑auslöser analysieren. Das verbessert die Genauigkeit, reduziert falsch positive Ergebnisse und bietet eine umfassende Übersicht über Sicherheitsbedrohungen, indem Daten aus verschiedenen Quellen und Angriffsphasen korreliert werden.

Die folgenden Konzepte definieren die Bausteine zusammengesetzter Regeln und verdeutlichen, wie sie in Erkennungs-Workflows funktionieren:

Zusammengesetzte Regeln: Hier werden Erkennungen oder Benachrichtigungen (oder beides) als Eingabe verwendet. Optional können Sie sie mit Ereignissen, Messwerten und einer Vielzahl von Kontextdaten aus dem Entity-Diagramm anreichern, z. B. Daten zur Häufigkeit, Threat Intelligence oder einem Risikowert für die Entität. Diese Regeln müssen immer einen Abgleichabschnitt haben und können auf Metafelder, match-Variablen und outcome-Variablen aus Eingaberegeln verweisen.
Erkennung: Ausgabe, die generiert wird, wenn die Bedingungen einer Regel erfüllt sind.
Regeln nur für die Erkennung: Zusammengesetzte Regeln, die nur Erkennungen oder Benachrichtigungen als Eingaben verwenden.

Wann sollten zusammengesetzte Erkennungen verwendet werden?

Zusammengesetzte Erkennungen können für die folgenden Ziele nützlich sein:

Ergebnisse von zwei oder mehr Regeln korrelieren, z. B. eine Erkennung von „Malware heruntergeladen“ mit einer nachfolgenden C2-Beaconing-Benachrichtigung vom selben Host verknüpfen.
Benachrichtigungen mit zugehörigen Ereignisdaten anreichern
Sie können die Anzahl der Benachrichtigungen reduzieren, indem Sie nur dann eine endgültige Benachrichtigung auslösen, wenn eine ungenaue Erkennung mit geringer Wahrscheinlichkeit mehrmals oder in Kombination mit anderen verdächtigen Aktivitäten auftritt.
Erstellen Sie eine Benachrichtigung für einen komplexen, mehrstufigen Angriff, bei dem jede Phase bereits durch eine eigene Regel identifiziert wird.

Vorteile von zusammengesetzten Erkennungen

Zusammengesetzte Erkennungen bieten folgende Vorteile:

Mehrstufige Angriffe aufdecken: Cyberangriffe sind oft vielschichtig und miteinander verbunden. Durch die kombinierte Erkennung wird das umfassendere Angriffsszenario aufgedeckt, indem scheinbar isolierte Sicherheitsereignisse verknüpft werden. Mit zusammengesetzten Erkennungen kann beispielsweise die gesamte Abfolge eines Angriffs erkannt werden, z. B. ein anfänglicher Verstoß, gefolgt von einer Rechteausweitung und Daten-Exfiltration.
Weniger Benachrichtigungen: Mit zusammengesetzten Regeln werden Benachrichtigungen konsolidiert und gefiltert, sodass Sie sich auf die wichtigsten Probleme konzentrieren können. So können Vorfälle mit hoher Relevanz priorisiert und die allgemeine Benachrichtigungsflut reduziert werden.
Genauigkeit der Erkennung verbessern: Kombinieren Sie Erkenntnisse aus Ereignissen des Unified Data Model (UDM), Regelerkennungen, Entitätskontext, Ergebnissen der Nutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) und Datentabellen, um eine genauere Erkennungslogik zu erstellen.
Komplexe Logik optimieren: Teilen Sie komplexe Erkennungsszenarien in überschaubare, miteinander verbundene und wiederverwendbare Regeln auf, um die Entwicklung und Wartung zu vereinfachen.
In Dashboards verwenden: Sie können zusammengesetzte Erkennungen nahtlos als Datenquellen für Google SecOps-Dashboards einbinden. Damit lassen sich Visualisierungen erstellen, in denen mehrstufige Angriffsmuster zusammengefasst werden. So können Sie komplexe Risiken leichter nachvollziehen.

Gängige Anwendungsfälle

In diesem Abschnitt werden einige gängige Anwendungsfälle für zusammengesetzte Erkennungen aufgeführt.

Erkennungen mit Kontext aus Rohereignissen anreichern

Bei diesem Anwendungsfall wird eine Warnung auf hoher Ebene aus einem System mit Ereignisprotokollen aus einem anderen System verknüpft.

Ziel:Die spezifische lokale Aktion ermitteln, die einen Warnhinweis auf hoher Ebene ausgelöst hat.
Beispiel:
1. In Google Cloud Event Threat Detection wird eine Benachrichtigung ausgelöst, weil eine Arbeitslast einen DNS-Aufruf an eine schädliche Domain gesendet hat. Dies ist die Erkennung.
2. Durch diese Erkennung wird eine zusammengesetzte Regel ausgelöst.
3. Die Regel sucht dann in den EDR-Rohlogs (Endpoint Detection and Response, events) derselben Arbeitslast innerhalb eines Zeitfensters von einer Minute nach Befehlszeilenoperationen, die dieselbe schädliche Domain enthalten.
Die endgültige Benachrichtigung enthält umfassenden Kontext: Sie zeigt, dass eine schädliche Domain kontaktiert wurde und welcher ssh-Befehl verwendet wurde. Diese Informationen machen das Ergebnis viel umsetzbarer als die ursprüngliche Erkennung.

Nutzeraktivitäten nach der Anmeldung verfolgen

Ein primärer Anwendungsfall, der sich auf die Verknüpfung des Anmeldeereignisses eines Nutzers mit nachfolgenden verdächtigen Aktivitäten konzentriert. Mit einer Standardregel für mehrere Ereignisse kann eine kurze Sequenz erfasst werden. Eine zusammengesetzte Erkennung eignet sich jedoch besser, um ein umfassendes Risikoprofil der gesamten Sitzung eines Nutzers zu erstellen.

Ziel: Ein einzelnes Ereignis wie eine Anmeldung mit hohem Risiko über einen längeren Zeitraum, z. B. einen ganzen Tag, mit einer Vielzahl nachfolgender Aktivitäten mit schwachen Signalen in Beziehung setzen.
Beispiel: Erstellen Sie mehrere Regeln, die Erkennungen auf niedrigerer Ebene erzeugen. Verwenden Sie dann eine zusammengesetzte Regel mit einem langen Abgleichszeitraum (z. B. 24 Stunden), um einen ersten verdächtigen Login auszulösen und ihn mit einer der folgenden Erkennungen desselben Nutzers zu korrelieren:
- Ein Nutzer löscht seinen Befehlszeilenverlauf.
- Erstellung eines neuen lokalen Administratorkontos
- Ein großer Daten-Upload auf eine persönliche Cloud Storage-Website.

Mit UEBA-Messwerten kombinieren

Bei diesem Anwendungsfall werden vorhandene UEBA-Messwerte als Ausgangspunkt für einen zusammengesetzten Erkennungsmechanismus verwendet, um komplexeres, langfristiges Verhalten zu erkennen.

Ziel: Einen Anstieg eines UEBA-Messwerts mit einer anderen ungewöhnlichen Aktivität in Beziehung setzen.
Beispiel:
1. Eine UEBA-Regel erkennt eine übermäßige Anzahl von fehlgeschlagenen Anmeldeversuchen für einen Nutzer.
2. Eine andere UEBA-Regel erkennt eine große Anzahl von ausgehendem Traffic vom selben Nutzer.
3. Eine zusammengesetzte Erkennung verknüpft diese beiden separaten UEBA-Ergebnisse über einen Zeitraum von mehreren Tagen, um eine potenzielle Konto-Kompromittierung mit anschließendem Datendiebstahl zu erkennen.

Versuche zur Daten-Exfiltration erkennen

Dabei werden mehrere unterschiedliche Nutzeraktionen in Beziehung gesetzt, die in Kombination auf einen Versuch hindeuten könnten, Daten zu exfiltrieren.

Ziel: Erstellen eines Profils für die riskante Datenverarbeitung durch einen einzelnen Nutzer auf mehreren Geräten und bei verschiedenen Aktionen.
Korrelierte Aktionen:
- Anmeldung über mehrere Geräte (z. B. Computer zu Hause und auf der Arbeit)
- Auf mehr Datenquellen als üblich zugreifen
- Gleichzeitiges Herunterladen, Drucken und Senden von Daten per E-Mail
- Zählen, wie viele klassifizierte Dokumente ein Nutzer innerhalb eines bestimmten Zeitraums bearbeitet.
- Sie haben ein Kündigungsschreiben eingereicht.

Mehrstufige Malware erkennen

Bei diesem Anwendungsfall geht es darum, Malware zu erkennen, die langsam über einen langen Zeitraum hinweg aktiv ist. Das ist mit einzelnen Regeln mit kurzen Abgleichszeiträumen schwierig.

Ziel:Den ersten Angriffsvektor mit nachfolgenden schädlichen Aktionen verknüpfen, auch wenn sie Stunden oder Tage auseinanderliegen.
Beispiel:
1. Ein Nutzer besucht eine schädliche Website (erstes Netzwerkereignis).
2. Eine „Dropper-Datei“ wird heruntergeladen und ausgeführt (erstes Prozessereignis).
3. Viel später lädt die Dropper-Datei eine andere ausführbare Datei herunter und führt sie aus (zweites Prozessereignis).
Dazu ist ein langes match-Zeitfenster erforderlich, um die über- und untergeordneten Prozesse zu verbinden. Dies kann durch zusammengesetzte Erkennungen ermöglicht werden.

Geräusche von Benachrichtigungen reduzieren

In diesem Anwendungsfall geht es darum, Erkennungen zu verwalten, die zu „laut“ sind oder zu viele falsch positive Ergebnisse liefern.

Ziel:Eine fehlerhafte Regel optimieren, ohne sie zu deaktivieren oder komplexe Ausschlüsse zu erstellen.
Beispiel:
1. Legen Sie eine kuratierte Erkennung mit vielen Benachrichtigungen auf „Nur erkennen“ fest, damit keine Benachrichtigungen mehr generiert werden.
2. Erstellen Sie eine zusammengesetzte Erkennung, die die Ausgabe dieser kuratierten Regel als erste Bedingung verwendet.
3. Fügen Sie eine zweite Bedingung hinzu, um zusätzliche Qualifikationen zu ermöglichen, z. B. „Benachrichtigung nur, wenn diese Erkennung innerhalb einer Stunde fünfmal für denselben Nutzer erfolgt“ oder wenn sie mit einer Erkennung aus einer anderen Regel kombiniert wird.

Funktionsweise von zusammengesetzten Erkennungen

Wenn Regeln vordefinierte Bedingungen erfüllen, werden Erkennungen generiert. Diese Erkennungen können optional Ergebnisvariablen enthalten, die bestimmte Daten- oder Ereignisstatus erfassen.

Bei zusammengesetzten Regeln werden diese Erkennungen aus anderen Regeln als Teil der Eingaben verwendet. Die Auswertung kann auf den Informationen aus dem Meta-Abschnitt der ursprünglichen Regel, den Ergebnisvariablen und den Abgleichsvariablen basieren.

Anhand dieser Auswertung können Sie zusammengesetzte Regeln verwenden, um neue Erkennungen zu erstellen, die als Zwischenrepräsentation für die Untersuchung und Benachrichtigung mit einer nachfolgenden Regel verwendet werden. So können mehrere Faktoren aus verschiedenen Erkennungen korreliert werden, um komplexe Bedrohungen zu identifizieren.

Weitere Informationen zur Syntax und Beispiele finden Sie unter Zusammengesetzte Erkennungsregeln und Beispiele.

Strategie festlegen

Bevor Sie mit der Erstellung zusammengesetzter Regeln beginnen, sollten Sie Ihre Strategie planen, damit Ihre neuen Regeln effektiv und effizient sind und die richtigen Probleme lösen.

Aktuelle Erkennungsstrategie bewerten: Überprüfen Sie Ihre vorhandenen Regeln, um diejenigen zu identifizieren, die zu viele Meldungen auslösen, eine hohe Anzahl von Fehlalarmen generieren oder zu komplex und schwer zu verwalten sind.
Bestimmen Sie die spezifischen Szenarien, in denen zusammengesetzte Regeln einen Mehrwert bieten. Dazu gehört das Erkennen mehrstufiger Angriffe, das Korrelieren mehrerer Warnungen mit niedrigem Konfidenzniveau zu einer einzigen Warnung mit hohem Konfidenzniveau oder das Anreichern von Erkennungen mit zusätzlichem Kontext aus anderen Datenquellen.
Erstellen Sie auf Grundlage Ihrer Bewertung einen Implementierungsplan. Entscheiden Sie, welche ungenauen Regeln Sie optimieren, welche komplexen Regeln Sie vereinfachen und welche neuen mehrstufigen Erkennungen Sie priorisieren müssen.

Dieser Plan bietet eine Roadmap für die Erstellung gezielter und effektiver zusammengesetzter Regeln. Hier sind einige allgemeine Strategien, mit denen Sie den größtmöglichen Nutzen aus zusammengesetzten Erkennungen ziehen und gleichzeitig technische Einschränkungen berücksichtigen können.

Geeignete Methode auswählen

Bevor Sie eine zusammengesetzte Erkennung erstellen, sollten Sie prüfen, ob Sie das gewünschte Ergebnis mit anderen Alternativen erzielen können. Analysieren Sie, ob Sie ein komplexes Muster mit einer vorhandenen UEBA-Erkennung identifizieren können. Wenn eine Erkennung zu kompliziert ist, kann das den Wartungsaufwand erhöhen und das Kontingent für Regeln aufbrauchen.

Verwenden Sie eine zusammengesetzte Erkennung, wenn Sie die Endergebnisse von zwei oder mehr verschiedenen, bereits vorhandenen Regeln in Beziehung setzen möchten. So werden konzeptionell separate Phasen eines Angriffs miteinander verbunden.

Beispiel: Korrelation einer Erkennung aus einer Regel vom Typ „Malware Downloaded“ mit einer nachfolgenden Erkennung aus einer Regel vom Typ „C2 Beaconing Detected“.
Vorhandene UEBA-Erkennung verwenden, wenn: Sie herausfinden möchten, wann ein Nutzer oder Gerät von seinem normalen Aktivitätsmuster abweicht.

Beispiel: Es wird automatisch erkannt, dass ein Nutzer heute 100 GB Daten heruntergeladen hat, obwohl er normalerweise nur 1 GB herunterlädt.

Regelkontingente und Risikobewertungen verwalten

Wenn Sie die Ressourcen Ihrer Organisation verwalten möchten, müssen Sie wissen, wie sich die verschiedenen Regeltypen auf Ihr Regelkontingent auswirken.

Vorgefertigte Regeln werden nicht auf Ihr Kontingent für benutzerdefinierte Regeln angerechnet.
Zusammengesetzte Regeln und benutzerdefinierte Regeln für mehrere Ereignisse werden auf Ihr Kontingent angerechnet.

Sie können eine kuratierte Erkennung verwenden, indem Sie sie auf „Nur erkennen“ festlegen. So kann die kuratierte Regel die erste allgemeine Erkennung durchführen, ohne Benachrichtigungen zu generieren. Anschließend können Sie eine zusammengesetzte Regel verwenden, um eine bestimmte Logik auf diese Ergebnisse anzuwenden. So erhalten Sie mehr Informationen und können Ihr Kontingent strategisch verwalten.

Den Unterschied zwischen Risiko und Kontext verstehen

Unterscheiden Sie bei der Entwicklung der Erkennungslogik zwischen Regeln, mit denen das Risiko bewertet wird, und Regeln, die Kontext liefern.

Das Risiko ist die Bewertung, wie gefährlich eine Reihe von Aktivitäten ist. Eine Regel, die für das Risiko entwickelt wurde, fasst oft mehrere kontextbezogene Ereignisse oder Erkennungen zusammen, um eine Entscheidung zu treffen. Ein einzelner fehlgeschlagener Anmeldeversuch liefert beispielsweise Kontext, eine hohe Anzahl davon deutet jedoch auf das Risiko eines Brute-Force-Angriffs hin.

Kontext bezieht sich auf die sachlichen Details rund um ein Ereignis. Eine Regel, die für den Kontext entwickelt wurde, reichert ein Ereignis mit Details aus einem anderen an. Eine Regel kann beispielsweise eine erfolgreiche Nutzeranmeldung erkennen, eine kontextbezogene Regel liefert jedoch den wichtigen Kontext, dass diese Anmeldung aus einem neuen und ungewöhnlichen Land stammt.

Beispiel: Eine erste Erkennung kann Sie auf ein potenzielles Risiko aufmerksam machen, z. B. einen DNS-Aufruf an eine schädliche Domain. Eine zusammengesetzte Regel korreliert diese Benachrichtigung dann mit Ereignisprotokollen in Google SecOps, um den spezifischen Befehlszeilenprozess zu finden, der den Aufruf initiiert hat. Dadurch wird die allgemeine Risikowarnung mit kritischem, umsetzbarem Kontext angereichert.

Lange Abgleichszeiträume strategisch einsetzen

Zusammengesetzte Regeln, die mit langen Abgleichzeitfenstern (z. B. 14 Tage) konfiguriert sind, werden seltener ausgeführt. Aufgrund ihrer hohen Latenz sind sie möglicherweise nicht für zeitkritische Benachrichtigungen geeignet. Sie können diese Zeiträume verwenden, um langsame, anhaltende feindselige Aktivitäten über einen längeren Zeitraum zu erkennen.

Erkennungen für die Visualisierung verwenden

Eine Strategie zur Verwaltung von Regeln mit vielen Störfaktoren besteht darin, die Ausgabe in eine Visualisierung auf einem Dashboard umzuwandeln. Bei diesem Ansatz wird kein Kontingent für Regeln verbraucht und es lassen sich aus Daten mit hohem Volumen und niedriger Qualität wertvolle Erkenntnisse gewinnen.

Wenn Sie eine Regel zum Erkennen von Aktivitäten festlegen und die erkannten Aktivitäten dann in einem Dashboard-Widget darstellen, können Sie Trends nachvollziehen, Ausreißer identifizieren und einen allgemeinen Überblick über die Aktivitäten erhalten, ohne von einzelnen Benachrichtigungen überfordert zu werden.

Beispiel: Umgang mit personenidentifizierbaren Informationen nachverfolgen

Eine Regel erfasst jedes Mal, wenn ein Nutzer vertrauliche personenidentifizierbare Informationen verarbeitet. Anstatt jedes Mal eine Benachrichtigung zu senden, wird nur eine Erkennung durchgeführt. Ein Dashboard-Widget zeigt dann an, welche Nutzer sich einem täglichen Egress-Limit (z. B. 10,000 Byte) nähern. So erhalten Sie einen schnellen Überblick über riskantes Verhalten, ohne dass ständig Benachrichtigungen generiert werden.

Beispiel: Bestimmte DLP-Risiken überwachen:

In einem Widget werden die Risikobewertungen aus einer sehr spezifischen Teilmenge von DLP-Regeln zusammengefasst. So kann ein bestimmtes Team (z. B. die Administratoren für den Schutz vor Datenverlust (Data Loss Prevention, DLP)) nur die relevanten Risiken im Blick behalten und Störungen durch andere Sicherheitsbereiche herausfiltern.

Zusammengesetzte Erkennungen erstellen

Der folgende Workflow beschreibt den typischen Prozess zum Erstellen einer zusammengesetzten Regel. Weitere Informationen zur Syntax und Beispiele finden Sie unter Zusammengesetzte Erkennungsregeln und Beispiele.

Bedrohungsszenario definieren: Definieren Sie die spezifische Bedrohung, die Sie erkennen möchten.
Eingaberegeln erstellen oder identifizieren: Erstellen oder identifizieren Sie für jede Phase des Bedrohungsszenarios eine Eingaberegel, die die jeweilige Aktivität erkennt.
Join-Bedingungen definieren: Bestimmen Sie die gemeinsamen Informationen, die die Erkennungen aus Ihren Eingaberegeln verknüpfen, z. B. Regellabels, Variablen oder Erkennungsfelder.
Zusammengesetzte Regel erstellen: Schreiben Sie die Regel, mit der die Erkennungen aus den Eingaberegeln aufgenommen werden.
- Definieren Sie den Abschnitt events und verweisen Sie anhand des Namens, der ID oder eines gemeinsamen Meta-Labels auf die Eingaberegeln.
- Definieren Sie den Abschnitt match, um den Join-Schlüssel und das Zeitfenster für den Abgleich anzugeben.
- Definieren Sie den Abschnitt condition, um die Bedingung festzulegen, die erfüllt sein muss, damit die endgültige Benachrichtigung ausgelöst wird.
Regelkette testen und bereitstellen: Wir empfehlen, für jede Regel in der Sequenz manuell einen Retrohunt auszuführen.

Wenn Sie die Funktion Regel testen für eine zusammengesetzte Regel verwenden, wird sie nur für vorhandene Erkennungen ausgeführt, die den Eingabekriterien der Regel entsprechen. Die zugrunde liegenden Regeln werden nicht automatisch ausgeführt, um neue Eingaben für den Test zu generieren. Das bedeutet, dass Sie keine gesamte Regelkette in einem einzigen Schritt validieren können.

So führen Sie eine Retrohunt für die Regelsequenz aus:
1. Starten Sie eine Retrohunt manuell mit der ersten Regel in der Sequenz.
2. Warten Sie, bis der Vorgang abgeschlossen ist.
3. Fahren Sie mit der nächsten Regel fort.
Tipp :Wenn Sie beim Testen vermeiden möchten, dass versehentlich frühere Erkennungsergebnisse abgeglichen werden, sollten Sie jeder Regel in der zusammengesetzten Kette eine eindeutige meta: label hinzufügen.

Beispiel:


rule CheckCuratedDetection_with_EDR_and_EG {

  meta:
    author = "noone@cymbal.com"

  events:

    $d.detection.detection.rule_name = /SCC: Custom Modules: Configurable Bad Domain/
    $d.detection.collection_elements.references.event.network.dns.questions.name = $domain
    $d.detection.collection_elements.references.event.principal.asset.hostname = $hostname

    $e.metadata.log_type = "LIMACHARLIE_EDR"
    $e.metadata.product_event_type = "NETWORK_CONNECTIONS"
    $domain = re.capture($e.principal.process.command_line, "\\s([a-zA-Z0-9.-]+\\.[a-zA-Z0-9.-]+)$")
    $hostname = re.capture($e.principal.hostname, "([^.]*)")

    $prevalence.graph.metadata.entity_type = "DOMAIN_NAME"
    $prevalence.graph.metadata.source_type = "DERIVED_CONTEXT"
    $prevalence.graph.entity.hostname = $domain
    $prevalence.graph.entity.domain.prevalence.day_count = 10
    $prevalence.graph.entity.domain.prevalence.rolling_max <= 5
    $prevalence.graph.entity.domain.prevalence.rolling_max > 0

  match:
    $hostname over 1h

  outcome:
    $risk_score = 80
    $CL_target = array($domain)

  condition:
    $e and $d and $prevalence

}

Ergebnisse der zusammengesetzten Erkennung ansehen

Ergebnisse der zusammengesetzten Erkennung können Sie auf der Seite Erkennungen ansehen. Eine Benachrichtigung ist ein zusammengesetzter Erkennungsvorgang, wenn in der Spalte Eingaben die Quelle Erkennung angezeigt wird und in der Spalte Erkennungstyp das Label Benachrichtigung mit einer Zahl daneben (z. B. Alert (3)) zu sehen ist.

Hinweis: Wenn Sie sowohl SIEM als auch SOAR haben, können Sie die Ergebnisse auch auf dem Tab Fälle ansehen.

Zusammengesetzte Erkennungen optimieren

Wir empfehlen die folgenden Vorgehensweisen zum Erstellen zusammengesetzter Regeln.

Für Latenz optimieren

Um die Latenz in Erkennungspipelines zu minimieren, sollten Sie nach Möglichkeit Regeln für einzelne Ereignisse verwenden, z. B. für den ersten Trigger. Zusammengesetzte Regeln können ihre erkannten Ereignisse verwenden, um komplexere Korrelationen mit anderen Ereignissen, Entitäten oder erkannten Ereignissen durchzuführen. So lässt sich die Gesamtlatenz verringern.

Effiziente Methoden zum Verknüpfen von Erkennungen verwenden

Wir empfehlen, Ergebnisvariablen, Meta-Labels und Abgleichsvariablen zu verwenden, um Erkennungen zusammenzuführen. Diese Methoden liefern deterministischere und zuverlässigere Ergebnisse als die Verwendung von Ereignisstichproben. Meta-Labels sind besonders flexibel, da Sie Regeln damit kategorisieren können, sodass eine zusammengesetzte Regel auf alle Erkennungen mit diesem Label angewendet werden kann.

Wenn beispielsweise mehrere Regeln dasselbe Meta-Label tactic: exfiltration haben, können Sie eine zusammengesetzte Regel erstellen, die auf alle Erkennungen ausgerichtet ist, bei denen das Taktiklabel den Wert exfiltration hat.

Wenn Sie nocase mit Join-Variablen in zusammengesetzten Erkennungen verwenden, erhalten Sie möglicherweise den folgenden semantischen Analysefehler:

semantic analysis: match variable <variable_name> is not assigned to an event field.

Bei zusammengesetzten Erkennungen wird mit der ersten Variablenauswahl (z. B. $username = $fact1...) die Eigenschaften der Variablen definiert, einschließlich der Groß-/Kleinschreibung bei Verwendung von nocase. Wenn nocase auf nachfolgende Variablendefinitionen derselben Join-Variablen (z. B. $username = $fact2...) angewendet wird, interpretiert der Compiler dies als widersprüchliche Neudefinition oder redundante Einschränkung, was zu einem semantischen Fehler führt.

Erkennung mit der Funktionsbibliothek verbessern

Sie können die YARA-L-Funktionsbibliothek an strategischen Punkten in einer zusammengesetzten Regel verwenden, um das Signal zu verstärken und komplexere Logik hinzuzufügen.

Regel-Updates verwalten

Wenn Sie eine Regel aktualisieren, die in einer oder mehreren zusammengesetzten Regeln verwendet wird, erstellt das System automatisch eine neue Version der Regel. Für zusammengesetzte Regeln wird automatisch die neue Version verwendet. Wir empfehlen, die gesamte aktualisierte Regelsequenz zu testen, um das beabsichtigte Verhalten zu überprüfen.

Beschränkungen

Beachten Sie beim Entwerfen und Implementieren zusammengesetzter Erkennungen die folgenden Einschränkungen:

Verfügbarkeit von SOAR-Falldaten: Composite-Erkennungen haben keinen Zugriff auf alle SOAR-Falldaten. Regellogik, mit der versucht wird, Fälle anhand des Status zu filtern oder auszuschließen (z. B. $edetection.feedback_summary.status != "CLOSED"), wird nicht unterstützt.
Zusammengesetzte Regeln: Google SecOps unterstützt eine maximale Tiefe von 10 für zusammengesetzte Regeln. Die Tiefe ist die Anzahl der Regeln von einer Basisregel bis zur endgültigen zusammengesetzten Regel.
Regeln für die reine Erkennung: Sie haben ein maximales Übereinstimmungsfenster von 14 Tagen und unterliegen einem täglichen Erkennungslimit von 10.000 Erkennungen pro Regel.
Ergebnisvariablen: Jede Regel ist auf maximal 20 Ergebnisvariablen begrenzt. Außerdem ist jede wiederholte Ergebnisvariable auf 25 Werte beschränkt.
Ereignisbeispiele: Pro Ereignisvariable in einer Regel werden nur 10 Ereignisbeispiele gespeichert, z. B. 10 für $e1 und 10 für $e2.

Weitere Informationen zu Erkennungsgrenzen finden Sie unter Erkennungsgrenzen.

Nächste Schritte

Informationen zum Erstellen zusammengesetzter Erkennungsregeln finden Sie unter Zusammengesetzte Erkennungsregeln und Beispiele.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten