Wir haben unsere Navigationsstruktur neu organisiert, um sie direkt an Ihre Arbeitsabläufe anzupassen. Weitere Informationen finden Sie in den Versionshinweisen zu Google SecOps.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zusammengesetzte Regeln

Unterstützt in:

Google SecOps SIEM

In diesem Dokument finden Sie eine Übersicht über die zusammengesetzten Regelsätze, die erforderlichen Datenquellen und die Konfigurationsoptionen zum Optimieren der von ihnen generierten Benachrichtigungen. Diese Regelsätze ermöglichen genauere Benachrichtigungen. Sie legen Schweregrad-, Konfidenz-, Risiko- und Prioritätsstufen für alle Google Security Operations-fähigen Erkennungsinhalte für Google Cloud- und Endpunktumgebungen fest.

Regelsätze beschreiben

Die Kategorie „Zusammengesetzte Regeln“ umfasst die folgenden Regelsätze:

Zusammengesetzte Endpunktregeln
Zusammengesetzte Cloud-Regeln
Zusammengesetzte ATI-Regeln

Regeln für zusammengesetzte Endpunkte

Diese Regeln korrelieren Ergebnisse aus mehreren Erkennungsregeln, die sich über einen definierten Zeitraum auf denselben Endpunkt beziehen. Konfidenz- und Risikostufen werden durch bestimmte Merkmale dieser Erkennungen bestimmt.

Zusammengesetzte Cloud-Regeln

Diese Regeln korrelieren Ergebnisse aus mehreren Erkennungsregeln, die einemGoogle Cloud -Konto oder einer Google Cloud -Ressource über einen bestimmten Zeitraum zugeordnet sind. Konfidenz- und Risikostufen basieren auf bestimmten Merkmalen dieser Erkennungen.

Zusammengesetzte ATI-Regeln

Mit ATI-Verbundregeln werden mehrere eindeutige Applied Threat Intelligence-Erkennungen aus derselben Kampagne, Malware-Variante oder demselben Angreifer erkannt, um zusätzlichen Kontext für potenzielle Bedrohungen zu liefern. So können Sie sich auf Aktivitätscluster konzentrieren und Prioritäten festlegen. Damit diese Regeln Benachrichtigungen auslösen, müssen Sie angewendete Threat Intelligence-Regelsätze wie „Active Breach“, „High“ oder „Medium“ aktivieren.

Unterstützte Geräte und Protokolltypen

Diese Regeln basieren hauptsächlich auf Cloud-Audit-Logs, Logs zur Erkennung und Reaktion von Endpunkten und Netzwerk-Proxy-Logs. Das Google SecOps UDM normalisiert diese Logquellen automatisch. In den folgenden Kategorien werden die wichtigsten Log-Quellen beschrieben, die für die effektive Funktion der zusammengestellten Inhalte erforderlich sind:

Logquellen für zusammengesetzte Endpunktregeln

Google Cloud Zusammengesetzte Regelprotokollquellen

Google Cloud und Endpunktregelprotokollquellen

Eine vollständige Liste der verfügbaren ausgewählten Erkennungen finden Sie unter Kuratierte Erkennungen verwenden. Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie die Erkennungsquellen mit einem anderen Mechanismus aktivieren müssen.

Google SecOps bietet Standardparser, die Rohlogs parsen und normalisieren, um UDM-Datensätze mit Daten zu erstellen, die für zusammengesetzte und kuratierte Erkennungsregelsätze erforderlich sind. Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Regeln in einem Regelsatz ändern

Sie können das Verhalten von Regeln in einem Regelsatz an die Anforderungen Ihrer Organisation anpassen. Passen Sie die Funktionsweise der einzelnen Regeln an, indem Sie einen der folgenden Erkennungsmodi auswählen und konfigurieren, ob durch die Regeln Benachrichtigungen generiert werden sollen.

Allgemein:Erkennt potenziell schädliches oder anomales Verhalten, kann aber aufgrund der allgemeinen Natur der Regel mehr falsch positive Ergebnisse liefern.

So ändern Sie die Einstellungen:

Klicken Sie in der Liste der Regeln auf das Kästchen neben jeder Regel, die Sie ändern möchten.
Konfigurieren Sie die Einstellungen für Status und Benachrichtigungen für die Regeln so:
- Status:Wendet den Modus (Exakt oder Allgemein) auf die ausgewählte Regel an. Legen Sie Enabled fest, um den Status der Regel im Modus zu aktivieren.
- Benachrichtigungen:Steuert, ob die Regel eine Benachrichtigung auf der Seite Benachrichtigungen generiert. Setzen Sie den Wert auf Ein, um Benachrichtigungen zu aktivieren.

Benachrichtigungen aus Regelsätzen anpassen

Sie können die Anzahl der von einer zusammengesetzten Regel generierten Benachrichtigungen mithilfe von Regelausschlüssen reduzieren.

Mit einem Regelausschluss werden Kriterien angegeben, die verhindern, dass bestimmte Ereignisse von einer Regel oder einem Regelsatz ausgewertet werden. Mit Ausschlüssen das Erkennungsvolumen reduzieren Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten