Présentation de la catégorie de règles composites

Ce document présente les ensembles de règles composites, les sources de données requises et les options de configuration permettant d'ajuster les alertes qu'ils génèrent. Ces ensembles de règles permettent de générer des alertes plus précises. Ils définissent les niveaux de gravité, de confiance, de risque et de priorité pour tous les contenus de détection compatibles avec Google Security Operations pour les environnements Google Cloudet de points de terminaison.

Décrire les ensembles de règles

La catégorie "Règles composites" inclut les ensembles de règles suivants :

• Règles composites de points de terminaison
• Règles composites du cloud
• Règles de composition ATI

Comprendre les règles composites des points de terminaison

Ces règles mettent en corrélation les résultats de plusieurs règles de détection qui concernent le même point de terminaison sur une période définie. Les niveaux de confiance et de risque sont déterminés par des caractéristiques spécifiques de ces détections.

Comprendre les règles composites Cloud

Ces règles mettent en corrélation les résultats de plusieurs règles de détection associées au même compteGoogle Cloud ou à la même ressource Google Cloud sur une période définie. Les niveaux de confiance et de risque sont basés sur des caractéristiques spécifiques de ces détections.

Comprendre les règles composites ATI

Les règles composites ATI détectent plusieurs détections uniques de renseignements appliqués sur les menaces provenant de la même campagne, de la même variante de logiciel malveillant ou du même acteur malveillant afin de fournir un contexte environnemental supplémentaire pour toute menace potentielle. Cela vous permet de vous concentrer sur les groupes d'activité pour vous aider à les hiérarchiser. Pour que ces règles génèrent des alertes, vous devez activer les packs de règles Applied Threat Intelligence, tels que "Active Breach", "High" ou "Medium".

Appareils et types de journaux compatibles

Ces règles s'appuient principalement sur Cloud Audit Logs, les journaux de détection et de réponse des points de terminaison, ainsi que les journaux de proxy réseau. Google SecOps UDM normalise automatiquement ces sources de journaux. Les catégories suivantes décrivent les sources de journaux les plus importantes requises pour que le contenu composite organisé fonctionne efficacement :

Sources de journaux des règles composites de points de terminaison

• Menaces Linux
• Menaces macOS
• Menaces Windows

Google Cloud Sources de journaux de règles composites

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud et sources de journaux des règles de point de terminaison

• Applied Threat Intelligence (ATI)
• Menaces Chrome Enterprise
• Risk Analytics pour UEBA

Pour obtenir la liste complète des détections sélectionnées disponibles, consultez Utiliser les détections sélectionnées. Contactez votre représentant Google SecOps si vous devez activer les sources de détection à l'aide d'un autre mécanisme.

Google SecOps fournit des analyseurs par défaut qui analysent et normalisent les journaux bruts pour créer des enregistrements UDM avec les données requises par les ensembles de règles de détection composites et organisés. Pour obtenir la liste de toutes les sources de données compatibles avec Google SecOps, consultez Analyseurs par défaut compatibles.

Modifier les règles d'un ensemble de règles

Vous pouvez personnaliser le comportement des règles d'un ensemble de règles pour répondre aux besoins de votre organisation. Ajustez le fonctionnement de chaque règle en sélectionnant l'un des modes de détection suivants et configurez si les règles génèrent des alertes.

• Générales : détectent les comportements potentiellement malveillants ou anormaux, mais peuvent générer plus de faux positifs en raison de la nature générale de la règle.

Pour modifier les paramètres :

1. Dans la liste des règles, cochez la case à côté de chaque règle à modifier.

2. Configurez les paramètres État et Alertes des règles comme suit :

   • État : applique le mode (Précis ou Général) à la règle sélectionnée. Définissez sur Enabled pour activer l'état de la règle sur le mode.

   • Alertes : indique si la règle génère une alerte sur la page Alertes. Définissez la valeur sur Activé pour activer les alertes.

Ajuster les alertes des ensembles de règles

Vous pouvez réduire le nombre d'alertes générées par une règle composite à l'aide des exclusions de règles.

Une exclusion de règle spécifie des critères qui empêchent l'évaluation de certains événements par une règle ou un ensemble de règles. Utilisez des exclusions pour réduire le volume de détection. Pour en savoir plus, consultez Configurer les exclusions de règles.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.