סקירה כללית של קטגוריית הכללים המורכבים

במסמך הזה מפורטת סקירה כללית של קבוצות הכללים המורכבות, מקורות הנתונים הנדרשים ואפשרויות ההגדרה להתאמת ההתראות שהן יוצרות. קבוצות הכללים האלה מספקות התראות ברמת דיוק גבוהה יותר. הן מגדירות רמות חומרה, רמת סמך, סיכון ועדיפות בכל תוכן הזיהוי שמופעל ב-Google Security Operations עבור סביבות של Google Cloudושל נקודות קצה.

תיאור של קבוצות כללים

הקטגוריה Composite Rules (כללים מורכבים) כוללת את קבוצות הכללים הבאות:

• כללים מורכבים של נקודות קצה
• כללים מורכבים ב-Cloud
• כללים מורכבים של ATI

הסבר על כללים מורכבים של נקודות קצה

הכללים האלה משווים בין ממצאים מכמה כללי זיהוי שקשורים לאותה נקודת קצה במהלך תקופת זמן מוגדרת. רמות הביטחון והסיכון נקבעות לפי מאפיינים ספציפיים של הזיהויים האלה.

הסבר על כללים מורכבים ב-Cloud

הכללים האלה מצליבים ממצאים מכמה כללי זיהוי שמשויכים לאותוGoogle Cloud חשבון או Google Cloud משאב במהלך תקופה מוגדרת. רמות הסמך והסיכון מבוססות על מאפיינים ספציפיים של הזיהויים האלה.

הסבר על כללים מורכבים של ATI

כללים מורכבים של ATI מזהים מספר זיהויים ייחודיים של Applied Threat Intelligence מאותו קמפיין, מאותה וריאציה של תוכנה זדונית או מאותו שחקן איומים, כדי לספק הקשר סביבתי נוסף של כל איום פוטנציאלי. כך תוכלו להתמקד באשכולות של פעילות כדי לתעדף את הטיפול בהם. כדי לוודא שהכללים האלה יפיקו התראות, אתם צריכים להפעיל חבילות כללים של Applied Threat Intelligence, כמו Active Breach,‏ High או Medium.

מכשירים נתמכים וסוגי יומנים

הכללים האלה מסתמכים בעיקר על יומני ביקורת של Cloud, יומנים של זיהוי נקודות קצה ותגובה, ויומנים של שרתי proxy ברשת. מערכת Google SecOps UDM מבצעת נורמליזציה אוטומטית של מקורות היומן האלה. בקטגוריות הבאות מפורטים מקורות היומן החשובים ביותר שנדרשים כדי שהתוכן המורכב שנאסף יפעל בצורה יעילה:

מקורות ביומן של כללים מורכבים של נקודות קצה

• איומים ב-Linux
• איומים ב-MacOS
• איומים ב-Windows

Google Cloud מקורות ביומן של כללים מורכבים

• Google Cloud
• AWS
• Azure
• Office365
• ‫Okta

Google Cloud ומקורות יומן של כללי נקודות קצה

• Applied Threat Intelligence (ATI)
• איומים ב-Chrome Enterprise
• ניתוח סיכונים ל-UEBA

רשימה מלאה של הזיהויים המותאמים שזמינים מופיעה במאמר בנושא שימוש בזיהויים מותאמים. אם אתם צריכים להפעיל את מקורות הזיהוי באמצעות מנגנון אחר, פנו לנציג שלכם ב-Google SecOps.

‫Google SecOps מספק מנתחי נתונים שמוגדרים כברירת מחדל, שמנתחים ומנרמלים יומנים גולמיים כדי ליצור רשומות UDM עם נתונים שנדרשים על ידי קבוצות של כללי זיהוי מורכבים ומסוננים. רשימה של כל מקורות הנתונים שנתמכים ב-Google SecOps זמינה במאמר מנתחי נתונים שמוגדרים כברירת מחדל.

שינוי כללים בקבוצת כללים

אתם יכולים להתאים אישית את אופן הפעולה של הכללים בתוך קבוצת כללים כדי לענות על הצרכים של הארגון. כדי לשנות את אופן הפעולה של כל כלל, בוחרים באחד ממצבי הזיהוי הבאים ומגדירים אם הכללים ייצרו התראות.

• רחב: מזהה התנהגות חריגה או התנהגות שעלולה להיות זדונית, אבל יכול להיות שיפיק יותר תוצאות חיוביות שגויות בגלל האופי הכללי של הכלל.

כדי לשנות את ההגדרות:

1. ברשימת הכללים, מסמנים את התיבה לצד כל כלל שרוצים לשנות.

2. מגדירים את ההגדרות Status ו-Alerting לכללים באופן הבא:

   • סטטוס: מחיל את המצב (מדויק או רחב) על הכלל שנבחר. מגדירים את הערך Enabled כדי להפעיל את הסטטוס של הכלל במצב.

   • התראות: קובעת אם הכלל ייצור התראה בדף התראות. כדי להפעיל את ההתראות, בוחרים באפשרות מופעל.

שינוי ההגדרות של התראות מקבוצות של כללים

כדי לצמצם את מספר ההתראות שנוצרות על ידי כלל מורכב, אפשר להשתמש בהחרגות של כללים.

החרגה של כלל מציינת קריטריונים שמונעים מאירועים מסוימים להיבדק על ידי כלל או קבוצת כללים. אפשר להשתמש בהחרגות כדי לצמצם את נפח הזיהוי. מידע נוסף זמין במאמר הגדרת החרגות של כללים.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.