Aturan gabungan
Dokumen ini memberikan ringkasan set aturan komposit, sumber data yang diperlukan, dan opsi konfigurasi untuk menyesuaikan pemberitahuan yang dihasilkan. Set aturan ini memberikan pemberitahuan dengan fidelitas yang lebih tinggi. Mereka menetapkan tingkat keparahan, tingkat keyakinan, risiko, dan prioritas di semua konten deteksi yang diaktifkan untuk Google Security Operations dan lingkungan endpoint. Google Cloud
Mendeskripsikan kumpulan aturan
Kategori Aturan Gabungan mencakup kumpulan aturan berikut:
Memahami aturan komposit endpoint
Aturan ini mengorelasikan temuan dari beberapa aturan deteksi yang terkait dengan endpoint yang sama selama jangka waktu yang ditentukan. Tingkat keyakinan dan risiko ditentukan oleh karakteristik spesifik dari deteksi tersebut.
Memahami aturan komposit Cloud
Aturan ini mengorelasikan temuan dari beberapa aturan deteksi yang terkait dengan akun atau resourceGoogle Cloud yang sama selama jangka waktu yang ditentukan. Google Cloud Tingkat keyakinan dan risiko didasarkan pada karakteristik spesifik dari deteksi tersebut.
Memahami aturan komposit ATI
Aturan gabungan ATI mendeteksi beberapa deteksi unik Applied Threat Intelligence dari kampanye, varian malware, atau pelaku ancaman yang sama untuk memberikan konteks lingkungan tambahan dari potensi ancaman apa pun. Hal ini membantu Anda berfokus pada kelompok aktivitas untuk membantu menentukan prioritas. Untuk memastikan aturan ini menghasilkan notifikasi, Anda harus mengaktifkan paket aturan Applied Threat Intelligence, seperti "Active Breach", "High", atau "Medium".
Perangkat dan jenis log yang didukung
Aturan ini terutama mengandalkan Log Audit Cloud, log deteksi dan respons endpoint, serta log proxy jaringan. UDM Google SecOps menormalisasi sumber log ini secara otomatis. Kategori berikut menguraikan sumber log paling penting yang diperlukan agar konten komposit pilihan dapat berfungsi secara efektif:
Sumber log aturan komposit endpoint
Google Cloud Sumber log aturan komposit
Sumber log aturan endpoint danGoogle Cloud
Untuk mengetahui daftar lengkap pendeteksian terseleksi yang tersedia, lihat Menggunakan pendeteksian terseleksi. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengaktifkan sumber deteksi menggunakan mekanisme yang berbeda.
Google SecOps menyediakan parser default yang mem-parsing dan menormalisasi log mentah untuk membuat rekaman UDM dengan data yang diperlukan oleh set aturan deteksi komposit dan pilihan. Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.
Mengubah aturan dalam kumpulan aturan
Anda dapat menyesuaikan perilaku aturan dalam set aturan untuk memenuhi kebutuhan organisasi Anda. Sesuaikan cara kerja setiap aturan dengan memilih salah satu mode deteksi berikut, dan konfigurasi apakah aturan membuat pemberitahuan.
- Luas: mendeteksi perilaku yang berpotensi berbahaya atau tidak normal, tetapi dapat menghasilkan lebih banyak positif palsu karena sifat aturan yang umum.
Untuk mengubah setelan, lakukan hal berikut:
Dari daftar aturan, centang kotak di samping setiap aturan yang ingin Anda ubah.
Konfigurasi setelan Status dan Pemberitahuan untuk aturan sebagai berikut:
Status: menerapkan mode (Precise atau Broad) ke aturan yang dipilih. Setel ke
Enableduntuk mengaktifkan status aturan ke mode tersebut.Pemberitahuan: mengontrol apakah aturan menghasilkan pemberitahuan di halaman Pemberitahuan. Setel ke Aktif untuk mengaktifkan pemberitahuan.
Menyesuaikan notifikasi dari set aturan
Anda dapat mengurangi jumlah pemberitahuan yang dihasilkan oleh aturan komposit menggunakan pengecualian aturan.
Pengecualian aturan menentukan kriteria yang mencegah peristiwa tertentu dievaluasi oleh aturan atau set aturan. Gunakan pengecualian untuk mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.