Ringkasan kategori aturan gabungan
Dokumen ini memberikan ringkasan set aturan komposit, sumber data yang diperlukan, dan opsi konfigurasi untuk menyesuaikan pemberitahuan yang dihasilkan. Kumpulan aturan ini memberikan pemberitahuan dengan fidelitas yang lebih tinggi. Mereka menetapkan tingkat keparahan, keyakinan, risiko, dan prioritas di seluruh konten deteksi yang diaktifkan untuk Google Security Operations bagi lingkungan endpoint dan Google Cloud.
Mendeskripsikan kumpulan aturan
Kategori Aturan Gabungan mencakup kumpulan aturan berikut:
Memahami aturan komposit endpoint
Aturan ini mengorelasikan temuan dari beberapa aturan deteksi yang terkait dengan endpoint yang sama selama jangka waktu yang ditentukan. Tingkat keyakinan dan risiko ditentukan oleh karakteristik spesifik dari deteksi tersebut.
Memahami aturan komposit Cloud
Aturan ini mengorelasikan temuan dari beberapa aturan deteksi yang terkait dengan akun atau resourceGoogle Cloud yang sama selama jangka waktu yang ditentukan. Google Cloud Tingkat keyakinan dan risiko didasarkan pada karakteristik spesifik dari deteksi tersebut.
Memahami aturan komposit ATI
Aturan komposit ATI mendeteksi beberapa deteksi Applied Threat Intelligence unik dari kampanye, varian malware, atau pelaku ancaman yang sama untuk memberikan konteks lingkungan tambahan dari potensi ancaman apa pun. Hal ini membantu Anda berfokus pada kelompok aktivitas untuk membantu menentukan prioritas. Untuk memastikan aturan ini menghasilkan notifikasi, Anda harus mengaktifkan paket aturan Intelijen Ancaman yang Diterapkan, seperti "Pelanggaran Aktif", "Tinggi", atau "Sedang".
Perangkat dan jenis log yang didukung
Aturan ini terutama mengandalkan Log Audit Cloud, log deteksi dan respons endpoint, serta log proxy jaringan. UDM Google SecOps secara otomatis menormalisasi sumber log ini. Kategori berikut menguraikan sumber log paling penting yang diperlukan agar konten komposit yang dikurasi berfungsi secara efektif:
Sumber log aturan komposit endpoint
Google Cloud Sumber log aturan komposit
Sumber log aturan endpoint danGoogle Cloud
Untuk mengetahui daftar lengkap deteksi pilihan yang tersedia, lihat Menggunakan deteksi pilihan. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengaktifkan sumber deteksi menggunakan mekanisme yang berbeda.
Google SecOps menyediakan parser default yang mem-parsing dan menormalisasi log mentah untuk membuat rekaman UDM dengan data yang diperlukan oleh set aturan deteksi komposit dan pilihan. Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.
Mengubah aturan dalam kumpulan aturan
Anda dapat menyesuaikan perilaku aturan dalam set aturan untuk memenuhi kebutuhan organisasi Anda. Sesuaikan cara kerja setiap aturan dengan memilih salah satu mode deteksi berikut, dan konfigurasi apakah aturan membuat pemberitahuan.
- Luas: mendeteksi perilaku yang berpotensi berbahaya atau tidak normal, tetapi dapat menghasilkan lebih banyak positif palsu karena sifat umum aturan.
Untuk mengubah setelan, lakukan hal berikut:
Dari daftar aturan, centang kotak di samping setiap aturan yang ingin Anda ubah.
Konfigurasi setelan Status dan Pemberitahuan untuk aturan sebagai berikut:
Status: menerapkan mode (Presisi atau Luas) ke aturan yang dipilih. Setel ke
Enableduntuk mengaktifkan status aturan ke mode.Pemberitahuan: mengontrol apakah aturan menghasilkan pemberitahuan di halaman Pemberitahuan. Setel ke Aktif untuk mengaktifkan pemberitahuan.
Menyesuaikan notifikasi dari set aturan
Anda dapat mengurangi jumlah pemberitahuan yang dihasilkan oleh aturan komposit menggunakan pengecualian aturan.
Pengecualian aturan menentukan kriteria yang mencegah peristiwa tertentu dievaluasi oleh aturan atau set aturan. Gunakan pengecualian untuk mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.