複合ルール
このドキュメントでは、複合ルールセットの概要、必要なデータソース、生成されるアラートを調整するための構成オプションについて説明します。 これらのルールセットは、忠実度の高いアラートを提供します。これらは、Google Security Operations 対応のすべての検出コンテンツで、エンドポイント環境の重大度、 信頼度、リスク、優先度レベル を確立します。 Google Cloud
ルールセットについて
[複合ルール] カテゴリには、次のルールセットが含まれます。
エンドポイント複合ルールについて
これらのルールは、定義された期間に同じエンドポイントに関連する複数の検出ルールの検出結果を関連付けます。信頼度とリスクレベルは、これらの検出の特定の特性によって決まります。
Cloud 複合ルールについて
これらのルールは、定義された 期間に同じ Google Cloud アカウントまたは Google Cloud リソースに関連付けられた複数の検出ルールの検出結果を関連付けます。信頼度とリスクレベルは、これらの検出の特定の特性に基づいています。
ATI 複合ルールについて
ATI 複合ルールは、同じキャンペーン、マルウェアの亜種、または脅威アクターから複数の一意の Applied Threat Intelligence 検出を検出し、潜在的な脅威の追加の環境コンテキストを提供します。これにより、アクティビティのクラスタに焦点を当てて優先順位付けを行うことができます。これらのルールでアラートが生成されるようにするには、「Active Breach」、「High」、「Medium」などの Applied Threat Intelligence ルールパックを有効にする必要があります。
サポート対象のデバイスとログタイプ
これらのルールは主に、Cloud Audit Logs、エンドポイントの検出と対応のログ、ネットワーク プロキシログに依存しています。Google SecOps UDM は、これらのログソースを自動的に正規化します。次のカテゴリでは、キュレーションされた複合コンテンツが効果的に機能するために必要な最も重要なログソースについて説明します。
エンドポイント複合ルールのログソース
Google Cloud 複合ルールのログソース
Google Cloud とエンドポイント ルールのログソース
使用可能なキュレーテッド検出の完全なリストについては、 キュレーテッド検出を使用するをご覧ください。別のメカニズムを使用して検出ソースを有効にする必要がある場合は、Google SecOps の担当者にお問い合わせください。
Google SecOps には、未加工のログを解析して正規化し、複合ルールセットとキュレーションされた検出ルールセットに必要なデータを使用して UDM レコードを作成するデフォルトのパーサーが用意されています。Google SecOps がサポート対象とするすべての データソースのリストについては、サポート対象のデフォルトのパーサーをご覧ください。
ルールセット内のルールを変更する
組織のニーズに合わせて、ルールセット内のルールの動作をカスタマイズできます。次のいずれかの検出モードを選択して各ルールの動作を調整し、ルールでアラートを生成するかどうかを構成します。
- 広範: 悪意のある動作や異常な動作を検出しますが、ルールの一般的な性質により、偽陽性が多くなる可能性があります。
設定を変更する手順は次のとおりです。
ルールリストで、変更する各ルールの横にあるチェックボックスをオンにします。
ルールの [ステータス] と [アラート] の設定を次のように構成します。
ステータス: 選択したルールにモード(正確 または広範 )を適用します。
Enabledに設定すると、ルールのステータスがそのモードに有効になります。アラート: ルールで [アラート] ページにアラートが生成されるかどうかを制御します。アラートを有効にするには、[オン] に設定します。
ルールセットからのアラートを調整する
ルールの 除外を使用すると、複合ルールによって生成されるアラートの数を減らすことができます。
ルールの除外では、特定のイベントがルールまたはルールセットによって評価されないようにする条件を指定します。除外を使用して検出量を減らします。詳細については、 ルールの除外対象の構成をご覧ください。
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。