Regras compostas

Com suporte em:

Este documento oferece uma visão geral dos conjuntos de regras compostas, das fontes de dados necessárias e das opções de configuração para ajustar os alertas gerados por elas. Esses conjuntos de regras oferecem alertas de maior fidelidade. Eles estabelecem níveis de gravidade, confiança, risco e prioridade em todo o conteúdo de detecção ativado pelo Google Security Operations para Google Cloud e ambientes de endpoint.

Descrever conjuntos de regras

A categoria "Regras compostas" inclui os seguintes conjuntos de regras:

Entender as regras compostas de endpoint

Essas regras correlacionam descobertas de várias regras de detecção relacionadas ao mesmo endpoint durante um período definido. Os níveis de confiança e risco são determinados por características específicas dessas detecções.

Entender as regras compostas de nuvem

Essas regras correlacionam descobertas de várias regras de detecção associadas à mesma Google Cloud conta ou Google Cloud recurso durante um período definido. Os níveis de confiança e risco são baseados em características específicas dessas detecções.

Entender as regras compostas de ATI

As regras compostas de ATI detectam várias detecções exclusivas de inteligência de ameaças aplicada da mesma campanha, variante de malware ou agente de ameaças para fornecer um contexto ambiental adicional de qualquer ameaça potencial. Isso ajuda você a se concentrar em clusters de atividade para auxiliar na priorização. Para garantir que essas regras gerem alertas, ative pacotes de regras de inteligência de ameaças aplicada, como "Violação ativa", "Alta" ou "Média".

Dispositivos e tipos de registro com suporte

Essas regras dependem principalmente dos registros de auditoria do Cloud, de detecção e resposta de endpoints e de proxy de rede. O UDM do Google SecOps normaliza automaticamente essas fontes de registro. As categorias a seguir descrevem as fontes de registro mais importantes necessárias para que o conteúdo composto selecionado funcione de maneira eficaz:

Fontes de registro de regras compostas de endpoint

Google Cloud Fontes de registro de regras compostas

Google Cloud e fontes de registro de regras de endpoint

Para conferir uma lista completa das detecções especializadas disponíveis, consulte Usar detecções especializadas. Entre em contato com seu representante do Google SecOps se precisar ativar as fontes de detecção usando um mecanismo diferente.

O Google SecOps fornece analisadores padrão que analisam e normalizam registros brutos para criar registros UDM com dados exigidos por conjuntos de regras de detecção compostas e selecionadas. Para conferir uma lista de todas as fontes de dados com suporte do Google SecOps, consulte Analisadores padrão com suporte.

Modificar regras em um conjunto de regras

É possível personalizar o comportamento das regras em um conjunto de regras para atender às necessidades da sua organização. Ajuste a operação de cada regra selecionando um dos seguintes modos de detecção e configure se as regras geram alertas.

  • Ampla:detecta comportamentos potencialmente maliciosos ou anômalos, mas pode produzir mais falsos positivos devido à natureza geral da regra.

Para modificar as configurações, faça o seguinte:

  1. Na lista de regras, marque a caixa de seleção ao lado de cada regra que você quer modificar.

  2. Configure as configurações de Status e Alertas das regras da seguinte maneira:

    • Status:aplica o modo (Preciso ou Amplo) à regra selecionada. Defina como Enabled para ativar o status da regra no modo.

    • Alertas:controla se a regra gera um alerta na página Alertas. Defina como Ativado para ativar os alertas.

Ajustar alertas de conjuntos de regras

É possível reduzir o número de alertas gerados por uma regra composta usando exclusões de regras.

Uma exclusão de regra especifica critérios que impedem que determinados eventos sejam avaliados por uma regra ou conjunto de regras. Use exclusões para reduzir o volume de detecção. Consulte Configurar exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.