复合规则类别概览

本文档概述了复合规则集、所需的数据源以及用于调整其生成的提醒的配置选项。这些规则集可提供更高保真度的提醒。它们为 Google Cloud和端点环境的所有启用 Google Security Operations 的检测内容设置严重程度、置信度、风险和优先级。

描述规则集

“复合规则”类别包含以下规则集：

• 端点复合规则
• 云复合规则
• ATI 复合规则

了解端点复合规则

这些规则会在指定时间段内关联与同一端点相关的多条检测规则的发现结果。置信度和风险级别由这些检测的特定特征决定。

了解 Cloud 复合规则

这些规则会将与同一Google Cloud 账号或 Google Cloud 资源关联的多个检测规则在指定时间段内的发现结果相关联。置信度和风险级别基于这些检测的具体特征。

了解 ATI 复合规则

ATI 复合规则可检测来自同一广告系列、恶意软件变种或威胁行为者的多个独特的应用威胁情报检测结果，从而提供有关任何潜在威胁的更多环境背景信息。这有助于您专注于活动聚类，从而确定优先顺序。为确保这些规则生成提醒，您必须启用“应用威胁情报”规则包，例如“主动入侵”“高”或“中”。

支持的设备和日志类型

这些规则主要依赖于 Cloud Audit Logs、端点检测和响应日志以及网络代理日志。Google SecOps UDM 会自动对这些日志来源进行标准化处理。以下类别概述了精选的复合内容有效运行所需的最重要日志来源：

端点复合规则日志源

• Linux 威胁
• macOS 威胁
• Windows 威胁

Google Cloud 复合规则日志来源

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud 和端点规则日志来源

• 实用威胁情报 (ATI)
• Chrome 企业版威胁
• UEBA 的风险分析

如需查看可用精选检测的完整列表，请参阅使用精选检测。如果您需要使用其他机制启用检测来源，请与您的 Google SecOps 代表联系。

Google SecOps 提供默认解析器，用于解析和标准化原始日志，以创建包含复合检测规则集和精选检测规则集所需数据的 UDM 记录。如需查看 Google SecOps 支持的所有数据源的列表，请参阅支持的默认解析器。

修改规则集中的规则

您可以自定义规则集内规则的行为，以满足组织的需求。选择以下检测模式之一，调整每条规则的运作方式，并配置规则是否生成提醒。

• 宽泛：检测潜在的恶意行为或异常行为，但由于规则的通用性，可能会产生更多误报。

如需修改设置，请执行以下操作：

1. 在规则列表中，选中要修改的每条规则旁边的复选框。

2. 为规则配置状态和提醒设置，如下所示：

   • 状态：将模式（精确或宽泛）应用于所选规则。设置为 Enabled 可将规则的状态激活为相应模式。

   • 提醒：控制规则是否在提醒页面上生成提醒。设置为开启可启用提醒。

调整规则集中的提醒

您可以使用规则排除项来减少复合规则生成的提醒数量。

规则排除对象用于指定可防止规则或规则集评估特定事件的条件。使用排除对象来减少检测量。如需了解详情，请参阅配置规则排除对象。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。