複合規則類別總覽

本文將概要說明複合規則集、必要資料來源，以及用於調整所產生快訊的設定選項。這些規則集可提供更高精確度的快訊。他們會為所有啟用 Google Security Operations 的偵測內容，建立嚴重程度、信心、風險和優先順序等級，適用於 Google Cloud和端點環境。

說明規則集

「複合規則」類別包含下列規則集：

• 端點複合規則
• 雲端複合規則
• ATI 複合規則

瞭解端點複合規則

這些規則會比對多項偵測規則的發現項目，這些規則與定義時間範圍內的相同端點有關。信賴度和風險等級取決於這些偵測結果的特定特徵。

瞭解 Cloud 複合規則

這些規則會關聯在特定時間範圍內，與相同Google Cloud 帳戶或 Google Cloud 資源相關聯的多個偵測規則所發現的結果。信賴度和風險等級是根據這些偵測結果的特定特徵而定。

瞭解 ATI 複合規則

ATI 複合規則會偵測來自同一廣告活動、惡意軟體變種或威脅發動者的多個專屬適用的威脅情報偵測結果，提供任何潛在威脅的額外環境脈絡。這有助於您專注處理活動叢集，並決定優先順序。如要確保這些規則會產生快訊，您必須啟用「Active Breach」、「High」或「Medium」等適用的威脅情報規則套裝組合。

支援的裝置和記錄類型

這些規則主要依據 Cloud 稽核記錄、端點偵測和回應記錄，以及網路 Proxy 記錄。Google SecOps UDM 會自動正規化這些記錄來源。以下類別列出精選複合內容有效運作所需的最重要記錄來源：

端點複合規則記錄來源

• Linux 威脅
• macOS 威脅
• Windows 威脅

Google Cloud 複合規則記錄來源

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud 和端點規則記錄來源

• 應用威脅情報 (ATI)
• Chrome Enterprise 威脅
• UEBA 風險分析

如需可用的精選偵測項目完整清單，請參閱「使用精選偵測項目」。如需使用其他機制啟用偵測來源，請與 Google SecOps 代表聯絡。

Google SecOps 提供預設剖析器，可剖析及正規化原始記錄，建立 UDM 記錄，其中包含複合式和精選偵測規則集所需的資料。如需 Google SecOps 支援的所有資料來源清單，請參閱「支援的預設剖析器」。

修改規則集中的規則

您可以自訂規則集中的規則行為，滿足貴機構的需求。選取下列其中一種偵測模式，調整各項規則的運作方式，並設定規則是否要產生快訊。

• 廣泛：偵測可能具有惡意的行為或異常狀況，但由於規則性質較為一般，因此誤判的機率較高。

如要修改設定，請按照下列步驟操作：

1. 在規則清單中，找出要修改的規則，然後勾選旁邊的核取方塊。

2. 為規則設定「狀態」和「快訊」，如下所示：

   • 狀態：將模式 (「精確」或「廣泛」) 套用至所選規則。設為 Enabled 即可將規則狀態設為模式。

   • 快訊：控制規則是否要在「快訊」頁面產生快訊。設為「開啟」即可啟用快訊。

調整規則集的快訊

您可以使用規則排除條件，減少複合規則產生的快訊數量。

規則排除條件會指定條件，防止規則或規則集評估特定事件。使用排除項目減少偵測量。詳情請參閱「設定規則排除條件」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。