Benachrichtigungen unterdrücken

Unterstützt in:

In diesem Dokument werden die Mechanismen beschrieben, die in Google Security Operations verfügbar sind, um störende Benachrichtigungen zu unterdrücken und kritische Bedrohungen zu priorisieren. Bei der Unterdrückung von Benachrichtigungen werden doppelte und minderwertige Benachrichtigungen automatisch anhand vordefinierter Kriterien gefiltert. So kann sich Ihr SOC-Team auf sicherheitsrelevante Vorfälle mit hoher Priorität konzentrieren.

Sie können die Unterdrückung von Benachrichtigungen verwenden, um das Volumen zu verwalten, das durch verschiedene Trigger generiert wird. Dazu gehören doppelte Benachrichtigungen aufgrund derselben zugrunde liegenden Aktivität, falsch positive Ergebnisse aufgrund falsch konfigurierter Systeme, eine breite Regellogik, die bei bekannten, harmlosen Aktivitäten ausgelöst wird, oder geplante Wartungsfenster.

Google SecOps bietet die folgenden Methoden zum Verwalten des Benachrichtigungsvolumens:

  • Drosselung: Unterdrückt wiederholte Erkennungen derselben Aktivität für ein definiertes Zeitfenster (z. B. 1 Stunde) nach dem Auslösen der ersten Benachrichtigung.

  • Ausschlüsse: Ein Ausschluss verhindert bestimmte Erkennungen, indem Übereinstimmungen gefiltert werden, bevor eine Benachrichtigung ausgelöst wird. Bei Ereignissen, die der Regellogik entsprechen, aber nicht die Ausschlusskriterien erfüllen, werden Erkennungen normal ausgelöst.

  • SOAR-Playbooks: Bietet eine zeitlich begrenzte Unterdrückung von Benachrichtigungen basierend auf bestimmten Entitätssuchen, z. B. IP-Adressen oder Hostnamen.

  • SOAR-Benachrichtigungsgruppierung: Gruppiert ähnliche Benachrichtigungen automatisch anhand Ihrer Kriterien in einem Fall, um die Untersuchungen zu optimieren.

Benachrichtigungen durch Drosselung unterdrücken

Durch die Drosselung werden Erkennungen für eine bestimmte Dauer unterdrückt, nachdem eine Regel zum ersten Mal übereinstimmt. Wenn Sie die Optionen suppression_window und suppression_key in der Regellogik verwenden, generiert das System nur für die erste eindeutige Kombination des Unterdrückungsschlüssels eine Erkennung. Google SecOps unterdrückt alle nachfolgenden Übereinstimmungen für dieselbe Kombination, bis das definierte Fenster abläuft.

Mit dieser Methode werden doppelte Erkennungen, die durch dieselbe zugrunde liegende Aktivität verursacht werden, effektiv reduziert.

Anwendungsfälle

  • PowerShell-Ausführung: Unterdrücken Sie wiederholte Benachrichtigungen für denselben Nutzer und Host für eine Stunde nach dem ersten Ereignis.

  • Netzwerkscanning: Unterdrücken Sie wiederholte Benachrichtigungen von einem schädlichen Portscanner für sechs Stunden nach der ersten Erkennung.

Auf störende Regeln überwachen

So identifizieren Sie störende Regeln:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf das Dreistrich-Menü und wählen Sie Erkennung > Regeln und Erkennungen aus.

  3. Wählen Sie auf dem Tab Regel-Editor die Regel aus und klicken Sie auf Testen.

  4. Passen Sie die Zeitraumauswahl an, um die Daten der letzten sieben Tage zu analysieren. Wenn eine Regel täglich mehr als 100 Erkennungen generiert, ist sie wahrscheinlich zu breit gefasst.

  5. Klicken Sie auf Menü und dann auf Regel-Erkennungen ansehen. Die Detailseite der Erkennung wird angezeigt.

  6. Identifizieren Sie im Bereich Prozedurale Filterung die beitragenden UDM-Felder.

  7. Ändern Sie den Abschnitt match oder $suppression_key, um die Anzahl der Erkennungen zu reduzieren.

Beispiel: Eindeutige Anmeldungen nach Standort identifizieren

Wenn Sie eindeutige Anmeldungen nach Standort identifizieren und gleichzeitig die Benachrichtigungsermüdung vermeiden möchten, können Sie Erkennungen aus demselben Bundesstaat unterdrücken. Suchen Sie nach dem UDM-Feld event.principal.location.state, um die Anzahl der Erkennungen pro Bundesstaat zu sehen.

Wenn für einen bestimmten Bundesstaat eine übermäßig hohe Anzahl angezeigt wird, fügen Sie dieses Feld Ihrem suppression- oder match-Schlüssel hinzu. So wird sichergestellt, dass das System nur eine einzige Erkennung für jeden eindeutigen Anmeldestandort auslöst.

Drosselung von Erkennungen konfigurieren

Durch die Drosselung werden Erkennungen für eine bestimmte Dauer unterdrückt, nachdem eine erste Benachrichtigung ausgelöst wurde. Wenn Sie doppelte Erkennungen begrenzen möchten, fügen Sie dem Abschnitt options der Regel ein suppression_window hinzu. Hierfür gelten folgende Richtlinien:

  • Regeln für einzelne Ereignisse: Definieren Sie die $suppression_key Variable im outcome Abschnitt, um sie als Deduplizierungsschlüssel zu verwenden.

  • Regeln für mehrere Ereignisse: Verwenden Sie die Variablen im Abschnitt match als Deduplizierungsschlüssel.

  • Zeitfensterdauer: Achten Sie darauf, dass suppression_window größer oder gleich der Größe des match-Fensters ist. Wenn Sie dieselbe Dauer festlegen, verhält sich die Regel so, als wäre keine Unterdrückung angewendet.

  • Limit: Es gibt keine maximale Beschränkung für die Dauer des Unterdrückungsfensters.

  • Kompatibilität: Die Drosselung gilt für Regeln für einzelne und mehrere Ereignisse sowie für benutzerdefinierte und kuratierte Regeln.

Beispiel: Windows-Dateifreigabeaktivitäten überwachen

Die folgende Regel überwacht Windows-Dateifreigabeaktivitäten. Sie erstellt eine Erkennung für jeden eindeutigen Nutzer und Hostnamen innerhalb eines 60-Minuten-Fensters (1hr) und unterdrückt dann wiederholte Übereinstimmungen für dieselbe Kombination für 24 Stunden (24h).


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

Mit dieser Konfiguration können Analysten die erste Aktivität untersuchen, ohne dass während des Unterdrückungsfensters doppelte Benachrichtigungen für denselben Nutzer und Host verarbeitet werden müssen.

Benachrichtigungen mithilfe von Regelausschlüssen unterdrücken

Ein Ausschluss verhindert bestimmte Erkennungen, indem Übereinstimmungen gefiltert werden, bevor eine Benachrichtigung ausgelöst wird. Wenn eine Übereinstimmung der Ausschlusslogik entspricht, unterdrückt das System die Erkennung. Bei Ereignissen, die der Regellogik entsprechen, aber nicht die Ausschlusskriterien erfüllen, werden Erkennungen weiterhin normal ausgelöst. Nach der Anwendung bleiben Ausschlüsse aktiv, bis Sie sie manuell deaktivieren.

Die vollständige Liste der Ausschlüsse und der zugehörigen Metadaten können Sie auf der Seite Regeln und Erkennungen auf dem Tab Ausschlüsse ansehen, verwalten und prüfen. Mit der Funktion Ausschluss testen können Sie auch beurteilen, wie sich bestimmte Filter auf das Erkennungsvolumen auswirken, bevor Sie sie anwenden.

Informationen zum Erstellen von Ausschlüssen mit der API finden Sie unter Regelausschluss mit der API verwalten.

Anwendungsfälle

  • Unterdrücken Sie die legitime PowerShell-Ausführung durch autorisierte IT-Tools.

  • Schließen Sie interne Scanner auf Sicherheitslücken aus, die Portscans mit hohem Volumen durchführen.

Regelausschlüsse erstellen

So erstellen Sie Ausschlüsse für eine störende Regel:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf das Dreistrich-Menü > Erkennung > Regeln und Erkennungen.

  3. Suchen Sie auf dem Tab Regel-Dashboard nach Regeln mit einer hohen Anzahl von Erkennungen.

  4. Klicken Sie auf den Regelnamen , um die Seite Erkennungen zu öffnen.

  5. Klicken Sie auf Regeloptionen > Ausschließen.

  6. Geben Sie die folgenden Details an, um den Ausschlussfilter hinzuzufügen:

    • Ausschlussname

    • Regeln oder Regelsätze, auf die er angewendet wird

    • Die Ausschlusskriterien, um Erkennungen zu unterdrücken, wenn die angegebenen Bedingungen erfüllt sind. So fügen Sie mehrere Bedingungen hinzu:

      1. Wenn Sie eine logische OR-Beziehung erstellen möchten, geben Sie mehrere Werte in einer einzelnen Zeile ein und drücken Sie die Eingabetaste.

        Beispiel: principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

      2. Klicken Sie auf + Bedingte Anweisung , um eine neue Anweisung hinzuzufügen, die eine logische AND Beziehung zur vorherigen Anweisung hat.

        Beispiel: (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

  7. Optional: Klicken Sie auf Ausschluss testen , um zu sehen, wie der Filter die Anzahl der Erkennungen in den letzten 30 Tagen reduziert hat. Passen Sie die Kriterien anhand der Ergebnisse an.

  8. Klicken Sie auf Erstellen , um den Ausschluss zu aktivieren.

Regelausschlüsse verwalten

So verwalten Sie die Ausschlüsse:

  1. Melden Sie sich in Google SecOps an.

  2. Klicken Sie auf das Dreistrich-Menü > Erkennung > Regeln und Erkennungen.

  3. Auf dem Tab Ausschlüsse sehen Sie die Liste der Ausschlüsse. Sie haben folgende Möglichkeiten:

    • Wenn Sie einen Ausschluss aktivieren oder deaktivieren möchten, stellen Sie den Schalter Aktiviert um.

    • Wenn Sie die Ausschlüsse filtern möchten, klicken Sie auf Filter.

    • Wenn Sie einen Ausschluss bearbeiten möchten, klicken Sie auf Menü > Bearbeiten.

    • Wenn Sie einen Ausschluss archivieren möchten, klicken Sie auf Menü > Archivieren.

    • Wenn Sie einen Ausschluss wiederherstellen möchten, klicken Sie auf Menü > Archivierung aufheben.

Informationen zum Erstellen und Verwalten von Regelausschlüssen mit der API finden Sie unter Regelausschluss über die API verwalten.

Beschränkungen

Beachten Sie beim Konfigurieren von Ausschlüssen die folgenden funktionalen Unterschiede zwischen der Konsole und der API:

  • Regelbereich: In der Konsole können Sie Ausschlüsse gleichzeitig auf mehrere kuratierte Regeln anwenden, aber jeweils nur auf eine benutzerdefinierte Regel.

  • Ergebnisvariablen: Wenn Sie Ausschlüsse erstellen möchten, die auf der Logik von Ergebnis variablen basieren, müssen Sie die API verwenden.

Benachrichtigungen durch SOAR-Playbooks unterdrücken

SOAR-Playbooks helfen, doppelte Benachrichtigungen anhand bestimmter Suchkriterien zu identifizieren und zu unterdrücken. Das Playbook unterdrückt Benachrichtigungen bis zu einem vordefinierten Ablaufdatum. Danach werden die Benachrichtigungen automatisch aus der Tabelle entfernt. Analysten verwenden diese Methode, um Benachrichtigungen für bestimmte Entitäten wie IP-Adressen oder Hostnamen für eine bestimmte Dauer zu unterdrücken.

Im Gegensatz zu anderen Methoden werden hier Verlaufsdaten erfasst und im Fallverlauf ein expliziter Audit-Trail der Unterdrückungsaktionen bereitgestellt.

Anwendungsfall

Unterdrücken Sie nach der ersten Benachrichtigung weitere Benachrichtigungen für eingehende Verbindungsanfragen von einer verdächtigen IP-Adresse und behalten Sie gleichzeitig einen Audit-Trail der Unterdrückung bei.

Benachrichtigungen in SOAR gruppieren

Bei der Benachrichtigungsgruppierung werden ähnliche Benachrichtigungen, die innerhalb eines 24-Stunden-Fensters generiert wurden, automatisch anhand Ihrer definierten Kriterien gruppiert. Das System fasst gruppierte Benachrichtigungen zu einem Fall für die Untersuchung zusammen.

Weitere Informationen finden Sie unter Mechanismus zur Benachrichtigungsgruppierung.

Benötigen Sie weitere Hilfe? Erhalten Sie Antworten von Community-Mitgliedern und Google SecOps-Experten.