Configurar a supressão de alertas

Este documento descreve os mecanismos disponíveis no Google Security Operations para suprimir alertas ruidosos e priorizar ameaças críticas. A supressão de alertas filtra automaticamente alertas duplicados e de baixo valor com base em critérios predefinidos. Essa supressão permite que a equipe do SOC se concentre em incidentes de segurança de alta prioridade.

É possível usar a supressão de alertas para gerenciar o volume gerado por vários acionadores, como alertas duplicados da mesma atividade subjacente, falsos positivos resultantes de sistemas mal configurados, lógica de regra ampla que é acionada em atividades conhecidas e benignas ou janelas de manutenção planejadas.

O Google SecOps oferece os seguintes métodos para gerenciar o volume de alertas:

• Limitação: suprime detecções repetitivas da mesma atividade por um período definido (por exemplo, uma hora) após o acionamento do alerta inicial.

• Exclusões: uma exclusão impede detecções específicas filtrando correspondências antes que elas acionem um alerta. Eventos que atendem à lógica da regra, mas não aos critérios de exclusão, acionam detecções normalmente.

• Playbooks do SOAR: oferece supressão de alertas com prazo determinado com base em pesquisas de entidades específicas, como endereços IP ou nomes de host.

• Agrupamento de alertas do SOAR: agrupa automaticamente alertas semelhantes em um único caso com base nos seus critérios para simplificar as investigações.

Suprimir alertas por limitação

A limitação suprime detecções por um período especificado após uma correspondência de regra inicial. Quando você usa as opções suppression_window e suppression_key na lógica da regra, o sistema gera uma detecção apenas para a primeira combinação exclusiva da chave de supressão. O Google SecOps suprime todas as correspondências subsequentes para essa mesma combinação até que a janela definida expire.

Esse método reduz com eficácia as detecções duplicadas causadas pela mesma atividade subjacente.

Casos de uso

• Execução do PowerShell: suprime alertas repetitivos para o mesmo usuário e host por uma hora após o evento inicial.

• Verificação de rede: suprime alertas repetitivos de um verificador de portas malicioso por seis horas após a primeira detecção.

Monitorar regras ruidosas

Para identificar regras ruidosas, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Menu e selecione Detecção > Regras e detecções.

3. Na guia Editor de regras , selecione a regra e clique em Testar.

4. Ajuste o seletor de período para analisar os dados dos últimos sete dias. Se uma regra gerar mais de 100 detecções por dia, é provável que ela seja muito ampla.

5. Clique em more_vert Menu e em Ver detecções de regras. A página de detalhes da detecção será exibida.

6. No painel Filtragem processual, identifique os campos UDM contribuintes.

7. Modifique a seção match ou $suppression_key para reduzir o volume de detecções.

Exemplo: identificar logins exclusivos por local

Para identificar logins exclusivos por local e evitar a fadiga de alertas, é possível suprimir detecções do mesmo estado. Procure o campo UDM event.principal.location.state para conferir a contagem de detecções por estado.

Se um estado específico mostrar uma contagem excessivamente alta, adicione esse campo à chave suppression ou match. Isso garante que o sistema acione apenas uma detecção para cada local de login exclusivo.

Configurar a limitação de detecções

A limitação suprime detecções por um período especificado após o acionamento de um alerta inicial. Para limitar detecções duplicadas, adicione uma suppression_window à seção options da regra. As seguintes diretrizes se aplicam:

• Regras de eventos únicos: defina a variável $suppression_key na seção outcome para atuar como a chave de desduplicação.

• Regras de vários eventos: use as variáveis na seção match como a chave de desduplicação.

• Duração da janela: verifique se o suppression_window é maior ou igual ao tamanho da janela match. Se você definir a mesma duração, a regra se comportará como se nenhuma supressão fosse aplicada.

• Limite: não há limite máximo para a duração da janela de supressão.

• Compatibilidade: a limitação se aplica a regras de eventos únicos e múltiplos, além de regras personalizadas e selecionadas.

Exemplo: monitorar a atividade de compartilhamento de arquivos do Windows

A regra a seguir monitora a atividade de compartilhamento de arquivos do Windows. Ela cria uma detecção para cada usuário único e nome de host em uma janela de 60 minutos (1hr) e, em seguida, suprime correspondências repetitivas para a mesma combinação por 24 horas (24h).

rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

Essa configuração permite que os analistas investiguem a atividade inicial sem processar alertas duplicados para o mesmo usuário e host durante a janela de supressão.

Suprimir alertas usando exclusões de regras

Uma exclusão impede detecções específicas filtrando correspondências antes que elas acionem um alerta. Se uma correspondência atender à lógica de exclusão, o sistema vai suprimir a detecção. Eventos que atendem à lógica da regra, mas não aos critérios de exclusão, continuam acionando detecções normalmente. Depois de aplicadas, as exclusões permanecem ativas até que você as desative manualmente.

É possível visualizar, gerenciar e auditar a lista completa de exclusões e os metadados associados na guia Exclusões da página Regras e detecções. Também é possível usar o recurso Testar exclusão para avaliar como filtros específicos afetam o volume de detecção antes de aplicá-los.

Para criar exclusões usando a API, consulte Gerenciar a exclusão de regras usando a API.

Casos de uso

• Suprimir a execução legítima do PowerShell por ferramentas de TI autorizadas.

• Excluir verificadores de vulnerabilidades internos que realizam verificações de portas de alto volume.

Criar exclusões de regras

Para criar exclusões para uma regra ruidosa, siga estas etapas:

1. Faça login no Google SecOps.

2. Acesse Menu > Detecção > Regras e detecções.

3. Na guia Painel de regras, procure regras com contagens de detecção altas.

4. Clique no Nome da regra para abrir a página Detecções.

5. Clique em Opções de regra > Excluir.

6. Especifique esses detalhes para adicionar o filtro de exclusão:

   • Nome da exclusão

   • Regras ou conjuntos de regras a que ela se aplica

   • Os critérios de exclusão para suprimir detecções quando as condições especificadas forem atendidas. Para adicionar várias condições, siga estas diretrizes:

     1. Para criar uma relação lógica OR, insira vários valores em uma única linha usando a tecla Enter.

        Por exemplo, principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

     2. Clique em + Instrução condicional para adicionar uma nova instrução que tenha uma relação lógica AND com a instrução anterior.

        Por exemplo, (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

7. Opcional: clique em Testar exclusão para conferir como o filtro mede as detecções reduzidas nos últimos 30 dias. Ajuste os critérios com base nos resultados.

8. Clique em Criar para ativar a exclusão.

Gerenciar exclusões de regras

Para gerenciar as exclusões, siga estas etapas:

1. Faça login no Google SecOps.

2. Acesse Menu > Detecção > Regras e detecções.

3. Acesse a guia Exclusões para conferir a lista de exclusões. Você pode fazer o seguinte:

   • Para ativar ou desativar uma exclusão, alterne a opção Ativado.

   • Para filtrar as exclusões, clique em filter_altFiltrar.

   • Para editar uma exclusão, clique em more_vert Menu > Editar.

   • Para arquivar uma exclusão, clique em more_vert Menu > Arquivar.

   • Para restaurar uma exclusão, clique em more_vert Menu > Desarquivar.

Para criar e gerenciar exclusões de regras usando a API, consulte Gerenciar a exclusão de regras pela API.

Limitações

Ao configurar exclusões, observe estas diferenças funcionais entre o console e a API:

• Escopo da regra: no console, é possível aplicar exclusões a várias regras selecionadas simultaneamente, mas só é possível aplicar a uma única regra personalizada por vez.

• Variáveis de resultado: para criar exclusões que usam lógica com base em variáveis de resultado, é necessário usar a API.

Suprimir alertas por playbooks do SOAR

Os playbooks do SOAR ajudam a identificar e suprimir alertas duplicados com base em critérios de pesquisa específicos. O playbook suprime alertas até um prazo de validade predefinido, após o qual ele remove automaticamente os alertas da tabela. Os analistas usam esse método para suprimir alertas de entidades específicas, como endereços IP ou nomes de host, por um período definido.

Ao contrário de outros métodos, esse mecanismo rastreia dados históricos e fornece uma trilha de auditoria explícita de ações de supressão nos detalhes do caso.

Caso de uso

Suprimir alertas subsequentes para solicitações de conexão recebidas de um endereço IP suspeito após o alerta inicial, mantendo uma trilha de auditoria de supressão.

Agrupar alertas no SOAR

O agrupamento de alertas agrupa automaticamente alertas semelhantes gerados em uma janela de 24 horas com base nos critérios definidos. O sistema consolida alertas agrupados em um único caso para investigação.

Para mais informações, consulte Mecanismo de agrupamento de alertas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.