Benachrichtigungen unterdrücken

Unterstützt in:

In diesem Dokument werden die in Google Security Operations verfügbaren Mechanismen zum Unterdrücken von irrelevanten Benachrichtigungen und zum Priorisieren kritischer Bedrohungen beschrieben. Durch die automatische Unterdrückung von Warnmeldungen werden doppelte und unwichtige Warnmeldungen anhand vordefinierter Kriterien herausgefiltert. Durch diese Unterdrückung kann sich Ihr SOC-Team auf Sicherheitsvorfälle mit hoher Priorität konzentrieren.

Mit der Benachrichtigungsunterdrückung können Sie das Volumen verwalten, das durch verschiedene Trigger generiert wird, z. B. doppelte Benachrichtigungen aufgrund derselben zugrunde liegenden Aktivität, Falschmeldungen aufgrund falsch konfigurierter Systeme, eine breite Regel-Logik, die bei bekannten, harmlosen Aktivitäten ausgelöst wird, oder geplante Wartungsfenster.

Google SecOps bietet die folgenden Methoden zum Verwalten des Warnungsaufkommens:

  • Drosselung: Unterdrückt wiederholte Erkennungen derselben Aktivität für ein definiertes Zeitfenster (z. B. 1 Stunde) nach dem Auslösen der ersten Benachrichtigung.

  • Ausschlüsse: Ein Ausschluss verhindert bestimmte Erkennungen, indem er Übereinstimmungen herausfiltert, bevor ein Hinweis ausgelöst wird. Ereignisse, die der Regellogik entsprechen, aber nicht den Ausschlusskriterien, lösen Erkennungen normal aus.

  • SOAR-Playbooks: Ermöglichen die zeitgebundene Unterdrückung von Benachrichtigungen basierend auf bestimmten Entitätssuchen, z. B. IP-Adressen oder Hostnamen.

  • SOAR-Benachrichtigungsgruppierung: Ähnliche Benachrichtigungen werden automatisch anhand Ihrer Kriterien in einem einzelnen Fall zusammengefasst, um die Untersuchung zu optimieren.

Benachrichtigungen durch Drosselung unterdrücken

Durch die Drosselung werden Erkennungen für einen bestimmten Zeitraum nach einer ersten Regelübereinstimmung unterdrückt. Wenn Sie die Optionen suppression_window und suppression_key in der Regel verwenden, wird nur für die erste eindeutige Kombination des Unterdrückungsschlüssels eine Erkennung generiert. Google SecOps unterdrückt alle nachfolgenden Übereinstimmungen für dieselbe Kombination, bis das definierte Zeitfenster abläuft.

Mit dieser Methode werden doppelte Erkennungen, die durch dieselbe zugrunde liegende Aktivität verursacht werden, effektiv reduziert.

Anwendungsfälle

  • PowerShell-Ausführung: Wiederholte Benachrichtigungen für denselben Nutzer und Host werden eine Stunde nach dem ersten Ereignis unterdrückt.

  • Netzwerkscan: Wiederholte Warnungen von einem schädlichen Portscanner werden nach der ersten Erkennung sechs Stunden lang unterdrückt.

Auf fehlerhafte Regeln achten

So ermitteln Sie Regeln mit vielen Verstößen:

  1. In Google SecOps anmelden

  2. Klicken Sie auf das Menü und wählen Sie Erkennung > Regeln und Erkennungen aus.

  3. Wählen Sie auf dem Tab Regel-Editor die Regel aus und klicken Sie auf Testen.

  4. Passen Sie die Zeitraumauswahl an, um die Daten der letzten sieben Tage zu analysieren. Wenn eine Regel täglich mehr als 100 Erkennungen generiert, ist sie wahrscheinlich zu breit gefasst.

  5. Klicken Sie auf das Dreistrich-Menü und dann auf Regelerkennungen ansehen. Die Seite mit den Erkennungsdetails wird angezeigt.

  6. Suchen Sie im Bereich Prozedurales Filtern nach UDM-Feldern, die zur Berechnung beitragen.

  7. Ändern Sie den Abschnitt match oder $suppressi_key, um die Anzahl der erkannten Ereignisse zu verringern.

Beispiel: Eindeutige Logins nach Standort identifizieren

Um eindeutige Logins nach Standort zu identifizieren und gleichzeitig die Anzahl der Benachrichtigungen zu reduzieren, können Sie Erkennungen aus demselben Bundesstaat unterdrücken. Suchen Sie nach dem UDM-Feld event.principal.location.state, um die Anzahl der erkannten Ereignisse pro Status zu sehen.

Wenn für einen bestimmten Bundesstaat eine übermäßig hohe Anzahl angezeigt wird, fügen Sie dieses Feld Ihrem suppression- oder match-Schlüssel hinzu. So wird sichergestellt, dass das System nur eine Erkennung für jeden eindeutigen Anmeldestandort auslöst.

Drosselung von Erkennungen konfigurieren

Durch die Drosselung werden Erkennungen für einen bestimmten Zeitraum nach dem Auslösen einer ersten Benachrichtigung unterdrückt. Wenn Sie die Anzahl der doppelten Erkennungen begrenzen möchten, fügen Sie der Regel im Abschnitt options ein suppression_window hinzu. Hierfür gelten folgende Richtlinien:

  • Regeln für einzelne Ereignisse: Definieren Sie die Variable $suppression_key im Bereich outcome als Deduplizierungsschlüssel.

  • Regeln mit mehreren Ereignissen: Verwenden Sie die Variablen im Abschnitt match als Deduplizierungsschlüssel.

  • Zeitfensterdauer: Achten Sie darauf, dass die suppression_window größer oder gleich der match-Zeitfenstergröße ist. Wenn Sie die Dauer auf denselben Wert festlegen, verhält sich die Regel so, als ob keine Unterdrückung angewendet wird.

  • Limit: Es gibt keine maximale Dauer für das Unterdrückungszeitfenster.

  • Kompatibilität: Die Drosselung gilt für Einzel- und Mehrfachereignisregeln sowie für benutzerdefinierte und kuratierte Regeln.

Beispiel: Windows-Dateifreigabeaktivitäten überwachen

Mit der folgenden Regel werden Windows-Dateifreigabeaktivitäten überwacht. Es wird eine Erkennung für jeden einzelnen Nutzer und Hostnamen innerhalb eines 60-Minuten-Zeitraums (1hr) erstellt. Wiederholte Übereinstimmungen für dieselbe Kombination werden dann 24 Stunden lang (24h) unterdrückt.


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

Mit dieser Konfiguration können Analysten die ursprüngliche Aktivität untersuchen, ohne dass während des Unterdrückungszeitraums doppelte Benachrichtigungen für denselben Nutzer und Host verarbeitet werden.

Benachrichtigungen mithilfe von Regelausschlüssen unterdrücken

Ein Ausschluss verhindert bestimmte Erkennungen, indem Übereinstimmungen gefiltert werden, bevor eine Benachrichtigung ausgelöst wird. Wenn eine Übereinstimmung der Ausschlusslogik entspricht, unterdrückt das System die Erkennung. Ereignisse, die der Regellogik entsprechen, aber nicht den Ausschlusskriterien, lösen weiterhin Erkennungen aus. Einmal angewendet, bleiben Ausschlüsse so lange aktiv, bis Sie sie manuell deaktivieren.

Auf der Seite Regeln und Erkennungen auf dem Tab Ausschlüsse können Sie die vollständige Liste der Ausschlüsse und die zugehörigen Metadaten ansehen, verwalten und prüfen. Mit der Funktion Testausschluss können Sie auch prüfen, wie sich bestimmte Filter auf das Erkennungsvolumen auswirken, bevor Sie sie anwenden.

Informationen zum Erstellen von Ausschlüssen mit der API finden Sie unter Regelausschlüsse mit der API verwalten.

Anwendungsfälle

  • Unterdrückung der legitimen PowerShell-Ausführung durch autorisierte IT-Tools

  • Schließen Sie interne Vulnerability Scanner aus, die Portscans mit hohem Volumen durchführen.

Regelausschlüsse erstellen

So erstellen Sie Ausschlüsse für eine Regel mit vielen Benachrichtigungen:

  1. In Google SecOps anmelden

  2. Klicken Sie auf das Dreistrich-Menü > Erkennung > Regeln und Erkennungen.

  3. Suchen Sie auf dem Tab Dashboard für Regeln nach Regeln mit einer hohen Anzahl von Erkennungen.

  4. Klicken Sie auf den Regelnamen, um die Seite Erkennungen zu öffnen.

  5. Klicken Sie auf Regeloptionen > Ausschließen.

  6. Geben Sie die folgenden Details an, um den Ausschlussfilter hinzuzufügen:

    • Ausschlussname

    • Regeln oder Regelsätze, für die sie gilt

    • Die Ausschlusskriterien zum Unterdrücken von Erkennungen, wenn die angegebenen Bedingungen erfüllt sind. So fügen Sie mehrere Bedingungen hinzu:

      1. Wenn Sie eine logische ODER-Beziehung erstellen möchten, geben Sie mehrere Werte in einer einzelnen Zeile ein und drücken Sie die Eingabetaste.

        Beispiel: principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

      2. Klicken Sie auf + Bedingte Anweisung, um eine neue Anweisung hinzuzufügen, die eine logische AND-Beziehung zur vorherigen Anweisung hat.

        Beispiel: (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

  7. Optional: Klicken Sie auf Ausschluss testen, um zu sehen, wie der Filter die verringerten Erkennungen in den letzten 30 Tagen misst. Passen Sie die Kriterien anhand der Ergebnisse an.

  8. Klicken Sie auf Erstellen, um den Ausschluss zu aktivieren.

Regelausschlüsse verwalten

So verwalten Sie die Ausschlüsse:

  1. In Google SecOps anmelden

  2. Klicken Sie auf das Dreistrich-Menü > Erkennung > Regeln und Erkennungen.

  3. Rufen Sie den Tab Ausschlüsse auf, um die Liste der Ausschlüsse zu sehen. Sie haben folgende Möglichkeiten:

    • Wenn Sie einen Ausschluss aktivieren oder deaktivieren möchten, stellen Sie den Schalter Aktiviert auf „Ein“ oder „Aus“.

    • Wenn Sie die Ausschlüsse filtern möchten, klicken Sie auf Filtern.

    • Wenn Sie einen Ausschluss bearbeiten möchten, klicken Sie auf  Menü > Bearbeiten.

    • Wenn Sie einen Ausschluss archivieren möchten, klicken Sie auf das Menü > Archivieren.

    • Wenn Sie einen Ausschluss wiederherstellen möchten, klicken Sie auf  Menü > Wieder aktivieren.

Informationen zum Erstellen und Verwalten von Regelausschlüssen über die API finden Sie unter Regelausschlüsse über die API verwalten.

Beschränkungen

Beachten Sie beim Konfigurieren von Ausschlüssen die folgenden funktionalen Unterschiede zwischen der Console und der API:

  • Regelbereich: In der Console können Sie Ausschlüsse gleichzeitig auf mehrere kuratierte Regeln anwenden, aber jeweils nur auf eine benutzerdefinierte Regel.

  • Ergebnisvariablen: Wenn Sie Ausschlüsse erstellen möchten, die auf Logik basieren, die Ergebnisvariablen verwendet, müssen Sie die API verwenden.

Benachrichtigungen über SOAR-Playbooks unterdrücken

SOAR-Playbooks helfen, doppelte Benachrichtigungen anhand bestimmter Suchkriterien zu erkennen und zu unterdrücken. Das Playbook unterdrückt Benachrichtigungen bis zu einem vordefinierten Ablaufdatum. Danach werden die Benachrichtigungen automatisch aus der Tabelle entfernt. Mit dieser Methode können Analysten Benachrichtigungen für bestimmte Entitäten wie IP-Adressen oder Hostnamen für einen bestimmten Zeitraum unterdrücken.

Im Gegensatz zu anderen Methoden werden bei diesem Mechanismus Verlaufsdaten erfasst und in den Falldetails wird ein expliziter Audit-Trail für Unterdrückungsaktionen bereitgestellt.

Anwendungsfall

Unterdrücken Sie nach der ersten Benachrichtigung nachfolgende Benachrichtigungen für eingehende Verbindungsanfragen von einer verdächtigen IP-Adresse und führen Sie gleichzeitig ein Unterdrückungsprotokoll.

Benachrichtigungen in SOAR gruppieren

Bei der Benachrichtigungsgruppierung werden ähnliche Benachrichtigungen, die innerhalb von 24 Stunden generiert werden, automatisch anhand Ihrer definierten Kriterien gruppiert. Das System fasst gruppierte Benachrichtigungen in einem einzigen Fall zur Untersuchung zusammen.

Weitere Informationen finden Sie unter Mechanismus zur Gruppierung von Benachrichtigungen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten