Configura la supresión de alertas
En este documento, se describen los mecanismos disponibles en Google Security Operations para suprimir las alertas ruidosas y priorizar las amenazas críticas. La supresión de alertas filtra automáticamente las alertas duplicadas y de bajo valor según criterios predefinidos. Esta supresión le permite a tu equipo del SOC enfocarse en los incidentes de seguridad de alta prioridad.
Puedes usar la supresión de alertas para administrar el volumen generado por varios activadores, como alertas duplicadas de la misma actividad subyacente, falsos positivos resultantes de sistemas mal configurados, lógica de reglas amplia que se activa en actividad conocida y benigna, o ventanas de mantenimiento planificadas.
Google SecOps proporciona los siguientes métodos para administrar el volumen de alertas:
Limitación: Suprime las detecciones repetitivas de la misma actividad durante un período definido (por ejemplo, 1 hora) después de que se active la alerta inicial.
Exclusiones: Una exclusión evita detecciones específicas filtrando las coincidencias antes de que se active una alerta. Los eventos que cumplen con la lógica de la regla, pero no con los criterios de exclusión, activan las detecciones de forma normal.
Manuales de SOAR: Proporcionan supresión de alertas con límite de tiempo según búsquedas de entidades específicas, como direcciones IP o nombres de host.
Agrupación de alertas de SOAR: Agrupa automáticamente las alertas similares en un solo caso según tus criterios para optimizar las investigaciones.
Cómo suprimir alertas a través de la limitación
La limitación suprime las detecciones durante un período especificado después de una coincidencia inicial de la regla. Cuando usas las opciones suppression_window y suppression_key en la lógica de la regla, el sistema genera una detección solo para la primera combinación única de la clave de supresión. Google SecOps suprime todas las coincidencias posteriores para esa misma combinación hasta que vence el período definido.
Este método reduce de manera eficaz las detecciones duplicadas causadas por la misma actividad subyacente.
Casos de uso
Ejecución de PowerShell: Suprime las alertas repetitivas para el mismo usuario y host durante una hora después del evento inicial.
Análisis de red: Se suprimen las alertas repetitivas de un analizador de puertos malicioso durante seis horas después de la primera detección.
Supervisa las reglas ruidosas
Para identificar las reglas ruidosas, haz lo siguiente:
Haz clic en Menú, selecciona Detección > Reglas y detecciones.
En la pestaña Editor de reglas, selecciona la regla y haz clic en Probar.
Ajusta el selector de período para analizar los datos de los últimos siete días. Si una regla genera más de 100 detecciones por día, es probable que sea demasiado amplia.
Haz clic en Menú y, luego, en Ver detecciones de reglas. Aparecerá la página de detalles de la detección.
En el panel Procedural Filtering, identifica los campos de UDM que contribuyen.
Modifica la sección
matcho$suppressi_keypara reducir la cantidad de detecciones.
Ejemplo: Identifica los inicios de sesión únicos por ubicación
Para identificar los accesos únicos por ubicación y evitar la fatiga por alertas, puedes suprimir las detecciones del mismo estado. Busca el campo event.principal.location.state del UDM para ver el recuento de detecciones por estado.
Si un estado específico muestra un recuento excesivamente alto, agrega ese campo a tu clave de suppression o match. Esto garantiza que el sistema solo active una detección para cada ubicación de acceso única.
Configura la limitación de detecciones
La limitación suprime las detecciones durante un período especificado después de que se activa una alerta inicial. Para limitar las detecciones duplicadas, agrega un suppression_window a la sección options de la regla. Deben aplicarse las siguientes pautas:
Reglas de un solo evento: Define la variable
$suppression_keyen la secciónoutcomepara que actúe como clave de eliminación de duplicados.Reglas de varios eventos: Usa las variables de la sección
matchcomo clave de deduplicación.Duración de la ventana: Asegúrate de que
suppression_windowsea mayor o igual que el tamaño de la ventanamatch. Si estableces la misma duración, la regla se comportará como si no se aplicara ninguna supresión.Límite: No hay un límite máximo para la duración del período de bloqueo.
Compatibilidad: La limitación se aplica a las reglas de evento único y múltiple, y a las reglas personalizadas y seleccionadas.
Ejemplo: Supervisa la actividad de uso compartido de archivos de Windows
La siguiente regla supervisa la actividad de uso compartido de archivos de Windows. Crea una detección para cada usuario y nombre de host únicos en un período de 60 minutos (1hr) y, luego, suprime las coincidencias repetitivas para la misma combinación durante 24 horas (24h).
rule rule_noisy_winshares {
meta:
author = "Google Cloud Security"
events:
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
$user = $e.principal.user.userid
$hostname = $e.target.hostname
match:
$hostname, $user over 1h
outcome:
$sharename = array_distinct($e.target.resource.name)
condition:
$e
options:
suppression_window = 24h
}
Esta configuración permite que los analistas investiguen la actividad inicial sin procesar alertas duplicadas para el mismo usuario y host durante el período de supresión.
Cómo suprimir alertas con exclusiones de reglas
Una exclusión evita detecciones específicas filtrando las coincidencias antes de que se active una alerta. Si una coincidencia satisface la lógica de exclusión, el sistema suprime la detección. Los eventos que cumplen con la lógica de la regla, pero no con los criterios de exclusión, seguirán activando las detecciones de forma normal. Una vez que se aplican, las exclusiones permanecen activas hasta que las inhabilitas manualmente.
Puedes ver, administrar y auditar la lista completa de exclusiones y los metadatos asociados en la pestaña Exclusiones de la página Reglas y detecciones. También puedes usar la función Exclusión de pruebas para evaluar cómo los filtros específicos afectan tu volumen de detección antes de aplicarlos.
Para crear exclusiones con la API, consulta Administra la exclusión de reglas con la API.
Casos de uso
Suprimir la ejecución legítima de PowerShell por parte de herramientas de TI autorizadas
Excluye los escáneres de vulnerabilidades internos que realizan análisis de puertos de alto volumen.
Crea exclusiones de reglas
Para crear exclusiones para una regla ruidosa, sigue estos pasos:
Ve a Menú > Detección > Reglas y detecciones.
En la pestaña Panel de reglas, busca las reglas con recuentos de detección altos.
Haz clic en el Nombre de la regla para abrir la página Detecciones.
Haz clic en Opciones de la regla > Excluir.
Especifica estos detalles para agregar el filtro de exclusión:
Nombre de la exclusión
Reglas o conjuntos de reglas que se aplican
Son los criterios de exclusión para suprimir las detecciones cuando se cumplen las condiciones especificadas. Para agregar varias condiciones, sigue estos lineamientos:
Para crear una relación OR lógica, ingresa varios valores en una sola fila con la tecla Intro.
Por ejemplo,
principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2Haz clic en + Declaración condicional para agregar una nueva declaración que tenga una relación lógica
ANDcon la declaración anterior.Por ejemplo,
(principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)
Opcional: Haz clic en Probar exclusión para ver cómo el filtro mide las detecciones reducidas en los últimos 30 días. Ajusta tus criterios según los resultados.
Haz clic en Crear para activar la exclusión.
Administra las exclusiones de reglas
Para administrar las exclusiones, sigue estos pasos:
Ve a Menú > Detección > Reglas y detecciones.
Ve a la pestaña Exclusiones para ver la lista de exclusiones. Puedes hacer lo siguiente:
Para habilitar o inhabilitar una exclusión, activa o desactiva el botón de activación Habilitado.
Para filtrar las exclusiones, haz clic en Filtrar.
Para editar una exclusión, haz clic en Menú > Editar.
Para archivar una exclusión, haz clic en Menú > Archivar.
Para restablecer una exclusión, haz clic en Menú > Desarchivar.
Para crear y administrar exclusiones de reglas con la API, consulta Administra la exclusión de reglas a través de la API.
Limitaciones
Cuando configures exclusiones, ten en cuenta las siguientes diferencias funcionales entre la consola y la API:
Alcance de la regla: En la consola, puedes aplicar exclusiones a varias reglas seleccionadas de forma simultánea, pero solo puedes aplicar exclusiones a una sola regla personalizada a la vez.
Variables de resultado: Para crear exclusiones que usen lógica basada en variables de resultado, debes usar la API.
Cómo suprimir alertas a través de guías de SOAR
Las guías de SOAR ayudan a identificar y suprimir alertas duplicadas según criterios de búsqueda específicos. El manual de estrategias suprime las alertas hasta un tiempo de vencimiento predefinido, después del cual quita automáticamente las alertas de la tabla. Los analistas usan este método para suprimir alertas de entidades específicas, como direcciones IP o nombres de host, durante un período determinado.
A diferencia de otros métodos, este mecanismo hace un seguimiento de los datos históricos y proporciona un registro de auditoría explícito de las acciones de supresión en los detalles del caso.
Caso de uso
Suprimir las alertas posteriores para las solicitudes de conexión entrantes de una dirección IP sospechosa después de la alerta inicial, y mantener un registro de auditoría de la supresión
Agrupa alertas en SOAR
El agrupamiento de alertas agrupa automáticamente las alertas similares que se generan en un período de 24 horas según los criterios que definas. El sistema consolida las alertas agrupadas en un solo caso para su investigación.
Para obtener más información, consulta Mecanismo de agrupación de alertas.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.