Configurer la suppression des alertes

Compatible avec :

Ce document décrit les mécanismes disponibles dans Google Security Operations pour supprimer les alertes bruyantes et hiérarchiser les menaces critiques. La suppression des alertes filtre automatiquement les alertes en double et celles de faible valeur en fonction de critères prédéfinis. Cette suppression permet à votre équipe SOC de se concentrer sur les incidents de sécurité de haute priorité.

Vous pouvez utiliser la suppression des alertes pour gérer le volume généré par différents déclencheurs, tels que les alertes en double provenant de la même activité sous-jacente, les faux positifs résultant de systèmes mal configurés, la logique de règle générale qui se déclenche sur une activité connue et bénigne, ou les périodes de maintenance planifiées.

Google SecOps propose les méthodes suivantes pour gérer le volume d'alertes :

  • Limitation du nombre de notifications : supprime les détections répétitives de la même activité pendant une période définie (par exemple, une heure) après le déclenchement de la première alerte.

  • Exclusions : une exclusion empêche des détections spécifiques en filtrant les correspondances avant qu'elles ne déclenchent une alerte. Les événements qui respectent la logique de la règle, mais pas les critères d'exclusion, déclenchent normalement des détections.

  • Playbooks SOAR : permet de supprimer les alertes pendant une durée limitée en fonction de recherches d'entités spécifiques, telles que des adresses IP ou des noms d'hôte.

  • Regroupement des alertes SOAR : regroupe automatiquement les alertes similaires dans une seule demande en fonction de vos critères pour simplifier les investigations.

Supprimer les alertes par limitation

La limitation du débit supprime les détections pendant une durée spécifiée après une première correspondance de règle. Lorsque vous utilisez les options suppression_window et suppression_key dans la logique de la règle, le système ne génère une détection que pour la première combinaison unique de la clé de suppression. Google SecOps supprime toutes les correspondances ultérieures pour cette même combinaison jusqu'à l'expiration de la période définie.

Cette méthode permet de réduire efficacement les détections en double causées par la même activité sous-jacente.

Cas d'utilisation

  • Exécution PowerShell : supprime les alertes répétitives pour le même utilisateur et le même hôte pendant une heure après l'événement initial.

  • Analyse du réseau : les alertes répétitives d'un scanner de ports malveillant sont supprimées pendant six heures après la première détection.

Surveiller les règles bruyantes

Pour identifier les règles bruyantes, procédez comme suit :

  1. Connectez-vous à Google SecOps.

  2. Cliquez sur Menu, puis sélectionnez Détection > Règles et détections.

  3. Dans l'onglet Éditeur de règles, sélectionnez la règle, puis cliquez sur Tester.

  4. Ajustez le sélecteur de période pour analyser les données des sept derniers jours. Si une règle génère plus de 100 détections par jour, elle est probablement trop large.

  5. Cliquez sur Menu, puis sur Afficher les détections de règles. La page des détails de la détection s'affiche.

  6. Dans le panneau Filtrage procédural, identifiez les champs UDM contributeurs.

  7. Modifiez la section match ou $suppressi_key pour réduire le volume des détections.

Exemple : Identifier les connexions uniques par emplacement

Pour identifier les connexions uniques par emplacement tout en évitant la fatigue liée aux alertes, vous pouvez supprimer les détections provenant du même État. Recherchez le champ UDM event.principal.location.state pour afficher le nombre de détections par état.

Si un état spécifique affiche un nombre excessivement élevé, ajoutez ce champ à votre clé suppression ou match. Cela garantit que le système ne déclenche qu'une seule détection pour chaque lieu de connexion unique.

Configurer la limitation des détections

La limitation du nombre d'alertes supprime les détections pendant une durée spécifiée après le déclenchement d'une alerte initiale. Pour limiter les détections de doublons, ajoutez un suppression_window à la section options de la règle. Les consignes suivantes s'appliquent :

  • Règles d'événement unique : définissez la variable $suppression_key dans la section outcome pour qu'elle serve de clé de déduplication.

  • Règles multi-événements : utilisez les variables de la section match comme clé de déduplication.

  • Durée de la période : assurez-vous que suppression_window est supérieur ou égal à la taille de la période match. Si vous définissez la même durée, la règle se comporte comme si aucune suppression n'était appliquée.

  • Limite : il n'existe aucune limite maximale pour la durée de la période de suppression.

  • Compatibilité : la limitation du débit s'applique aux règles à événement unique et à événements multiples, ainsi qu'aux règles personnalisées et sélectionnées.

Exemple : Surveiller l'activité de partage de fichiers Windows

La règle suivante surveille l'activité de partage de fichiers Windows. Il crée une détection pour chaque utilisateur et nom d'hôte uniques dans une fenêtre de 60 minutes (1hr), puis supprime les correspondances répétitives pour la même combinaison pendant 24 heures (24h).


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

Cette configuration permet aux analystes d'examiner l'activité initiale sans traiter les alertes en double pour le même utilisateur et le même hôte pendant la période de suppression.

Supprimer des alertes à l'aide d'exclusions de règles

Une exclusion empêche des détections spécifiques en filtrant les correspondances avant qu'elles ne déclenchent une alerte. Si une correspondance satisfait la logique d'exclusion, le système supprime la détection. Les événements qui respectent la logique de la règle, mais pas les critères d'exclusion, continuent de déclencher des détections normalement. Une fois appliquées, les exclusions restent actives jusqu'à ce que vous les désactiviez manuellement.

Vous pouvez afficher, gérer et auditer la liste complète des exclusions et les métadonnées associées dans l'onglet Exclusions de la page Règles et détections. Vous pouvez également utiliser la fonctionnalité Tester l'exclusion pour évaluer l'impact de filtres spécifiques sur votre volume de détection avant de les appliquer.

Pour créer des exclusions à l'aide de l'API, consultez Gérer l'exclusion de règles à l'aide de l'API.

Cas d'utilisation

  • Supprimer l'exécution PowerShell légitime par des outils informatiques autorisés.

  • Excluez les outils internes d'analyse des failles qui effectuent des analyses de ports à fort volume.

Créer des exclusions de règles

Pour créer des exclusions pour une règle bruyante, procédez comme suit :

  1. Connectez-vous à Google SecOps.

  2. Accédez à Menu > Détection > Règles et détections.

  3. Dans l'onglet Tableau de bord des règles, recherchez les règles avec un nombre élevé de détections.

  4. Cliquez sur le nom de la règle pour ouvrir la page Détections.

  5. Cliquez sur Options de la règle > Exclure.

  6. Spécifiez les informations suivantes pour ajouter le filtre d'exclusion :

    • Nom de l'exclusion

    • Règles ou ensembles de règles auxquels il s'applique

    • Critères d'exclusion permettant de supprimer les détections lorsque les conditions spécifiées sont remplies. Pour ajouter plusieurs conditions, suivez ces consignes :

      1. Pour créer une relation logique OR, saisissez plusieurs valeurs sur une même ligne à l'aide de la touche Entrée.

        Par exemple : principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

      2. Cliquez sur + Instruction conditionnelle pour ajouter une instruction qui présente une relation logique AND avec l'instruction précédente.

        Par exemple : (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

  7. (Facultatif) Cliquez sur Tester l'exclusion pour voir comment le filtre mesure la réduction des détections au cours des 30 derniers jours. Ajustez vos critères en fonction des résultats.

  8. Cliquez sur Créer pour activer l'exclusion.

Gérer les exclusions de règles

Pour gérer les exclusions, procédez comme suit :

  1. Connectez-vous à Google SecOps.

  2. Accédez à Menu > Détection > Règles et détections.

  3. Accédez à l'onglet Exclusions pour afficher la liste des exclusions. Vous pouvez effectuer les opérations suivantes :

    • Pour activer ou désactiver une exclusion, activez ou désactivez le bouton Activé.

    • Pour filtrer les exclusions, cliquez sur Filtrer .

    • Pour modifier une exclusion, cliquez sur Menu > Modifier.

    • Pour archiver une exclusion, cliquez sur Menu > Archiver.

    • Pour restaurer une exclusion, cliquez sur Menu > Annuler l'archivage.

Pour créer et gérer des exclusions de règles à l'aide de l'API, consultez Gérer les exclusions de règles à l'aide de l'API.

Limites

Lorsque vous configurez des exclusions, notez les différences fonctionnelles suivantes entre la console et l'API :

  • Champ d'application des règles : dans la console, vous pouvez appliquer des exclusions à plusieurs règles sélectionnées à la fois, mais vous ne pouvez les appliquer qu'à une seule règle personnalisée à la fois.

  • Variables de résultat : pour créer des exclusions qui utilisent une logique basée sur des variables de résultat, vous devez utiliser l'API.

Supprimer des alertes à l'aide de playbooks SOAR

Les playbooks SOAR aident à identifier et à supprimer les alertes en double en fonction de critères de recherche spécifiques. Le playbook supprime les alertes jusqu'à une heure d'expiration prédéfinie, après quoi il les supprime automatiquement du tableau. Les analystes utilisent cette méthode pour supprimer les alertes pour des entités spécifiques, telles que des adresses IP ou des noms d'hôte, pendant une durée définie.

Contrairement à d'autres méthodes, ce mécanisme suit les données historiques et fournit une piste d'audit explicite des actions de suppression dans les détails de la demande.

Cas d'utilisation

Supprimez les alertes ultérieures pour les demandes de connexion entrantes provenant d'une adresse IP suspecte après l'alerte initiale, tout en conservant un journal d'audit de suppression.

Regrouper les alertes dans SOAR

Le regroupement d'alertes regroupe automatiquement les alertes similaires générées au cours d'une période de 24 heures en fonction des critères que vous avez définis. Le système regroupe les alertes dans une seule demande à examiner.

Pour en savoir plus, consultez la page Mécanisme de regroupement des alertes.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.