Mengonfigurasi peniadaan pemberitahuan

Didukung di:

Dokumen ini menjelaskan mekanisme yang tersedia di Google Security Operations untuk menekan pemberitahuan yang tidak relevan dan memprioritaskan ancaman penting. Peredaman pemberitahuan secara otomatis memfilter pemberitahuan duplikat dan bernilai rendah berdasarkan kriteria yang telah ditentukan sebelumnya. Penekanan ini memberi tim SOC Anda kemampuan untuk berfokus pada insiden keamanan berprioritas tinggi.

Anda dapat menggunakan penekanan pemberitahuan untuk mengelola volume yang dihasilkan oleh berbagai pemicu, seperti pemberitahuan duplikat dari aktivitas pokok yang sama, positif palsu yang dihasilkan dari sistem yang salah dikonfigurasi, logika aturan luas yang dipicu pada aktivitas yang diketahui dan tidak berbahaya, atau periode pemeliharaan yang direncanakan.

Google SecOps menyediakan metode berikut untuk mengelola volume pemberitahuan:

  • Pembatasan: Menekan deteksi berulang dari aktivitas yang sama selama jangka waktu yang ditentukan (misalnya, 1 jam) setelah pemicu pemberitahuan awal.

  • Pengecualian: Pengecualian mencegah deteksi tertentu dengan memfilter kecocokan sebelum memicu pemberitahuan. Peristiwa yang memenuhi logika aturan, tetapi tidak memenuhi kriteria pengecualian memicu deteksi secara normal.

  • Playbook SOAR: Memberikan penekanan pemberitahuan yang dibatasi waktu berdasarkan pencarian entitas tertentu, seperti alamat IP atau nama host.

  • Pengelompokan pemberitahuan SOAR: Mengelompokkan pemberitahuan serupa secara otomatis ke dalam satu kasus berdasarkan kriteria Anda untuk menyederhanakan penyelidikan.

Menekan peringatan melalui pembatasan

Pembatasan menekan deteksi selama durasi yang ditentukan setelah kecocokan aturan awal. Saat Anda menggunakan opsi suppression_window dan suppression_key dalam logika aturan, sistem hanya menghasilkan deteksi untuk kombinasi unik pertama kunci penekanan. Google SecOps menekan semua kecocokan berikutnya untuk kombinasi yang sama hingga periode yang ditentukan berakhir.

Metode ini secara efektif mengurangi deteksi duplikat yang disebabkan oleh aktivitas pokok yang sama.

Kasus penggunaan

  • Eksekusi PowerShell: Menekan pemberitahuan berulang untuk pengguna dan host yang sama selama satu jam setelah peristiwa awal.

  • Pemindaian jaringan: Menekan notifikasi berulang dari pemindai port berbahaya selama enam jam setelah deteksi pertama.

Memantau aturan yang berisik

Untuk mengidentifikasi aturan yang berisik, lakukan hal berikut:

  1. Login ke Google SecOps.

  2. Klik Menu, pilih Deteksi > Aturan dan Deteksi.

  3. Di tab Rules Editor, pilih aturan, lalu klik Test.

  4. Sesuaikan pemilih rentang waktu untuk menganalisis data tujuh hari terakhir. Jika aturan menghasilkan lebih dari 100 deteksi setiap hari, kemungkinan aturan tersebut terlalu luas.

  5. Klik Menu, lalu klik Lihat deteksi aturan. Halaman detail deteksi akan muncul.

  6. Di panel Procedural Filtering, identifikasi kolom UDM yang berkontribusi.

  7. Ubah bagian match atau $suppressi_key untuk mengurangi volume deteksi.

Contoh: Mengidentifikasi login unik menurut lokasi

Untuk mengidentifikasi login unik menurut lokasi sekaligus mencegah kelelahan akibat peringatan, Anda dapat menekan deteksi dari negara bagian yang sama. Cari kolom UDM event.principal.location.state untuk melihat jumlah deteksi per negara bagian.

Jika negara bagian tertentu menunjukkan jumlah yang sangat tinggi, tambahkan kolom tersebut ke kunci suppression atau match Anda. Hal ini memastikan sistem hanya memicu satu deteksi untuk setiap lokasi login yang unik.

Mengonfigurasi pembatasan deteksi

Pembatasan menekan deteksi selama durasi tertentu setelah pemberitahuan awal dipicu. Untuk membatasi deteksi duplikat, tambahkan suppression_window ke bagian options aturan Anda. Panduan berikut berlaku:

  • Aturan peristiwa tunggal: Tentukan variabel $suppression_key di bagian outcome untuk bertindak sebagai kunci penghapusan duplikat.

  • Aturan multi-peristiwa: Gunakan variabel di bagian match sebagai kunci penghapusan duplikat.

  • Durasi jendela: Pastikan suppression_window lebih besar dari atau sama dengan ukuran jendela match. Jika Anda menyetelnya ke durasi yang sama, aturan berperilaku seolah-olah tidak ada penekanan yang diterapkan.

  • Batas: Tidak ada batas maksimum untuk durasi periode peniadaan.

  • Kompatibilitas: Pembatasan berlaku untuk aturan peristiwa tunggal dan multi-peristiwa, serta aturan kustom dan pilihan.

Contoh: Memantau aktivitas berbagi file Windows

Aturan berikut memantau aktivitas berbagi file Windows. Deteksi ini membuat satu deteksi untuk setiap pengguna dan nama host unik dalam jangka waktu 60 menit (1hr), lalu menekan kecocokan berulang untuk kombinasi yang sama selama 24 jam (24h).


rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

Konfigurasi ini memungkinkan analis menyelidiki aktivitas awal tanpa memproses peringatan duplikat untuk pengguna dan host yang sama selama periode penekanan.

Menekan notifikasi menggunakan pengecualian aturan

Pengecualian mencegah deteksi tertentu dengan memfilter kecocokan sebelum memicu pemberitahuan. Jika kecocokan memenuhi logika pengecualian, sistem akan menekan deteksi. Peristiwa yang memenuhi logika aturan, tetapi tidak memenuhi kriteria pengecualian, akan terus memicu deteksi seperti biasa. Setelah diterapkan, pengecualian tetap aktif hingga Anda menonaktifkannya secara manual.

Anda dapat melihat, mengelola, dan mengaudit daftar lengkap pengecualian dan metadata terkait di tab Pengecualian di halaman Aturan dan Deteksi. Anda juga dapat menggunakan fitur Pengecualian Pengujian untuk menilai pengaruh filter tertentu terhadap volume deteksi sebelum menerapkannya.

Untuk membuat pengecualian menggunakan API, lihat Mengelola pengecualian aturan menggunakan API.

Kasus penggunaan

  • Menekan eksekusi PowerShell yang sah oleh alat IT yang berwenang.

  • Mengecualikan pemindai kerentanan internal yang melakukan pemindaian port bervolume tinggi.

Membuat pengecualian aturan

Untuk membuat pengecualian untuk aturan yang berisik, ikuti langkah-langkah berikut:

  1. Login ke Google SecOps.

  2. Buka Menu > Deteksi > Aturan dan Deteksi.

  3. Di tab Dasbor Aturan, cari aturan dengan jumlah deteksi yang tinggi.

  4. Klik Nama Aturan untuk membuka halaman Deteksi.

  5. Klik Opsi Aturan > Kecualikan.

  6. Tentukan detail ini untuk menambahkan filter pengecualian:

    • Nama pengecualian

    • Aturan atau set aturan yang berlaku untuknya

    • Kriteria pengecualian untuk menekan deteksi saat kondisi yang ditentukan terpenuhi. Untuk menambahkan beberapa kondisi, ikuti panduan berikut:

      1. Untuk membuat hubungan OR logis, masukkan beberapa nilai dalam satu baris menggunakan tombol Enter.

        Contoh, principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2

      2. Klik + Pernyataan Bersyarat untuk menambahkan pernyataan baru yang memiliki hubungan AND logis dengan pernyataan sebelumnya.

        Contoh, (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)

  7. Opsional: Klik Uji Pengecualian untuk melihat cara filter mengukur pengurangan deteksi selama 30 hari terakhir. Sesuaikan kriteria Anda berdasarkan hasilnya.

  8. Klik Buat untuk mengaktifkan pengecualian.

Mengelola pengecualian aturan

Untuk mengelola pengecualian, ikuti langkah-langkah berikut:

  1. Login ke Google SecOps.

  2. Buka Menu > Deteksi > Aturan dan Deteksi.

  3. Buka tab Pengecualian untuk melihat daftar pengecualian. Anda dapat melakukan hal berikut:

    • Untuk mengaktifkan atau menonaktifkan pengecualian, balikkan tombol Diaktifkan.

    • Untuk memfilter pengecualian, klik Filter.

    • Untuk mengedit pengecualian, klik Menu > Edit.

    • Untuk mengarsipkan pengecualian, klik Menu > Arsipkan.

    • Untuk memulihkan pengecualian, klik Menu > Batalkan pengarsipan.

Untuk membuat dan mengelola pengecualian aturan menggunakan API, lihat Mengelola pengecualian aturan melalui API.

Batasan

Saat mengonfigurasi pengecualian, perhatikan perbedaan fungsional berikut antara konsol dan API:

  • Cakupan aturan: Di konsol, Anda dapat menerapkan pengecualian ke beberapa aturan terkurasi secara bersamaan, tetapi Anda hanya dapat menerapkan ke satu aturan kustom dalam satu waktu.

  • Variabel hasil: Untuk membuat pengecualian yang menggunakan logika berdasarkan variabel hasil, Anda harus menggunakan API.

Menekan pemberitahuan melalui playbook SOAR

Playbook SOAR membantu mengidentifikasi dan menekan notifikasi duplikat berdasarkan kriteria penelusuran tertentu. Playbook menekan pemberitahuan hingga waktu habis masa berlaku yang telah ditentukan sebelumnya, setelah itu playbook akan otomatis menghapus pemberitahuan dari tabel. Analis menggunakan metode ini untuk menekan pemberitahuan untuk entitas tertentu, seperti alamat IP atau nama host, selama durasi yang ditetapkan.

Tidak seperti metode lain, mekanisme ini melacak data historis dan memberikan jejak audit eksplisit dari tindakan penekanan dalam detail kasus.

Kasus penggunaan

Menekan notifikasi berikutnya untuk permintaan koneksi masuk dari alamat IP yang mencurigakan setelah notifikasi awal, sambil mempertahankan jejak audit penekanan.

Mengelompokkan pemberitahuan di SOAR

Pengelompokan notifikasi secara otomatis mengelompokkan notifikasi serupa yang dihasilkan dalam jangka waktu 24 jam berdasarkan kriteria yang Anda tentukan. Sistem mengonsolidasikan pemberitahuan yang dikelompokkan ke dalam satu kasus untuk diselidiki.

Untuk mengetahui informasi selengkapnya, lihat Mekanisme pengelompokan pemberitahuan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.