Configurare la soppressione degli avvisi
Questo documento descrive i meccanismi disponibili in Google Security Operations per eliminare gli avvisi rumorosi e dare la priorità alle minacce critiche. La soppressione degli avvisi filtra automaticamente gli avvisi duplicati e di scarso valore in base a criteri predefiniti. Questa eliminazione consente al tuo team SOC di concentrarsi sugli incidenti di sicurezza ad alta priorità.
Puoi utilizzare la soppressione degli avvisi per gestire il volume generato da vari trigger, ad esempio avvisi duplicati dalla stessa attività sottostante, falsi positivi derivanti da sistemi configurati in modo errato, logica delle regole generale che si attiva su attività note e benigne o finestre di manutenzione pianificate.
Google SecOps fornisce i seguenti metodi per gestire il volume degli avvisi:
Limitazione: sopprime i rilevamenti ripetitivi della stessa attività per un periodo di tempo definito (ad esempio, 1 ora) dopo l'attivazione dell'avviso iniziale.
Esclusioni: un'esclusione impedisce rilevamenti specifici filtrando le corrispondenze prima che attivino un avviso. Gli eventi che soddisfano la logica della regola, ma non i criteri di esclusione, attivano normalmente i rilevamenti.
Playbook SOAR: fornisce la soppressione degli avvisi in base a un periodo di tempo specifico ricerche di entità, come indirizzi IP o nomi host.
Raggruppamento degli avvisi SOAR: raggruppa automaticamente avvisi simili in un unico caso in base ai tuoi criteri per semplificare le indagini.
Eliminare gli avvisi tramite la limitazione
La limitazione sopprime i rilevamenti per una durata specificata dopo una corrispondenza iniziale della regola. Quando utilizzi le opzioni suppression_window e suppression_key nella logica della regola, il sistema genera un rilevamento solo per la prima combinazione univoca della chiave di eliminazione. Google SecOps sopprime tutte le corrispondenze successive per la stessa combinazione fino alla scadenza della finestra definita.
Questo metodo riduce efficacemente i rilevamenti duplicati causati dalla stessa attività sottostante.
Casi d'uso
Esecuzione di PowerShell: sopprimi gli avvisi ripetitivi per lo stesso utente e host per un'ora dopo l'evento iniziale.
Scansione di rete: sopprime gli avvisi ripetitivi di uno scanner di porte dannoso per sei ore dopo il primo rilevamento.
Monitorare le regole rumorose
Per identificare le regole che generano rumore:
Fai clic su Menu, seleziona Rilevamento > Regole e rilevamenti.
Nella scheda Editor regole, seleziona la regola e fai clic su Test.
Modifica il selettore dell'intervallo di tempo per analizzare i dati degli ultimi sette giorni. Se una regola genera più di 100 rilevamenti al giorno, è probabilmente troppo ampia.
Fai clic su Menu e poi su Visualizza rilevamenti delle regole. Viene visualizzata la pagina dei dettagli del rilevamento.
Nel riquadro Filtro procedurale, identifica i campi UDM che contribuiscono.
Modifica la sezione
matcho$suppressi_keyper ridurre il volume di rilevamenti.
Esempio: identifica gli accessi unici per località
Per identificare accessi unici per località ed evitare l'affaticamento
da avvisi, puoi eliminare i rilevamenti dallo stesso stato. Cerca il campo UDM
event.principal.location.state per visualizzare il conteggio dei rilevamenti per stato.
Se un determinato stato mostra un conteggio eccessivamente elevato, aggiungi il campo alla chiave
suppression o match. In questo modo, il sistema attiva una sola
rilevazione per ogni posizione di accesso univoca.
Configurare la limitazione delle rilevazioni
La limitazione sopprime i rilevamenti per una durata specificata dopo l'attivazione di un avviso iniziale. Per limitare i rilevamenti duplicati, aggiungi un suppression_window alla sezione options della regola. Si applicano le seguenti linee guida:
Regole per un singolo evento: definisci la variabile
$suppression_keynella sezioneoutcomein modo che funga da chiave di deduplicazione.Regole multi-evento: utilizza le variabili nella sezione
matchcome chiave di deduplicazione.Durata della finestra: assicurati che
suppression_windowsia maggiore o uguale alla dimensione della finestramatch. Se imposti la stessa durata, la regola si comporta come se non fosse applicata alcuna eliminazione.Limite: non esiste un limite massimo per la durata della finestra di soppressione.
Compatibilità: la limitazione si applica alle regole a evento singolo e a più eventi, nonché alle regole personalizzate e curate.
Esempio: monitorare l'attività di condivisione di file di Windows
La seguente regola monitora l'attività di condivisione di file di Windows. Crea un rilevamento per ogni utente e nome host unici in un periodo di 60 minuti (1hr),
poi sopprime le corrispondenze ripetitive per la stessa combinazione per 24 ore (24h).
rule rule_noisy_winshares {
meta:
author = "Google Cloud Security"
events:
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
$user = $e.principal.user.userid
$hostname = $e.target.hostname
match:
$hostname, $user over 1h
outcome:
$sharename = array_distinct($e.target.resource.name)
condition:
$e
options:
suppression_window = 24h
}
Questa configurazione consente agli analisti di esaminare l'attività iniziale senza elaborare avvisi duplicati per lo stesso utente e host durante il periodo di eliminazione.
Eliminare gli avvisi utilizzando le esclusioni delle regole
Un'esclusione impedisce rilevamenti specifici filtrando le corrispondenze prima che attivino un avviso. Se una corrispondenza soddisfa la logica di esclusione, il sistema sopprime il rilevamento. Gli eventi che soddisfano la logica della regola, ma non i criteri di esclusione, continuano a attivare normalmente i rilevamenti. Una volta applicate, le esclusioni rimangono attive finché non le disattivi manualmente.
Puoi visualizzare, gestire e controllare l'elenco completo delle esclusioni e i metadati associati nella scheda Esclusioni della pagina Regole e rilevamenti. Puoi anche utilizzare la funzionalità Esclusione test per valutare l'impatto di filtri specifici sul volume di rilevamento prima di applicarli.
Per creare esclusioni utilizzando l'API, consulta Gestire l'esclusione delle regole utilizzando l'API.
Casi d'uso
Sopprimi l'esecuzione legittima di PowerShell da parte di strumenti IT autorizzati.
Escludi gli scanner di vulnerabilità interni che eseguono scansioni delle porte ad alto volume.
Creare esclusioni di regole
Per creare esclusioni per una regola rumorosa:
Vai a Menu > Rilevamento > Regole e rilevamenti.
Nella scheda Dashboard regole, cerca le regole con un numero elevato di rilevamenti.
Fai clic sul nome della regola per aprire la pagina Rilevamenti.
Fai clic su Opzioni regola > Escludi.
Specifica questi dettagli per aggiungere il filtro di esclusione:
Nome esclusione
Regole o serie di regole a cui si applica
I criteri di esclusione per eliminare i rilevamenti quando vengono soddisfatte le condizioni specificate. Per aggiungere più condizioni, segui queste linee guida:
Per creare una relazione logica OR, inserisci più valori in una singola riga utilizzando il tasto Invio.
Ad esempio,
principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2Fai clic su + Istruzione condizionale per aggiungere una nuova istruzione che abbia una relazione logica
ANDcon l'istruzione precedente.Ad esempio,
(principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)
(Facoltativo) Fai clic su Testa esclusione per visualizzare in che modo il filtro misura la riduzione dei rilevamenti negli ultimi 30 giorni. Modifica i criteri in base ai risultati.
Fai clic su Crea per attivare l'esclusione.
Gestire le esclusioni delle regole
Per gestire le esclusioni:
Vai a Menu > Rilevamento > Regole e rilevamenti.
Vai alla scheda Esclusioni per visualizzare l'elenco delle esclusioni. Puoi:
Per attivare o disattivare un'esclusione, attiva/disattiva l'opzione Attivata.
Per filtrare le esclusioni, fai clic su Filtra.
Per modificare un'esclusione, fai clic su Menu > Modifica.
Per archiviare un'esclusione, fai clic su Menu > Archivia.
Per ripristinare un'esclusione, fai clic su Menu > Annulla archiviazione.
Per creare e gestire le esclusioni di regole utilizzando l'API, consulta Gestire l'esclusione di regole tramite l'API.
Limitazioni
Quando configuri le esclusioni, tieni presente queste differenze funzionali tra la console e l'API:
Ambito della regola: nella console puoi applicare le esclusioni a più regole curate contemporaneamente, ma puoi applicarle a una sola regola personalizzata alla volta.
Variabili di risultato: per creare esclusioni che utilizzano la logica basata sulle variabili di risultato, devi utilizzare l'API.
Eliminare gli avvisi tramite i playbook SOAR
I playbook SOAR aiutano a identificare e eliminare gli avvisi duplicati in base a criteri di ricerca specifici. Il playbook sopprime gli avvisi fino a un orario di scadenza predefinito, dopodiché li rimuove automaticamente dalla tabella. Gli analisti utilizzano questo metodo per sopprimere gli avvisi per entità specifiche, ad esempio indirizzi IP o nomi host, per una durata prestabilita.
A differenza di altri metodi, questo meccanismo tiene traccia dei dati storici e fornisce una traccia di controllo esplicita delle azioni di eliminazione nei dettagli della richiesta.
Caso d'uso
Elimina gli avvisi successivi per le richieste di connessione in entrata da un indirizzo IP sospetto dopo l'avviso iniziale, mantenendo un audit trail di eliminazione.
Raggruppare gli avvisi in SOAR
Il raggruppamento degli avvisi raggruppa automaticamente avvisi simili generati in un periodo di 24 ore in base ai criteri definiti. Il sistema consolida gli avvisi raggruppati in un unico caso per l'indagine.
Per saperne di più, consulta Meccanismo di raggruppamento degli avvisi.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.