Configurar a supressão de alertas

Este documento descreve os mecanismos disponíveis no Google Security Operations para suprimir alertas ruidosos e priorizar ameaças críticas. A supressão de alertas filtra automaticamente alertas duplicados e de baixo valor com base em critérios predefinidos. Com essa supressão, sua equipe da SOC pode se concentrar em incidentes de segurança de alta prioridade.

É possível usar a supressão de alertas para gerenciar o volume gerado por vários gatilhos, como alertas duplicados da mesma atividade subjacente, falsos positivos resultantes de sistemas mal configurados, lógica de regra ampla que é acionada em atividades conhecidas e benignas ou janelas de manutenção planejadas.

O Google SecOps oferece os seguintes métodos para gerenciar o volume de alertas:

• Limitação: suprime detecções repetitivas da mesma atividade por um período definido (por exemplo, uma hora) após o acionamento do alerta inicial.

• Exclusões: uma exclusão impede detecções específicas filtrando correspondências antes que elas acionem um alerta. Os eventos que atendem à lógica da regra, mas não aos critérios de exclusão, acionam detecções normalmente.

• Playbooks de SOAR: oferecem supressão de alertas com limite de tempo com base em pesquisas de entidades específicas, como endereços IP ou nomes de host.

• Agrupamento de alertas do SOAR: agrupa automaticamente alertas semelhantes em um único caso com base nos seus critérios para simplificar as investigações.

Suprimir alertas com limitação

A limitação suprime as detecções por um período especificado após uma correspondência inicial de regra. Quando você usa as opções suppression_window e suppression_key na lógica da regra, o sistema gera uma detecção apenas para a primeira combinação exclusiva da chave de supressão. O Google SecOps suprime todas as correspondências subsequentes para essa mesma combinação até que a janela definida expire.

Esse método reduz as detecções duplicadas causadas pela mesma atividade subjacente.

Casos de uso

• Execução do PowerShell: suprime alertas repetitivos para o mesmo usuário e host por uma hora após o evento inicial.

• Verificação de rede: suprime alertas repetitivos de um verificador de porta malicioso por seis horas após a primeira detecção.

Monitorar regras ruidosas

Para identificar regras ruidosas, faça o seguinte:

1. Faça login no Google SecOps.

2. Clique em Menu, selecione Detecção > Regras e detecções.

3. Na guia Editor de regras, selecione a regra e clique em Testar.

4. Ajuste o seletor de período para analisar os dados dos últimos sete dias. Se uma regra gerar mais de 100 detecções por dia, provavelmente ela é muito ampla.

5. Clique em more_vert Menu e em Ver detecções de regras. A página de detalhes da detecção é exibida.

6. No painel Filtragem procedural, identifique os campos da UDM que contribuem.

7. Modifique a seção match ou $suppressi_key para reduzir o volume de detecções.

Exemplo: identificar logins únicos por local

Para identificar logins únicos por local e evitar a fadiga de alertas, é possível suprimir detecções do mesmo estado. Procure o campo UDM event.principal.location.state para ver a contagem de detecções por estado.

Se um estado específico tiver uma contagem muito alta, adicione esse campo à chave suppression ou match. Isso garante que o sistema acione apenas uma detecção para cada local de login exclusivo.

Configurar a limitação de detecções

A limitação suprime as detecções por um período especificado após o acionamento de um alerta inicial. Para limitar detecções duplicadas, adicione um suppression_window à seção options da regra. As seguintes diretrizes se aplicam:

• Regras de evento único: defina a variável $suppression_key na seção outcome para atuar como a chave de remoção de duplicação.

• Regras de vários eventos: use as variáveis na seção match como a chave de deduplicação.

• Duração da janela: verifique se suppression_window é maior ou igual ao tamanho da janela match. Se você definir a mesma duração, a regra vai se comportar como se nenhuma supressão fosse aplicada.

• Limite: não há um limite máximo para a duração da janela de supressão.

• Compatibilidade: a limitação se aplica a regras de evento único e múltiplo, além de regras personalizadas e selecionadas.

Exemplo: monitorar a atividade de compartilhamento de arquivos do Windows

A regra a seguir monitora a atividade de compartilhamento de arquivos do Windows. Ele cria uma detecção para cada usuário e nome de host únicos em uma janela de 60 minutos (1hr) e suprime correspondências repetitivas para a mesma combinação por 24 horas (24h).

rule rule_noisy_winshares {

  meta:
   author = "Google Cloud Security"

  events:
    $e.metadata.event_type = "NETWORK_CONNECTION"
    $e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
    $user = $e.principal.user.userid
    $hostname = $e.target.hostname

  match:
    $hostname, $user over 1h

  outcome:
    $sharename = array_distinct($e.target.resource.name)

  condition:
    $e

  options:
    suppression_window = 24h
}

Com essa configuração, os analistas podem investigar a atividade inicial sem processar alertas duplicados para o mesmo usuário e host durante o período de supressão.

Suprimir alertas usando exclusões de regras

Uma exclusão impede detecções específicas filtrando correspondências antes que elas acionem um alerta. Se uma correspondência satisfizer a lógica de exclusão, o sistema vai suprimir a detecção. Os eventos que atendem à lógica da regra, mas não aos critérios de exclusão, continuam acionando detecções normalmente. Depois de aplicadas, as exclusões permanecem ativas até que você as desative manualmente.

Você pode conferir, gerenciar e auditar a lista completa de exclusões e os metadados associados na guia Exclusões da página Regras e detecções. Você também pode usar o recurso Exclusão de teste para avaliar como filtros específicos afetam o volume de detecção antes de aplicá-los.

Para criar exclusões usando a API, consulte Gerenciar exclusão de regras usando a API.

Casos de uso

• Suprimir a execução legítima do PowerShell por ferramentas de TI autorizadas.

• Exclua verificadores de vulnerabilidades internos que realizam verificações de porta de alto volume.

Criar exclusões de regras

Para criar exclusões para uma regra ruidosa, siga estas etapas:

1. Faça login no Google SecOps.

2. Acesse Menu > Detecção > Regras e detecções.

3. Na guia Painel de regras, procure regras com contagens de detecção altas.

4. Clique no Nome da regra para abrir a página Detecções.

5. Clique em Opções de regra > Excluir.

6. Especifique estes detalhes para adicionar o filtro de exclusão:

   • Nome da exclusão

   • Regras ou conjuntos de regras a que ele se aplica

   • Os critérios de exclusão para suprimir detecções quando as condições especificadas são atendidas. Para adicionar várias condições, siga estas diretrizes:

     1. Para criar uma relação OR lógica, insira vários valores em uma única linha usando a tecla Enter.

        Por exemplo, principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2.

     2. Clique em + Instrução condicional para adicionar uma nova instrução que tenha uma relação lógica AND com a anterior.

        Por exemplo, (principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive).

7. Opcional: clique em Testar exclusão para ver como o filtro mede as detecções reduzidas nos últimos 30 dias. Ajuste seus critérios com base nos resultados.

8. Clique em Criar para ativar a exclusão.

Gerenciar exclusões de regras

Para gerenciar as exclusões, siga estas etapas:

1. Faça login no Google SecOps.

2. Acesse Menu > Detecção > Regras e detecções.

3. Acesse a guia Exclusões para conferir a lista de exclusões. Você pode fazer o seguinte:

   • Para ativar ou desativar uma exclusão, clique no botão Ativada.

   • Para filtrar as exclusões, clique em filter_altFiltrar.

   • Para editar uma exclusão, clique em more_vert Menu > Editar.

   • Para arquivar uma exclusão, clique em more_vert Menu > Arquivar.

   • Para restaurar uma exclusão, clique em more_vert Menu > Desarquivar.

Para criar e gerenciar exclusões de regras usando a API, consulte Gerenciar exclusão de regras pela API.

Limitações

Ao configurar exclusões, observe estas diferenças funcionais entre o console e a API:

• Escopo da regra: no console, é possível aplicar exclusões a várias regras selecionadas simultaneamente, mas apenas a uma regra personalizada por vez.

• Variáveis de resultado: para criar exclusões que usam lógica com base em variáveis de resultado, use a API.

Suprimir alertas com playbooks do SOAR

Os playbooks do SOAR ajudam a identificar e suprimir alertas duplicados com base em critérios de pesquisa específicos. O roteiro suprime os alertas até um tempo de expiração predefinido, após o qual ele remove automaticamente os alertas da tabela. Os analistas usam esse método para suprimir alertas de entidades específicas, como endereços IP ou nomes de host, por um período definido.

Ao contrário de outros métodos, esse mecanismo rastreia dados históricos e fornece uma trilha de auditoria explícita das ações de supressão nos detalhes do caso.

Caso de uso

Suprimir alertas subsequentes para solicitações de conexão recebidas de um endereço IP suspeito após o alerta inicial, mantendo um rastreamento de auditoria de supressão.

Agrupar alertas no SOAR

O agrupamento de alertas agrupa automaticamente alertas semelhantes gerados em um período de 24 horas com base nos critérios definidos. O sistema consolida os alertas agrupados em um único caso para investigação.

Para mais informações, consulte Mecanismo de agrupamento de alertas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.