配置提醒抑制
本文档介绍了 Google Security Operations 中可用于抑制干扰性过强的提醒并确定严重威胁优先级的机制。提醒抑制功能会根据预定义的条件自动过滤重复的低价值提醒。通过抑制,您的 SOC 团队可以专注于高优先级的安全事件。
您可以使用提醒抑制功能来管理各种触发器(例如来自同一底层 activity 的重复提醒、因系统配置错误而导致的误报、因触发已知良性 activity 而触发的宽泛规则逻辑或计划的维护窗口)生成的提醒量。
Google SecOps 提供以下方法来管理提醒量:
节流:在初始提醒触发后,在定义的时间窗口(例如 1 小时)内抑制对同一活动重复进行的检测。
排除项:排除项通过在匹配项触发提醒之前对其进行过滤,来防止系统检测到特定内容。符合规则逻辑但不符合排除条件的事件会正常触发检测。
SOAR playbook:根据特定的实体查找(例如 IP 地址或主机名)提供有时间限制的提醒抑制。
SOAR 提醒分组:根据您的条件自动将相似的提醒聚类到单个案例中,以简化调查。
通过限制来抑制提醒
节流会在初始规则匹配后,在指定时长内抑制检测。如果您在规则逻辑中使用 suppression_window 和 suppression_key 选项,系统只会针对第一个唯一的抑制键组合生成检测结果。在定义的期限到期之前,Google SecOps 会抑制该相同组合的所有后续匹配项。
此方法可有效减少由同一底层活动导致的重复检测。
使用场景
PowerShell 执行:在初始事件发生后的一小时内,针对同一用户和主机关闭重复提醒。
网络扫描:在首次检测到恶意端口扫描器后,抑制重复的提醒 6 小时。
监控容易触发的规则
如需识别噪声规则,请执行以下操作:
点击菜单,依次选择检测 > 规则和检测。
在规则编辑器标签页上,选择相应规则,然后点击测试。
调整时间范围选择器,以分析过去 7 天的数据。如果某条规则每天生成 100 多次检测,则该规则可能过于宽泛。
点击 菜单,然后点击查看规则检测。系统随即会显示检测详情页面。
在程序化过滤面板中,确定贡献 UDM 字段。
修改
match部分或$suppressi_key以降低检测到的音量。
示例:按位置识别唯一登录
为了按位置识别唯一登录,同时防止出现提醒疲劳,您可以禁止检测到来自同一州/省的登录。查找 UDM 字段 event.principal.location.state,查看每个状态的检测次数。
如果特定状态的计数过高,请将相应字段添加到 suppression 或 match 键中。这可确保系统仅针对每个唯一登录位置触发一次检测。
配置检测节流
在触发初始提醒后,节流会在指定时长内抑制检测。如需限制重复检测,请向规则的 options 部分添加 suppression_window。需遵守以下指南:
单事件规则:在
outcome部分中定义$suppression_key变量,以充当去重键。多事件规则:使用
match部分中的变量作为去重键。窗口时长:确保
suppression_window大于或等于match窗口大小。如果您将其设置为相同的时长,则该规则的行为与未应用抑制时相同。限制:抑制窗口时长没有上限。
兼容性:节流适用于单事件规则和多事件规则,以及自定义规则和精选规则。
示例:监控 Windows 文件共享活动
以下规则用于监控 Windows 文件共享活动。它会在 60 分钟 (1hr) 的时间范围内针对每个唯一身份用户和主机名创建一次检测,然后针对同一组合抑制重复匹配 24 小时 (24h)。
rule rule_noisy_winshares {
meta:
author = "Google Cloud Security"
events:
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
$user = $e.principal.user.userid
$hostname = $e.target.hostname
match:
$hostname, $user over 1h
outcome:
$sharename = array_distinct($e.target.resource.name)
condition:
$e
options:
suppression_window = 24h
}
通过此配置,分析师可以调查初始 activity,而无需在抑制窗口期间处理同一用户和主机的重复提醒。
使用规则排除项抑制提醒
排除项通过在匹配项触发提醒之前对其进行过滤,来防止特定检测。如果匹配项满足排除逻辑,系统会抑制检测结果。符合规则逻辑但不符合排除条件的事件会继续正常触发检测。应用排除对象后,除非您手动停用,否则排除对象会一直处于有效状态。
您可以在规则和检测页面上的排除项标签页中查看、管理和审核排除项的完整列表以及相关联的元数据。您还可以使用测试排除功能来评估特定过滤条件在应用之前对检测量的影响。
如需使用 API 创建排除项,请参阅使用 API 管理规则排除项。
使用场景
通过授权的 IT 工具抑制合法的 PowerShell 执行。
排除执行大批量端口扫描的内部漏洞扫描器。
创建规则排除对象
如需为有噪音的规则创建排除对象,请按以下步骤操作:
依次点击菜单 > 检测 > 规则和检测。
在规则信息中心标签页中,查找检测次数较高的规则。
点击规则名称以打开检测页面。
依次点击规则选项 > 排除。
指定以下详细信息以添加排除过滤条件:
排除对象名称
适用的规则或规则集
排除条件,用于在满足指定条件时抑制检测。如需添加多个条件,请遵循以下准则:
如需创建逻辑“或”关系,请使用 Enter 键在单行中输入多个值。
例如
principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2。点击 + 条件语句,添加与前一条语句具有逻辑
AND关系的新语句。例如
(principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)。
可选:点击测试排除项,查看过滤器如何衡量过去 30 天内检测次数的减少情况。根据结果调整条件。
点击创建以启用排除项。
管理规则排除项
如需管理排除对象,请按以下步骤操作:
依次点击菜单 > 检测 > 规则和检测。
前往排除对象标签页,查看排除对象列表。您可以执行以下操作:
如需启用或停用排除对象,请切换已启用开关。
如需过滤排除对象,请点击过滤。
如需修改排除对象,请依次点击 菜单 > 修改。
如需归档排除对象,请依次点击 菜单 > 归档。
如需恢复排除对象,请依次点击 菜单 > 取消归档。
如需使用 API 创建和管理规则排除项,请参阅通过 API 管理规则排除项。
限制
配置排除对象时,请注意控制台与 API 之间存在以下功能差异:
规则范围:在控制台中,您可以同时将排除对象应用于多个精选规则,但一次只能应用于一个自定义规则。
结果变量:如需创建使用基于结果变量的逻辑的排除项,您必须使用 API。
通过 SOAR playbook 禁止显示提醒
SOAR playbook 可帮助根据特定的查找条件识别和抑制重复提醒。该剧本会抑制提醒,直到达到预定义的过期时间,之后会自动从表格中移除提醒。 分析师可以使用此方法在设定的时间段内针对特定实体(例如 IP 地址或主机名)禁止显示提醒。
与其他方法不同,此机制会跟踪历史数据,并在支持请求详细信息中提供明确的屏蔽操作审核跟踪记录。
使用场景
在收到初始提醒后,禁止针对来自可疑 IP 地址的入站连接请求显示后续提醒,同时保留禁止审核轨迹。
在 SOAR 中对提醒进行分组
提醒分组功能会根据您定义的条件,自动将 24 小时内生成的类似提醒聚类。系统会将分组的提醒整合到一个案例中,以便进行调查。
如需了解详情,请参阅提醒分组机制。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。