設定快訊抑制功能
本文說明 Google Security Operations 提供的機制,可抑制干擾性警報並優先處理重大威脅。系統會根據預先定義的條件,自動篩除重複和低價值的快訊。這樣一來,SOC 團隊就能專注處理高優先順序的安全事件。
您可以透過停用快訊功能,管理各種觸發條件產生的快訊量,例如來自相同基礎活動的重複快訊、因系統設定錯誤而產生的誤判、觸發已知良性活動的廣泛規則邏輯,或是計畫中的維護時段。
Google SecOps 提供下列方法來管理快訊量:
節流:在初始警報觸發後,於指定時間範圍 (例如 1 小時) 內,抑制對相同活動的重複偵測。
排除條件:排除條件會在比對結果觸發快訊前進行篩選,防止系統偵測到特定項目。符合規則邏輯但不符合排除條件的事件,會正常觸發偵測。
SOAR 劇本:根據特定實體查詢 (例如 IP 位址或主機名稱),提供有時間限制的快訊抑制功能。
SOAR 快訊分組:根據您設定的條件,自動將類似快訊歸類至單一案件,簡化調查程序。
透過節流功能停用快訊
節流功能會在初始規則相符後,在指定時間內抑制偵測結果。在規則邏輯中使用 suppression_window 和 suppression_key 選項時,系統只會針對第一個不重複的抑制鍵組合產生偵測結果。在定義的時間範圍到期前,Google SecOps 會抑制該組合的所有後續相符項目。
這個方法可有效減少因相同基礎活動而重複偵測到的項目。
用途
PowerShell 執行:在初始事件發生後一小時內,針對同一使用者和主機,禁止重複發出快訊。
網路掃描:首次偵測到惡意連接埠掃描器後,六小時內不會重複發出警示。
監控干擾性規則
如要找出干擾性規則,請按照下列步驟操作:
依序點選「選單」、「偵測」>「規則和偵測」。
在「規則編輯器」分頁中選取規則,然後按一下「測試」。
調整時間範圍選取器,分析過去 7 天的資料。如果規則每天產生超過 100 項偵測結果,可能表示規則過於寬鬆。
按一下「選單」圖示 ,然後按一下「查看規則偵測結果」。系統隨即會顯示偵測詳細資料頁面。
在「程序篩選」面板中,找出有助於篩選的 UDM 欄位。
修改
match區段或$suppressi_key,即可減少偵測到的音量。
範例:依據位置識別不重複的登入次數
如要依據位置識別不重複的登入活動,同時避免警報疲乏,可以禁止系統偵測來自同一州的活動。尋找 UDM 欄位
event.principal.location.state,查看各狀態的偵測次數。
如果特定狀態顯示的計數過高,請將該欄位新增至 suppression 或 match 鍵。這可確保系統只會針對每個不重複的登入位置觸發一次偵測。
設定偵測節流
節流功能會在初始快訊觸發後,在指定時間內抑制偵測結果。如要限制重複偵測,請在規則的 options 區段中新增 suppression_window。須符合下列規範:
單一事件規則:在
outcome區段中定義$suppression_key變數,做為重複資料刪除鍵。多事件規則:使用
match區段中的變數做為重複資料刪除鍵。視窗持續時間:請確認
suppression_window大於或等於match視窗大小。如果設定為相同時間長度,規則的行為就如同未套用任何抑制措施。限制:抑制時間長度沒有上限。
相容性:節流適用於單一和多重事件規則,以及自訂和精選規則。
範例:監控 Windows 檔案共用活動
下列規則會監控 Windows 檔案共用活動。系統會在 60 分鐘 (1hr) 內,為每位不重複使用者和主機名稱建立一次偵測結果,然後在 24 小時 (24h) 內,禁止相同組合重複比對。
rule rule_noisy_winshares {
meta:
author = "Google Cloud Security"
events:
$e.metadata.event_type = "NETWORK_CONNECTION"
$e.target.resource.name = /(C|ADMIN|IPC)\$/ nocase
$user = $e.principal.user.userid
$hostname = $e.target.hostname
match:
$hostname, $user over 1h
outcome:
$sharename = array_distinct($e.target.resource.name)
condition:
$e
options:
suppression_window = 24h
}
透過這項設定,分析師可以在抑制期間調查初始活動,而不需處理同一使用者和主機的重複快訊。
使用規則排除項目抑制快訊
排除條件會在比對結果觸發快訊前進行篩選,防止系統偵測到特定項目。如果相符項目符合排除邏輯,系統就會抑制偵測結果。如果事件符合規則邏輯,但不符合排除條件,系統仍會正常觸發偵測。套用排除條件後,除非手動停用,否則排除條件會持續生效。
您可以在「規則和偵測」頁面的「排除」分頁中,查看、管理及稽核完整的排除清單和相關中繼資料。您也可以使用「測試排除」功能,評估特定篩選器對偵測量的影響,再套用這些篩選器。
如要使用 API 建立排除項目,請參閱「使用 API 管理規則排除項目」。
用途
透過授權的 IT 工具,禁止執行合法的 PowerShell。
排除執行大量連接埠掃描的內部安全漏洞掃描工具。
建立規則排除條件
如要為有干擾的規則建立排除條件,請按照下列步驟操作:
依序點選「選單」>「偵測」>「規則和偵測」。
在「規則資訊主頁」分頁中,找出偵測次數高的規則。
按一下「規則名稱」,開啟「偵測」頁面。
依序點選「規則選項」>「排除」。
指定下列詳細資料,即可新增排除篩選器:
排除條件名稱
適用的規則或規則集
排除條件:符合指定條件時,系統會抑制偵測結果。如要新增多個條件,請遵循下列規範:
如要建立邏輯 OR 關係,請使用 Enter 鍵在單一列中輸入多個值。
例如
principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2。按一下「+ 條件式陳述式」,新增與前一個陳述式具有邏輯
AND關係的陳述式。例如
(principal.ip IS 192.158.1.38 OR principal.ip IS 192.186.0.2) AND (principal.user.userid CONTAINS sensitive)。
選用:按一下「測試排除條件」,即可查看篩選器在過去 30 天內減少偵測次數的成效。根據結果調整條件。
按一下「建立」,啟用排除條件。
管理規則排除條件
如要管理排除項目,請按照下列步驟操作:
依序點選「選單」>「偵測」>「規則和偵測」。
前往「排除條件」分頁標籤,即可查看排除條件清單。您可以執行以下操作:
如要啟用或停用排除條件,請切換「已啟用」切換鈕。
如要篩選排除條件,請按一下「篩選器」。
如要編輯排除條件,請依序點選「選單」>「編輯」。
如要封存排除條件,請依序點選「選單」圖示 「封存」。
如要還原排除條件,請依序點選「選單」「取消封存」。
如要使用 API 建立及管理規則排除條件,請參閱「透過 API 管理規則排除條件」。
限制
設定排除條件時,請注意主控台和 API 之間的功能差異:
規則範圍:在管理中心中,您可以同時對多個精選規則套用排除條件,但一次只能對單一自訂規則套用。
結果變數:如要建立排除條件,並根據結果變數使用邏輯,請務必使用 API。
透過 SOAR 應對手冊抑制警告
SOAR 應對手冊可根據特定查詢條件,協助找出並抑制重複的快訊。應對手冊會抑制快訊,直到預先定義的到期時間為止,之後系統會自動從表格中移除快訊。分析師會使用這個方法,在一段時間內禁止特定實體 (例如 IP 位址或主機名稱) 觸發快訊。
與其他方法不同,這個機制會追蹤歷史資料,並在案件詳細資料中提供明確的封鎖動作稽核追蹤記錄。
用途
在收到初始快訊後,針對來自可疑 IP 位址的連線要求,抑制後續快訊,同時保留抑制稽核追蹤記錄。
在 SOAR 中將快訊分組
系統會根據您定義的條件,自動將 24 小時內產生的類似快訊分組。系統會將分組的快訊整合成單一案件,以供調查。
詳情請參閱「快訊分組機制」。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。