Zusammengesetzte Erkennungen – Übersicht

Unterstützt in:

In diesem Dokument werden zusammengesetzte Erkennungen vorgestellt und es wird erläutert, wie sie Workflows zur Erkennung von Bedrohungen verbessern können, indem sie Ausgaben aus mehreren Regeln korrelieren.

Zusammengesetzte Erkennungen werden durch Regeln generiert, die Erkennungen aus anderen Regeln als Eingabe verwenden – kombiniert mit Ereignissen, Messwerten oder Risikosignalen für Entitäten. Diese Regeln werden dann mit Ereignissen, Messwerten oder Risikosignalen für Entitäten kombiniert, um komplexe, mehrstufige Bedrohungen zu erkennen, die mit einzelnen Regeln nicht erkannt werden können.

Mit zusammengesetzten Erkennungen lassen sich Ereignisse anhand definierter Regelinteraktionen und ‑auslöser analysieren. Dadurch wird die Genauigkeit verbessert, die Anzahl der Falschmeldungen reduziert und durch die Korrelation von Daten aus verschiedenen Quellen und Angriffsphasen ein umfassender Überblick über Sicherheitsbedrohungen geboten.

Die folgenden Konzepte definieren die Bausteine zusammengesetzter Regeln und verdeutlichen, wie sie in Erkennungs-Workflows funktionieren:

  • Zusammengesetzte Regeln: Hier werden Erkennungen oder Benachrichtigungen (oder beides) als Eingabe verwendet. Optional können Sie sie mit Ereignissen, Messwerten und einer Vielzahl von Kontextdaten aus dem Entity-Diagramm anreichern, z. B. Daten zur Häufigkeit, Threat Intelligence oder einem Risikowert für die Entität. Diese Regeln müssen immer einen Abgleichabschnitt haben und können auf Metafelder, match-Variablen und outcome-Variablen aus Eingaberegeln verweisen.

  • Erkennung: Ausgabe, die generiert wird, wenn die Bedingungen einer Regel erfüllt sind.

  • Regeln für die reine Erkennung: Zusammengesetzte Regeln, die nur Erkennungen oder Benachrichtigungen als Eingaben verwenden.

Wann sollten zusammengesetzte Erkennungen verwendet werden?

Zusammengesetzte Erkennungen können für die folgenden Ziele nützlich sein:

  • Ergebnisse von zwei oder mehr Regeln korrelieren, z. B. eine Erkennung von „Malware heruntergeladen“ mit einer nachfolgenden C2-Beaconing-Warnung vom selben Host verknüpfen.

  • Benachrichtigungen mit zugehörigen Ereignisdaten anreichern

  • Sie können die Anzahl der Benachrichtigungen reduzieren, indem Sie nur dann eine endgültige Benachrichtigung auslösen, wenn eine ungenaue Erkennung mit geringer Wahrscheinlichkeit mehrmals oder in Kombination mit anderen verdächtigen Aktivitäten auftritt.

  • Erstellen Sie eine Benachrichtigung für einen komplexen Angriff in mehreren Phasen, bei dem jede Phase bereits durch eine eigene Regel identifiziert wird.

Vorteile von zusammengesetzten Erkennungen

Zusammengesetzte Erkennungen haben folgende Vorteile:

  • Mehrstufige Angriffe aufdecken: Cyberangriffe sind oft vielschichtig und miteinander verbunden. Durch die kombinierte Erkennung wird das umfassendere Angriffsszenario aufgedeckt, indem scheinbar isolierte Sicherheitsereignisse verknüpft werden. Mit zusammengesetzten Erkennungen lässt sich beispielsweise die gesamte Abfolge eines Angriffs erkennen, z. B. ein anfänglicher Einbruch, gefolgt von einer Rechteausweitung und Daten-Exfiltration.

  • Benachrichtigungsflut eindämmen: Mit zusammengesetzten Regeln werden laute Benachrichtigungen konsolidiert und gefiltert, sodass Sie sich auf die wichtigsten Probleme konzentrieren können. So können Vorfälle mit hoher Auswirkung priorisiert und die allgemeine Benachrichtigungsflut reduziert werden.

  • Genauigkeit der Erkennung verbessern: Kombinieren Sie Erkenntnisse aus Ereignissen des Unified Data Model (UDM), Regelerkennungen, Entitätskontext, Ergebnissen der Nutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) und Datentabellen, um eine genauere Erkennungslogik zu erstellen.

  • Komplexe Logik optimieren: Teilen Sie komplexe Erkennungsszenarien in überschaubare, miteinander verbundene und wiederverwendbare Regeln auf, um die Entwicklung und Wartung zu vereinfachen.

  • In Dashboards verwenden: Zusammengesetzte Erkennungen lassen sich nahtlos als Datenquellen für Google SecOps-Dashboards einbinden. Sie können damit Visualisierungen erstellen, in denen mehrstufige Angriffsmuster zusammengefasst werden. So lassen sich komplexe Risiken leichter nachvollziehen.

Häufige Anwendungsfälle und Beispiele

In diesem Abschnitt werden einige gängige Anwendungsfälle für zusammengesetzte Erkennungen aufgeführt.

Nutzeraktivitäten nach der Anmeldung verfolgen

Ein primärer Anwendungsfall, der sich auf die Verknüpfung des Anmeldeereignisses eines Nutzers mit nachfolgenden verdächtigen Aktivitäten konzentriert. Mit einer Standardregel für mehrere Ereignisse kann eine kurze Sequenz erfasst werden. Eine zusammengesetzte Erkennung eignet sich jedoch besser, um ein umfassendes Risikoprofil der gesamten Sitzung eines Nutzers zu erstellen.

  • Ziel: Ein einzelnes Ereignis wie eine Anmeldung mit hohem Risiko über einen längeren Zeitraum, z. B. einen ganzen Tag, mit einer Vielzahl nachfolgender Aktivitäten mit schwachen Signalen in Beziehung setzen.

  • Beispiel: Erstellen Sie mehrere Regeln, die Erkennungen auf niedrigerer Ebene erzeugen. Verwenden Sie dann eine zusammengesetzte Regel mit einem langen Abgleichszeitraum (z. B. 24 Stunden), um einen ersten verdächtigen Login auszulösen und ihn mit einer der folgenden Erkennungen desselben Nutzers zu korrelieren:

    • Ein Nutzer löscht seinen Befehlszeilenverlauf.

    • Erstellung eines neuen lokalen Administratorkontos

    • Ein großer Daten-Upload auf eine persönliche Cloud Storage-Website.

Mit UEBA-Messwerten kombinieren

Bei diesem Anwendungsfall werden vorhandene UEBA-Messwerte als Ausgangspunkt für eine zusammengesetzte Erkennung verwendet, um komplexeres, langfristiges Verhalten zu erkennen.

  • Ziel: Einen Anstieg eines UEBA-Messwerts mit einer anderen ungewöhnlichen Aktivität in Beziehung setzen.

  • Beispiel:

    1. Eine UEBA-Regel erkennt eine übermäßige Anzahl von fehlgeschlagenen Anmeldeversuchen für einen Nutzer.

    2. Eine andere UEBA-Regel erkennt eine große Anzahl von Egress-Bytes vom selben Nutzer.

    3. Eine zusammengesetzte Erkennung verknüpft diese beiden separaten UEBA-Ergebnisse über einen Zeitraum von mehreren Tagen, um einen potenziellen Kontodiebstahl mit anschließendem Datendiebstahl zu erkennen.

Versuche zur Daten-Exfiltration erkennen

Dabei werden mehrere unterschiedliche Nutzeraktionen in Beziehung gesetzt, die in Kombination auf einen Versuch hindeuten könnten, Daten zu exfiltrieren.

  • Ziel: Erstellen eines Profils für die riskante Datenverarbeitung durch einen einzelnen Nutzer auf mehreren Geräten und bei verschiedenen Aktionen.

  • Korrelierte Aktionen:

    • Anmeldung über mehrere Geräte (z. B. zu Hause und am Arbeitsplatz).

    • Auf mehr Datenquellen als üblich zugreifen.

    • Gleichzeitiges Herunterladen, Drucken und Senden von Daten per E-Mail

    • Zählen, wie viele klassifizierte Dokumente ein Nutzer innerhalb eines Zeitrahmens bearbeitet.

    • Sie haben ein Rücktrittsschreiben eingereicht.

Funktionsweise von zusammengesetzten Erkennungen

Wenn Regeln vordefinierte Bedingungen erfüllen, werden Erkennungen generiert. Diese Erkennungen können optional Ergebnisvariablen enthalten, die bestimmte Daten- oder Ereignisstatus erfassen.

Bei zusammengesetzten Regeln werden diese Erkennungen aus anderen Regeln als Teil der Eingaben verwendet. Die Auswertung kann auf den Informationen aus dem Meta-Abschnitt der ursprünglichen Regel, den Ergebnisvariablen und den Abgleichsvariablen basieren.

Anhand dieser Auswertung können Sie zusammengesetzte Regeln verwenden, um neue Erkennungen zu erstellen, die als Zwischenrepräsentation für die Untersuchung und Benachrichtigung mit einer nachfolgenden Regel verwendet werden. So können mehrere Faktoren aus verschiedenen Erkennungen korreliert werden, um komplexe Bedrohungen zu identifizieren.

Weitere Informationen zur Syntax und Beispiele finden Sie unter Syntax für zusammengesetzte Regeln und Beispiele.

Strategie festlegen

Bevor Sie mit der Erstellung zusammengesetzter Regeln beginnen, sollten Sie Ihre Strategie planen, damit die neuen Regeln effektiv und effizient sind und die richtigen Probleme lösen.

  1. Aktuelle Erkennungsstrategie bewerten: Überprüfen Sie Ihre vorhandenen Regeln, um diejenigen zu identifizieren, die zu viele Benachrichtigungen auslösen, eine hohe Anzahl von Fehlalarmen generieren oder zu komplex und schwer zu verwalten sind.

  2. Ermitteln Sie die spezifischen Szenarien, in denen zusammengesetzte Regeln von Nutzen sein können. Dazu gehört das Erkennen mehrstufiger Angriffe, das Korrelieren mehrerer Warnungen mit niedrigem Konfidenzniveau zu einer einzelnen Warnung mit hohem Konfidenzniveau oder das Anreichern von Erkennungen mit zusätzlichem Kontext aus anderen Datenquellen.

  3. Erstellen Sie auf Grundlage Ihrer Bewertung einen Implementierungsplan. Entscheiden Sie, welche unübersichtlichen Regeln Sie optimieren, welche komplexen Regeln Sie vereinfachen und welche neuen mehrstufigen Erkennungen Sie priorisieren müssen.

Dieser Plan bietet eine Roadmap für die Erstellung zielgerichteter und effektiver zusammengesetzter Regeln. Hier sind einige allgemeine Strategien, mit denen Sie den größtmöglichen Nutzen aus zusammengesetzten Erkennungen ziehen und gleichzeitig technische Einschränkungen berücksichtigen können.

Geeignete Methode auswählen

Bevor Sie eine zusammengesetzte Erkennung erstellen, sollten Sie prüfen, ob Sie das gewünschte Ergebnis mit anderen Alternativen erzielen können. Analysieren Sie, ob Sie ein komplexes Muster mit einer vorhandenen UEBA-Erkennung identifizieren können. Wenn eine Erkennung zu komplex ist, kann das den Wartungsaufwand erhöhen und das Kontingent für Regeln aufbrauchen.

  • Verwenden Sie die zusammengesetzte Erkennung, wenn: Sie die endgültigen Ergebnisse von zwei oder mehr verschiedenen, bereits vorhandenen Regeln in Beziehung setzen möchten. So werden konzeptionell separate Phasen eines Angriffs miteinander verbunden.

    Beispiel: Korrelation einer Erkennung aus einer Regel für heruntergeladene Malware mit einer nachfolgenden Erkennung aus einer Regel für erkannte C2-Beacons.

  • Vorhandene UEBA-Erkennung verwenden, wenn Sie herausfinden möchten, wann ein Nutzer oder Gerät von seinem normalen Aktivitätsmuster abweicht.

    Beispiel: Es wird automatisch erkannt, dass ein Nutzer heute 100 GB Daten heruntergeladen hat, obwohl er normalerweise nur 1 GB herunterlädt.

Regelkontingente und Risikobewertungen verwalten

Wenn Sie die Ressourcen Ihrer Organisation verwalten möchten, müssen Sie wissen, wie sich die verschiedenen Regeltypen auf Ihr Regelkontingent auswirken.

  • Kuratierte Regeln werden nicht auf Ihr Kontingent für benutzerdefinierte Regeln angerechnet.

  • Zusammengesetzte Regeln und benutzerdefinierte Regeln mit mehreren Ereignissen werden auf Ihr Kontingent angerechnet.

Sie können eine kuratierte Erkennung verwenden, indem Sie sie auf „Nur erkennen“ festlegen. So kann die kuratierte Regel die erste allgemeine Erkennung durchführen, ohne Benachrichtigungen zu generieren. Anschließend können Sie eine zusammengesetzte Regel verwenden, um bestimmte Logik auf diese Ergebnisse anzuwenden. So können Sie Ihr Kontingent strategisch verwalten und gleichzeitig mehr Nutzen erzielen.

Den Unterschied zwischen Risiko und Kontext verstehen

Unterscheiden Sie bei der Entwicklung der Erkennungslogik zwischen Regeln, mit denen das Risiko bewertet wird, und Regeln, die Kontext liefern.

Das Risiko ist die Bewertung, wie gefährlich eine Reihe von Aktivitäten ist. Eine Regel, die für das Risiko entwickelt wurde, fasst oft mehrere Kontextereignisse oder ‑erkennungen zusammen, um eine Entscheidung zu treffen. Ein einzelner fehlgeschlagener Anmeldeversuch liefert beispielsweise Kontext, eine hohe Anzahl davon deutet jedoch auf das Risiko eines Brute-Force-Angriffs hin.

Kontext bezieht sich auf die sachlichen Details rund um ein Ereignis. Eine Regel, die für den Kontext entwickelt wurde, reichert ein Ereignis mit Details aus einem anderen an. Eine Regel kann beispielsweise eine erfolgreiche Nutzeranmeldung erkennen, eine kontextbezogene Regel liefert jedoch den wichtigen Kontext, dass diese Anmeldung aus einem neuen und ungewöhnlichen Land stammt.

Beispiel: Eine erste Erkennung kann Sie auf ein potenzielles Risiko aufmerksam machen, z. B. einen DNS-Aufruf an eine schädliche Domain. Eine zusammengesetzte Regel korreliert diese Benachrichtigung dann mit Ereignisprotokollen in Google SecOps, um den spezifischen Befehlszeilenprozess zu finden, der den Aufruf initiiert hat. Dadurch wird die allgemeine Risikowarnung mit kritischem, umsetzbarem Kontext angereichert.

Lange Abgleichszeiträume strategisch einsetzen

Zusammengesetzte Regeln, die mit langen Zeitfenstern für den Abgleich (z. B. 14 Tage) konfiguriert sind, werden seltener ausgeführt. Aufgrund ihrer hohen Latenz sind sie möglicherweise nicht für zeitkritische Benachrichtigungen geeignet. Sie können diese Zeiträume verwenden, um langsame, anhaltende feindselige Aktivitäten über einen längeren Zeitraum hinweg zu erkennen.

Erkennungen für die Visualisierung verwenden

Eine Strategie zur Verwaltung von Regeln mit vielen Störfaktoren besteht darin, die Ausgabe in eine Visualisierung auf einem Dashboard umzuwandeln. Bei diesem Ansatz wird kein Kontingent für Regeln verbraucht und Daten mit hohem Volumen und niedriger Qualität können in wertvolle Statistiken umgewandelt werden.

Wenn Sie eine Regel zum Erkennen von Aktivitäten festlegen und die erkannten Aktivitäten dann in einem Dashboard-Widget darstellen, können Sie Trends nachvollziehen, Ausreißer identifizieren und einen allgemeinen Überblick über die Aktivitäten erhalten, ohne von einzelnen Benachrichtigungen überfordert zu werden.

Beispiel: Umgang mit personenidentifizierbaren Informationen nachverfolgen

Eine Regel erfasst jedes Mal, wenn ein Nutzer vertrauliche personenidentifizierbare Informationen verarbeitet. Anstatt jedes Mal einen Alarm auszulösen, wird nur eine Erkennung durchgeführt. Ein Dashboard-Widget zeigt dann an, welche Nutzer sich einem täglichen Egress-Limit (z. B. 10,000 Byte) nähern. So erhalten Sie einen schnellen Überblick über riskantes Verhalten, ohne dass ständig Benachrichtigungen generiert werden.

Beispiel: Bestimmte DLP-Risiken überwachen:

In einem Widget werden die Risikobewertungen aus einer sehr spezifischen Teilmenge von DLP-Regeln zusammengefasst. So kann ein bestimmtes Team (z. B. die Administratoren für Schutz vor Datenverlust (Data Loss Prevention, DLP)) nur die relevanten Risiken im Blick behalten und Störungen durch andere Sicherheitsbereiche herausfiltern.

Zusammengesetzte Erkennungen erstellen

Der folgende Workflow beschreibt den typischen Ablauf beim Erstellen einer zusammengesetzten Regel. Die vollständige Syntax und weitere Informationen finden Sie unter Syntax für zusammengesetzte Regeln und Beispiele.

  1. Bedrohungsszenario definieren: Definieren Sie die spezifische Bedrohung, die Sie erkennen möchten.

  2. Eingaberegeln erstellen oder identifizieren: Erstellen oder identifizieren Sie für jede Phase des Bedrohungsszenarios eine Eingaberegel, die die jeweilige Aktivität erkennt.

  3. Join-Bedingungen definieren: Bestimmen Sie die gemeinsamen Informationen, die die erkannten Elemente aus Ihren Eingaberegeln verknüpfen, z. B. Regellabels, Variablen oder Erkennungsfelder.

  4. Zusammengesetzte Regel erstellen: Schreiben Sie die Regel, mit der die Erkennungen aus den Eingaberegeln aufgenommen werden.

    • Definieren Sie den Abschnitt events und verweisen Sie anhand des Namens, der ID oder eines gemeinsamen Meta-Labels auf die Eingaberegeln.

    • Definieren Sie den Abschnitt match, um den Join-Schlüssel und das Zeitfenster für den Abgleich anzugeben.

    • Definieren Sie den Abschnitt condition, um die Bedingung festzulegen, die erfüllt sein muss, damit die endgültige Benachrichtigung ausgelöst wird.

  5. Regelkette testen und bereitstellen: Wir empfehlen, für jede Regel in der Sequenz manuell einen Retrohunt auszuführen.

    Wenn Sie die Funktion Regel testen für eine zusammengesetzte Regel verwenden, wird sie nur für bereits vorhandene Erkennungen ausgeführt, die den Eingabekriterien der Regel entsprechen. Die zugrunde liegenden Regeln werden nicht automatisch ausgeführt, um neue Eingaben für den Test zu generieren. Das bedeutet, dass Sie keine gesamte Regelkette in einem einzigen Schritt validieren können.

    So führen Sie eine Retrohunt für die Regelsequenz aus:

    1. Starten Sie eine Retrohunt manuell mit der ersten Regel in der Sequenz.

    2. Warten Sie, bis der Vorgang abgeschlossen ist.

    3. Fahren Sie mit der nächsten Regel fort.

Ergebnisse der zusammengesetzten Erkennung ansehen

Ergebnisse der zusammengesetzten Erkennung können Sie auf der Seite Erkennungen ansehen. Eine Benachrichtigung ist ein zusammengesetzter Erkennungsvorgang, wenn in der Spalte Eingaben die Quelle Erkennung angezeigt wird und in der Spalte Erkennungstyp das Label Benachrichtigung mit einer Zahl daneben (z. B. Alert (3)) zu sehen ist.

Hinweis: Wenn Sie sowohl SIEM als auch SOAR haben, können Sie die Ergebnisse auch auf dem Tab Fälle ansehen.

Zusammengesetzte Erkennungen optimieren

Wir empfehlen die folgenden Vorgehensweisen zum Erstellen zusammengesetzter Regeln.

Für Latenz optimieren

Verwenden Sie für eine minimale Latenz in Erkennungspipelines nach Möglichkeit Regeln für einzelne Ereignisse, z. B. für den ersten Trigger. Zusammengesetzte Regeln können ihre Erkennungen verwenden, um komplexere Korrelationen mit anderen Ereignissen, Entitäten oder Erkennungen durchzuführen, was die Gesamtlatenz verringert.

Effiziente Methoden zum Zusammenführen von Erkennungen verwenden

Wir empfehlen, Ergebnisvariablen, Meta-Labels und Abgleichsvariablen zu verwenden, um Erkennungen zusammenzuführen. Diese Methoden liefern deterministischere und zuverlässigere Ergebnisse als die Verwendung von Ereignisstichproben. Meta-Labels sind besonders flexibel, da Sie damit Regeln kategorisieren können, sodass eine zusammengesetzte Regel auf jede Erkennung mit diesem Label angewendet werden kann.

Wenn beispielsweise mehrere Regeln dasselbe Meta-Label tactic: exfiltration haben, können Sie eine zusammengesetzte Regel erstellen, die auf alle Erkennungen ausgerichtet ist, bei denen das Taktiklabel den Wert exfiltration hat.

Erkennung mit der Funktionsbibliothek verbessern

Sie können die YARA-L-Funktionsbibliothek an strategischen Punkten in einer zusammengesetzten Regel verwenden, um das Signal zu verstärken und komplexere Logik hinzuzufügen.

Regel-Updates verwalten

Wenn Sie eine Regel aktualisieren, die in einer oder mehreren zusammengesetzten Regeln verwendet wird, erstellt das System automatisch eine neue Version der Regel. Für zusammengesetzte Regeln wird automatisch die neue Version verwendet. Wir empfehlen, die gesamte aktualisierte Regelfolge zu testen, um das beabsichtigte Verhalten zu überprüfen.

Beschränkungen

Beachten Sie beim Entwerfen und Implementieren zusammengesetzter Erkennungen die folgenden Einschränkungen:

  • Zusammengesetzte Regeln: Google SecOps unterstützt eine maximale Tiefe von 10 für zusammengesetzte Regeln. Die Tiefe ist die Anzahl der Regeln von einer Basisregel bis zur endgültigen zusammengesetzten Regel.

  • Regeln für die reine Erkennung: Haben ein maximales Abgleichszeitfenster von 14 Tagen. Es gelten jedoch die folgenden Bedingungen:

    • Wenn in der Regel aufgenommene Ereignisse, Daten aus dem Entity-Diagramm, Datentabellen oder Referenzlisten verwendet werden, ist das Abgleichszeitfenster auf 48 Stunden begrenzt.

    • Für Regeln, die nur Erkennungen auslösen, gilt ein tägliches Erkennungslimit von 10.000 Erkennungen pro Regel.

  • Ergebnisvariablen: Jede Regel ist auf maximal 20 Ergebnisvariablen begrenzt. Außerdem ist jede wiederholte Ergebnisvariable auf 25 Werte beschränkt.

  • Ereignisbeispiele: Pro Ereignisvariable in einer Regel werden nur 10 Ereignisbeispiele gespeichert, z. B. 10 für $e1 und 10 für $e2.

Weitere Informationen zu Erkennungsgrenzen finden Sie unter Erkennungsgrenzen.

Nächste Schritte

Informationen zum Erstellen zusammengesetzter Erkennungsregeln finden Sie unter Zusammengesetzte Erkennungsregeln.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten