Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan deteksi gabungan

Didukung di:

Google SecOps SIEM

Dokumen ini memperkenalkan deteksi gabungan dan cara deteksi ini dapat meningkatkan alur kerja deteksi ancaman dengan mengorelasikan output dari beberapa aturan.

Deteksi komposit dihasilkan oleh aturan yang menggunakan deteksi dari aturan lain sebagai inputnya—dikombinasikan dengan peristiwa, metrik, atau sinyal risiko entitas. Aturan ini kemudian digabungkan dengan sinyal peristiwa, metrik, atau risiko entitas untuk mendeteksi ancaman multistage yang kompleks yang mungkin terlewat oleh aturan individual.

Deteksi komposit membantu menganalisis peristiwa melalui interaksi dan pemicu aturan yang ditentukan. Hal ini meningkatkan akurasi, mengurangi positif palsu, dan memberikan gambaran komprehensif tentang ancaman keamanan dengan mengorelasikan data dari berbagai sumber dan tahap serangan.

Konsep berikut menentukan elemen penyusun aturan komposit dan memperjelas cara kerjanya dalam alur kerja deteksi:

Aturan komposit: menggunakan deteksi atau pemberitahuan (atau keduanya) sebagai input. Secara opsional, perbanyak data tersebut dengan peristiwa, metrik, dan berbagai data kontekstual dari grafik entity, seperti data prevalensi, intelijen ancaman, atau skor risiko entity. Aturan ini harus selalu memiliki bagian kecocokan dan dapat mereferensikan kolom meta, variabel match, dan variabel outcome dari aturan input.
Deteksi: output yang dihasilkan saat kondisi aturan terpenuhi.
Aturan hanya deteksi: aturan komposit yang hanya menggunakan deteksi atau pemberitahuan sebagai input.

Kapan harus menggunakan deteksi komposit

Deteksi komposit dapat berguna untuk mencapai tujuan berikut:

Mengorelasikan hasil dari dua aturan atau lebih (misalnya, menautkan deteksi Malware yang Didownload dengan peringatan C2 Beaconing berikutnya dari host yang sama).
Memperkaya pemberitahuan dengan data peristiwa terkait.
Mengurangi kelelahan merespons peringatan dengan hanya memicu peringatan akhir saat deteksi bising dan rendah keyakinan terjadi beberapa kali atau bersamaan dengan aktivitas mencurigakan lainnya.
Buat pemberitahuan untuk serangan multi-tahap yang kompleks, di mana setiap tahap telah diidentifikasi oleh aturannya sendiri.

Manfaat deteksi gabungan

Deteksi komposit memiliki manfaat berikut:

Mengungkap serangan multi-tahap: Serangan siber sering kali memiliki banyak aspek dan saling terhubung. Deteksi komposit mengungkapkan narasi serangan yang lebih luas dengan menautkan peristiwa keamanan yang tampaknya terisolasi. Misalnya, deteksi gabungan dapat mengidentifikasi urutan lengkap serangan, seperti pelanggaran awal yang diikuti dengan eskalasi hak istimewa dan pemindahan data yang tidak sah.
Mengurangi kelelahan akibat pemberitahuan: Aturan komposit menggabungkan dan memfilter pemberitahuan yang tidak relevan, sehingga memungkinkan respons yang lebih terfokus. Pendekatan ini membantu memprioritaskan insiden berdampak tinggi dan mengurangi kelelahan akibat notifikasi secara keseluruhan.
Meningkatkan akurasi deteksi: Gabungkan insight dari peristiwa Model Data Terpadu (UDM), deteksi aturan, konteks entitas, temuan Analisis Perilaku Pengguna dan Entitas (UEBA), dan tabel data untuk membangun logika deteksi yang lebih akurat.
Menyederhanakan logika yang kompleks: Memecah skenario deteksi yang kompleks menjadi aturan yang mudah dikelola, saling terhubung, dan dapat digunakan kembali untuk menyederhanakan pengembangan dan pemeliharaan.
Penggunaan di dasbor: Integrasikan deteksi gabungan dengan lancar sebagai sumber data untuk dasbor Google SecOps. Anda dapat menggunakannya untuk membuat visualisasi yang merangkum pola serangan multi-tahap, sehingga lebih mudah memahami risiko yang kompleks.

Kasus penggunaan dan contoh umum

Bagian ini mencantumkan beberapa kasus penggunaan umum untuk deteksi komposit.

Melacak aktivitas pengguna setelah login

Kasus penggunaan utama berfokus pada penautan peristiwa login pengguna dengan aktivitas mencurigakan berikutnya. Meskipun aturan multi-peristiwa standar dapat melacak urutan singkat, deteksi gabungan lebih baik untuk membuat profil risiko komprehensif dari seluruh sesi pengguna.

Tujuan: Menghubungkan satu peristiwa, seperti login berisiko tinggi, dengan berbagai aktivitas "sinyal lemah" berikutnya selama jangka waktu yang lebih lama, seperti satu hari penuh.
Contoh: Buat beberapa aturan yang menghasilkan deteksi tingkat lebih rendah. Kemudian, gunakan aturan gabungan dengan periode pencocokan yang panjang (misalnya, 24 jam) untuk dipicu saat login awal yang mencurigakan dan mengorelasikannya dengan salah satu deteksi berikut dari pengguna yang sama:
- Pengguna menghapus histori command line.
- Pembuatan akun administrator lokal baru.
- Upload data berukuran besar ke situs Cloud Storage pribadi.

Gabungkan dengan metrik UEBA

Kasus penggunaan ini memanfaatkan metrik UEBA yang ada sebagai titik awal untuk deteksi gabungan guna menemukan perilaku jangka panjang yang lebih kompleks.

Sasaran: Mengorelasikan lonjakan metrik UEBA dengan aktivitas anomali lainnya.
Contoh:
1. Aturan UEBA mendeteksi jumlah kegagalan login yang berlebihan untuk seorang pengguna.
2. Aturan UEBA lain mendeteksi sejumlah besar byte keluar dari pengguna yang sama.
3. Deteksi gabungan menautkan dua temuan UEBA terpisah ini selama beberapa hari untuk mengidentifikasi potensi penyusupan akun yang diikuti dengan pencurian data.

Mendeteksi upaya pemindahan data yang tidak sah

Hal ini melibatkan korelasi beberapa tindakan pengguna yang berbeda yang, jika digabungkan, dapat mengindikasikan upaya untuk mengekstraksi data.

Sasaran: Buat profil penanganan data berisiko oleh satu pengguna di beberapa perangkat dan tindakan.
Tindakan yang berkorelasi:
- Login dari beberapa perangkat (misalnya, komputer di rumah dan di kantor).
- Mengakses lebih banyak sumber data daripada biasanya.
- Mendownload, mencetak, dan mengirim data melalui email secara bersamaan.
- Menghitung jumlah dokumen rahasia yang disentuh pengguna dalam jangka waktu tertentu.
- Telah mengajukan surat pengunduran diri.

Cara kerja deteksi gabungan

Jika memenuhi kondisi yang telah ditentukan sebelumnya, aturan akan menghasilkan deteksi. Deteksi ini dapat secara opsional menyertakan variabel hasil, yang merekam status data atau peristiwa tertentu.

Aturan komposit menggunakan deteksi ini dari aturan lain sebagai bagian dari inputnya. Evaluasi dapat didasarkan pada informasi dari bagian meta aturan asli, variabel hasil, dan variabel kecocokan.

Berdasarkan evaluasi ini, Anda dapat menggunakan aturan komposit untuk membuat deteksi baru yang akan digunakan sebagai representasi perantara untuk investigasi, dan pemberitahuan dengan aturan berikutnya. Hal ini membantu mengorelasikan beberapa faktor dari berbagai deteksi untuk mengidentifikasi ancaman yang kompleks.

Untuk mengetahui informasi selengkapnya tentang sintaksis dan contoh, lihat sintaksis aturan gabungan dan contoh.

Tentukan strategi Anda

Sebelum mulai membuat aturan gabungan, rencanakan strategi Anda untuk memastikan aturan baru Anda efektif, efisien, dan menyelesaikan masalah yang tepat.

Mengevaluasi strategi deteksi Anda saat ini. Tinjau aturan yang ada untuk mengidentifikasi aturan yang terlalu berisik, menghasilkan sejumlah besar positif palsu, atau terlalu rumit dan sulit dikelola.
Tentukan skenario spesifik tempat aturan komposit dapat memberikan nilai. Hal ini mencakup mendeteksi serangan multi-tahap, mengorelasikan beberapa pemberitahuan dengan tingkat keyakinan rendah menjadi satu pemberitahuan dengan tingkat keyakinan tinggi, atau memperkaya deteksi dengan konteks tambahan dari sumber data lain.
Berdasarkan evaluasi Anda, buat rencana penerapan. Tentukan aturan bising yang perlu Anda perbaiki, aturan kompleks yang perlu disederhanakan, dan deteksi multi-tahap baru yang perlu diprioritaskan.

Rencana yang ditentukan ini memberikan roadmap untuk membuat aturan komposit yang efektif dan bertarget. Pertimbangkan strategi tingkat tinggi berikut untuk mendapatkan nilai maksimal dari deteksi gabungan sekaligus mengelola batasan teknis.

Pilih metode yang sesuai

Sebelum membuat deteksi komposit, jika Anda dapat mencapai hasil yang diperlukan dengan alternatif lain. Analisis apakah Anda dapat mengidentifikasi pola kompleks dengan deteksi UEBA yang ada. Membuat deteksi terlalu rumit dapat meningkatkan biaya pemeliharaan dan menggunakan kuota aturan.

Gunakan deteksi komposit jika: sasaran Anda adalah mengorelasikan hasil akhir dari dua aturan atau lebih yang berbeda dan sudah ada. Hal ini menghubungkan tahapan serangan yang terpisah secara konseptual.

Contoh: Mengorelasikan deteksi dari aturan Malware yang Didownload dengan deteksi berikutnya dari aturan C2 Beaconing Terdeteksi.
Gunakan deteksi UEBA yang ada saat: Anda ingin mengetahui kapan pengguna atau perangkat melanggar pola aktivitas normalnya.

Contoh: Mendeteksi secara otomatis bahwa pengguna telah mendownload data sebesar 100 GB hari ini, padahal biasanya hanya mendownload 1 GB.

Mengelola kuota aturan dan skor risiko

Untuk mengelola resource organisasi Anda, pahami pengaruh berbagai jenis aturan terhadap kuota aturan Anda.

Aturan yang dikurasi tidak dihitung dalam kuota aturan kustom Anda.
Aturan komposit dan aturan multi-peristiwa kustom dihitung dalam kuota Anda.

Anda dapat menggunakan deteksi hasil seleksi dengan menyetelnya ke deteksi saja. Hal ini memungkinkan aturan yang dikurasi melakukan deteksi luas awal tanpa menghasilkan pemberitahuan. Kemudian, Anda dapat menggunakan aturan gabungan untuk menerapkan logika tertentu pada temuan ini, sehingga memberikan nilai lebih besar sekaligus mengelola kuota secara strategis.

Memahami perbedaan antara risiko dan konteks

Saat mendesain logika deteksi, bedakan antara aturan yang menilai risiko dan aturan yang memberikan konteks.

Risiko adalah penilaian seberapa berbahayanya serangkaian aktivitas. Aturan yang dirancang untuk risiko sering kali menggabungkan beberapa peristiwa atau deteksi kontekstual untuk membuat penilaian. Misalnya, meskipun satu kali login yang gagal memberikan konteks, jumlah yang banyak menunjukkan risiko serangan brute force.

Konteks mengacu pada detail faktual seputar suatu peristiwa. Aturan yang dirancang untuk konteks memperkaya satu peristiwa dengan detail dari peristiwa lain. Misalnya, meskipun aturan dapat mendeteksi login pengguna yang berhasil, aturan kontekstual memberikan konteks penting bahwa login ini berasal dari negara baru yang tidak biasa.

Contoh: Deteksi awal dapat memberi tahu Anda tentang potensi risiko, seperti panggilan DNS ke domain berbahaya. Kemudian, aturan komposit mengorelasikan pemberitahuan tersebut dengan log peristiwa di Google SecOps untuk menemukan proses command line tertentu yang memulai panggilan. Hal ini memperkaya pemberitahuan risiko tingkat tinggi dengan konteks penting yang dapat ditindaklanjuti.

Menggunakan periode pencocokan yang panjang secara strategis

Aturan komposit yang dikonfigurasi dengan periode pencocokan yang panjang (misalnya, 14 hari) lebih jarang dieksekusi. Latensi yang tinggi dapat membuat mereka tidak cocok untuk pemberitahuan yang sensitif terhadap waktu. Pertimbangkan untuk menggunakan periode panjang ini untuk mendeteksi aktivitas berbahaya yang lambat dan persisten selama jangka waktu yang lebih lama.

Menggunakan deteksi untuk visualisasi

Salah satu strategi untuk mengelola aturan yang berisik adalah mengubah outputnya menjadi visualisasi di dasbor. Pendekatan ini tidak menggunakan kuota aturan dan dapat mengubah data bervolume tinggi dan fidelitas rendah menjadi insight yang berharga.

Dengan menyetel aturan untuk hanya mendeteksi, lalu memetakan deteksinya dalam widget dasbor, Anda dapat melacak tren, mengidentifikasi pencilan, dan mendapatkan tampilan audit tingkat tinggi dari aktivitas tanpa terbebani oleh masing-masing notifikasi.

Contoh: Melacak penanganan data PII

Aturan melacak setiap kali pengguna menangani data PII sensitif. Alih-alih memberikan peringatan setiap saat, fitur ini disetel untuk mendeteksi saja. Widget dasbor kemudian menunjukkan pengguna mana yang hampir mencapai batas keluar harian (misalnya, 10,000 byte). Hal ini memberikan tampilan audit cepat tentang perilaku berisiko tanpa membuat pemberitahuan terus-menerus.

Contoh: Memantau risiko DLP tertentu:

Widget menggabungkan skor risiko dari subkumpulan aturan DLP yang sangat spesifik. Hal ini memungkinkan tim tertentu (misalnya, administrator Pencegahan Kebocoran Data (DLP)) hanya memantau risiko yang relevan, dengan memfilter gangguan dari domain keamanan lainnya.

Membangun deteksi gabungan

Alur kerja berikut menguraikan perjalanan umum untuk membuat aturan komposit. Untuk mengetahui sintaksis dan detail selengkapnya, lihat sintaksis aturan komposit dan contoh.

Tentukan skenario ancaman: Tentukan ancaman spesifik yang ingin Anda deteksi.
Buat atau identifikasi aturan input: Untuk setiap tahap skenario ancaman, buat atau identifikasi aturan input yang mendeteksi aktivitas tertentu.
Tentukan kondisi gabungan: Tentukan informasi umum yang menghubungkan deteksi dari aturan input Anda, seperti label aturan, variabel, atau kolom deteksi.
Buat aturan komposit: Tulis aturan yang menyerap deteksi dari aturan input.
- Tentukan bagian events, dengan merujuk aturan input berdasarkan nama, ID, atau label meta bersama.
- Tentukan bagian match untuk menentukan kunci penggabungan dan jangka waktu untuk pencocokan.
- Tentukan bagian condition untuk menetapkan kondisi yang harus dipenuhi agar pemberitahuan akhir dapat diaktifkan.
Uji dan deploy rantai aturan: Sebaiknya jalankan retrohunt secara manual untuk setiap aturan dalam urutan.

Saat Anda menggunakan fitur Uji aturan pada aturan komposit, fitur ini hanya berjalan terhadap deteksi yang sudah ada sebelumnya yang cocok dengan kriteria input aturan. Alat ini tidak otomatis menjalankan aturan pokok untuk membuat input baru bagi pengujian, yang berarti Anda tidak dapat memvalidasi seluruh rangkaian aturan dalam satu tindakan.

Untuk menjalankan retrohunt untuk urutan aturan, lakukan hal berikut:
1. Mulai retrohunt secara manual dari aturan pertama dalam urutan.
2. Tunggu hingga selesai.
3. Lanjutkan dengan aturan berikutnya.
Tips: Untuk mencegah hasil deteksi sebelumnya dicocokkan secara tidak sengaja saat pengujian, pertimbangkan untuk menambahkan meta: label unik ke setiap aturan dalam rantai gabungan.

Melihat temuan deteksi gabungan

Anda dapat melihat hasil deteksi gabungan di halaman Deteksi. Peringatan adalah deteksi gabungan saat kolom Input menampilkan Deteksi sebagai sumber dan kolom Jenis deteksi menampilkan label Peringatan dengan angka di sampingnya (misalnya, Alert (3)).

Catatan: Jika memiliki SIEM dan SOAR, Anda juga dapat melihat hasilnya di tab Kasus.

Mengoptimalkan deteksi gabungan

Kami merekomendasikan praktik berikut untuk membuat aturan komposit.

Mengoptimalkan latensi

Untuk latensi minimal dalam pipeline deteksi, gunakan aturan satu peristiwa jika memungkinkan, seperti untuk pemicu awal. Aturan komposit dapat menggunakan deteksinya untuk melakukan korelasi yang lebih kompleks dengan peristiwa, entitas, atau deteksi lainnya, yang membantu mengurangi latensi secara keseluruhan.

Menggunakan metode yang efisien untuk menggabungkan deteksi

Sebaiknya gunakan variabel hasil, label meta, dan variabel kecocokan untuk menggabungkan deteksi. Metode ini memberikan hasil yang lebih deterministik dan andal daripada menggunakan sampel peristiwa. Label meta sangat fleksibel karena memungkinkan Anda mengategorikan aturan sehingga aturan komposit dapat menargetkan deteksi apa pun dengan label tersebut.

Misalnya, jika beberapa aturan memiliki label meta yang sama, yaitu tactic: exfiltration, Anda dapat memiliki aturan komposit yang menargetkan deteksi apa pun yang memiliki label taktik dengan nilai exfiltration.

Meningkatkan kualitas deteksi dengan pustaka fungsi

Anda dapat menggunakan library fungsi YARA-L di titik strategis dalam aturan gabungan untuk meningkatkan sinyal dan menambahkan logika yang lebih kompleks.

Mengelola update aturan

Saat Anda memperbarui aturan yang digunakan dalam satu atau beberapa aturan komposit, sistem akan otomatis membuat versi baru aturan tersebut. Aturan komposit otomatis menggunakan versi baru. Sebaiknya uji seluruh urutan aturan yang diperbarui untuk memverifikasi perilaku yang diinginkan.

Batasan

Saat mendesain dan menerapkan deteksi gabungan, pertimbangkan batasan berikut:

Aturan komposit: Google SecOps mendukung kedalaman maksimum 10 untuk aturan komposit. Kedalaman adalah jumlah aturan dari aturan dasar hingga aturan komposit akhir.
Aturan hanya deteksi: Memiliki periode pencocokan maksimum 14 hari. Namun, kondisi berikut berlaku:
- Jika aturan menggunakan peristiwa yang di-ingest, data grafik entitas, tabel data, atau daftar referensi, periode pencocokan dibatasi hingga 48 jam.
- Aturan hanya deteksi tunduk pada batas deteksi harian sebanyak 10.000 deteksi per aturan.
Variabel hasil: Setiap aturan dibatasi hingga maksimum 20 variabel hasil. Selain itu, setiap variabel hasil yang berulang dibatasi hingga 25 nilai.
Contoh peristiwa: Hanya 10 contoh peristiwa yang disimpan per variabel peristiwa dalam aturan, seperti 10 untuk $e1 dan 10 untuk $e2.

Untuk mengetahui informasi selengkapnya tentang batas deteksi, lihat Batas deteksi.

Langkah berikutnya

Untuk mengetahui informasi tentang cara membuat aturan deteksi komposit, lihat aturan deteksi komposit.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.