Vista geral das deteções compostas
Este documento apresenta as deteções compostas e como podem melhorar os fluxos de trabalho de deteção de ameaças através da correlação de resultados de várias regras.
As deteções compostas são geradas por regras que usam deteções de outras regras como entrada, combinadas com eventos, métricas ou sinais de risco de entidades. Em seguida, estas regras são combinadas com eventos, métricas ou sinais de risco de entidades para detetar ameaças complexas de várias fases que as regras individuais podem não detetar.
As deteções compostas ajudam a analisar eventos através de interações de regras definidas e acionadores. Isto melhora a precisão, reduz os falsos positivos e oferece uma vista abrangente das ameaças de segurança através da correlação de dados de diferentes fontes e fases de ataque.
Os seguintes conceitos definem os elementos básicos das regras compostas e esclarecem como funcionam nos fluxos de trabalho de deteção:
Regras compostas: use deteções ou alertas (ou ambos) como entrada. Opcionalmente, enriqueça-os com eventos, métricas e uma vasta gama de dados contextuais do gráfico de entidades, como dados de prevalência, informações sobre ameaças ou uma classificação de risco da entidade. Estas regras têm de ter sempre uma secção de correspondência e podem fazer referência a metacampos, variáveis
matche variáveisoutcomede regras de entrada.Deteção: resultado gerado quando as condições de uma regra são cumpridas.
Regras apenas de deteção: regras compostas que usam apenas deteções ou alertas como entradas.
Quando usar deteções compostas
As deteções compostas podem ser úteis para alcançar os seguintes objetivos:
Correlacionar os resultados de duas ou mais regras (por exemplo, associar uma deteção de transferência de software malicioso a um alerta de sinalização C2 subsequente do mesmo anfitrião).
Enriqueça os alertas com dados de eventos relacionados.
Reduza a fadiga de alertas acionando apenas um alerta final quando ocorrer uma deteção ruidosa e de baixa confiança várias vezes ou em combinação com outra atividade suspeita.
Crie um alerta para um ataque complexo de várias fases em que cada fase já está identificada pela sua própria regra.
Vantagens das deteções compostas
As deteções compostas têm as seguintes vantagens:
Revele ataques de várias fases: os ciberataques são frequentemente multifacetados e interligados. A deteção composta revela a narrativa de ataque mais ampla através da associação de eventos de segurança aparentemente isolados. Por exemplo, as deteções compostas podem identificar a sequência completa de um ataque, como uma violação inicial seguida de escalada de privilégios e exfiltração de dados.
Reduza a fadiga de alertas: as regras compostas consolidam e filtram os alertas ruidosos, o que permite uma resposta mais focada. Esta abordagem ajuda a dar prioridade a incidentes de alto impacto e a reduzir o cansaço geral de alertas.
Melhore a precisão da deteção: combine as estatísticas dos eventos do modelo de dados unificado (UDM), as deteções de regras, o contexto da entidade, as conclusões da análise do comportamento de utilizadores e entidades (UEBA) e as tabelas de dados para criar uma lógica de deteção mais precisa.
Simplifique a lógica complexa: divida cenários de deteção complexos em regras geríveis, interligadas e reutilizáveis para simplificar o desenvolvimento e a manutenção.
Utilização em painéis de controlo: integre perfeitamente as deteções compostas como origens de dados para os painéis de controlo do Google SecOps. Pode usá-los para criar visualizações que resumem padrões de ataque de várias fases, o que facilita a compreensão de riscos complexos.
Exemplos de utilização comuns
Esta secção apresenta alguns exemplos de utilização comuns para deteções compostas.
Monitorize a atividade do utilizador após o início de sessão
Um exemplo de utilização principal focado na associação do evento de início de sessão de um utilizador a atividades suspeitas subsequentes. Embora uma regra padrão de vários eventos possa acompanhar uma sequência curta, uma deteção composta é melhor para criar um perfil de risco abrangente de toda a sessão de um utilizador.
Objetivo: correlacionar um único evento, como um início de sessão de alto risco, com uma vasta gama de atividades de "sinal fraco" subsequentes durante um período mais longo, como um dia inteiro.
Exemplo: crie várias regras que produzam deteções de nível inferior. Em seguida, use uma regra composta com um longo período de correspondência (por exemplo, 24 horas) para ser acionada num início de sessão suspeito inicial e correlacioná-lo com qualquer uma das seguintes deteções do mesmo utilizador:
Um utilizador a limpar o respetivo histórico de linhas de comando.
A criação de uma nova conta de administrador local.
Um carregamento de dados de grandes dimensões para um site pessoal do Cloud Storage.
Combine com métricas de UEBA
Este exemplo de utilização tira partido das métricas de UEBA existentes como ponto de partida para uma deteção composta, de modo a encontrar um comportamento mais complexo e a longo prazo.
Objetivo: correlacionar um pico numa métrica de UEBA com outra atividade anómala.
Exemplo:
Uma regra de UEBA deteta um número excessivo de falhas de início de sessão para um utilizador.
Outra regra de UEBA deteta um grande número de bytes de saída do mesmo utilizador.
Uma deteção composta associa estas duas conclusões de UEBA separadas durante um período de dias para identificar um potencial estado comprometido da conta seguido de roubo de dados.
Detete tentativas de exfiltração de dados
Isto envolve a correlação de várias ações distintas do utilizador que, quando combinadas, podem indicar uma tentativa de exfiltração de dados.
Objetivo: criar um perfil de processamento de dados arriscado por um único utilizador em vários dispositivos e ações.
Ações correlacionadas:
Iniciar sessão a partir de vários dispositivos (por exemplo, o computador de casa e o do trabalho).
Aceder a mais origens de dados do que o habitual.
Transferir, imprimir e enviar dados por email em simultâneo.
Contar quantos documentos classificados um utilizador está a interagir num período.
Tiver apresentado uma carta de demissão.
Como funcionam as deteções compostas
Quando as regras cumprem as condições predefinidas, geram deteções. Estas deteções podem incluir opcionalmente variáveis de resultados, que captam dados ou estados de eventos específicos.
As regras compostas usam estas deteções de outras regras como parte das respetivas entradas. A avaliação pode basear-se nas informações da secção meta da regra original, nas variáveis de resultado e nas variáveis de correspondência.
Com base nesta avaliação, pode usar regras compostas para criar novas deteções a usar como representação intermediária para investigação e alertas com uma regra subsequente. Isto ajuda a correlacionar vários fatores de diferentes deteções para identificar ameaças complexas.
Para mais informações sobre a sintaxe e exemplos, consulte a sintaxe das regras compostas e exemplos.
Defina a sua estratégia
Antes de começar a criar regras compostas, planeie a sua estratégia para se certificar de que as novas regras são eficazes, eficientes e resolvem os problemas certos.
Avalie a sua estratégia de deteção atual. Reveja as regras existentes para identificar as que são demasiado ruidosas, geram um número elevado de falsos positivos ou são demasiado complexas e difíceis de gerir.
Determine os cenários específicos em que as regras compostas podem oferecer valor. Isto inclui a deteção de ataques de várias fases, a correlação de vários alertas de confiança baixa num único alerta de confiança alta ou o enriquecimento das deteções com contexto adicional de outras origens de dados.
Com base na sua avaliação, crie um plano de implementação. Decida que regras ruidosas tem de refinar, que regras complexas tem de simplificar e que novas deteções de várias fases tem de priorizar.
Este plano definido fornece um roteiro para a criação de regras compostas segmentadas e eficazes. Considere as seguintes estratégias de alto nível para obter o máximo valor das deteções compostas enquanto gere as restrições técnicas.
Selecione o método adequado
Antes de criar uma deteção composta, se puder alcançar o resultado necessário com outras alternativas. Analise se consegue identificar um padrão complexo com uma deteção de UEBA existente. A complicação excessiva de uma deteção pode aumentar as despesas gerais de manutenção e consumir a quota de regras.
Use uma deteção composta quando: o seu objetivo é correlacionar os resultados finais de duas ou mais regras diferentes pré-existentes. Isto liga fases conceptualmente separadas de um ataque.
Exemplo: correlacionar uma deteção de uma regra de software malicioso transferido com uma deteção subsequente de uma regra de sinalização de C2 detetada.
Use uma deteção de UEBA quando: quiser saber quando um utilizador ou um dispositivo quebra o respetivo padrão normal de atividade.
Exemplo: detetar automaticamente que um utilizador transferiu 100 GB de dados hoje, quando normalmente transfere apenas 1 GB.
Faça a gestão das quotas de regras e dos resultados de risco
Para gerir os recursos da sua organização, compreenda como os diferentes tipos de regras afetam a sua quota de regras.
As regras preparadas não são contabilizadas na sua quota de regras personalizadas.
As regras compostas e as regras personalizadas com vários eventos são contabilizadas na sua quota.
Pode usar uma deteção organizada definindo-a como apenas deteção. Isto permite que a regra organizada execute a deteção ampla inicial sem gerar alertas. Em seguida, pode usar uma regra composta para aplicar uma lógica específica a estas descobertas, oferecendo mais valor enquanto gere estrategicamente a sua quota.
Compreenda a diferença entre risco e contexto
Ao criar lógica de deteção, distinga entre regras que avaliam o risco e regras que fornecem contexto.
O risco é a avaliação do perigo de um conjunto de atividades. Uma regra concebida para o risco agrega frequentemente várias deteções ou eventos contextuais para tomar uma decisão. Por exemplo, embora um único início de sessão falhado forneça contexto, um número elevado de inícios de sessão falhados indica o risco de um ataque de força bruta.
O contexto refere-se aos detalhes factuais que envolvem um evento. Uma regra concebida para o contexto enriquece um evento com detalhes de outro. Por exemplo, embora uma regra possa detetar um início de sessão de utilizador bem-sucedido, uma regra contextual fornece o contexto crucial de que este início de sessão veio de um país novo e invulgar.
Exemplo: uma deteção inicial pode alertar para um risco potencial, como uma chamada DNS para um domínio malicioso. Em seguida, uma regra composta correlaciona esse alerta com os registos de eventos no Google SecOps para encontrar o processo de linha de comandos específico que iniciou a chamada. Isto enriquece o alerta de risco de alto nível com contexto crítico e acionável.
Use períodos de correspondência longos de forma estratégica
As regras compostas configuradas com períodos de correspondência longos (por exemplo, 14 dias) são executadas com menor frequência. A respetiva latência elevada pode torná-los inadequados para alertas sensíveis ao tempo. Pondere usar estes períodos de longa duração para detetar atividade adversa lenta e persistente durante períodos prolongados.
Use deteções para visualização
Uma estratégia para gerir regras ruidosas é transformar o respetivo resultado numa visualização num painel de controlo. Esta abordagem não consome a quota de regras e pode transformar dados de volume elevado e baixa fidelidade em estatísticas valiosas.
Ao definir uma regra para detetar apenas e, em seguida, representar graficamente as respetivas deteções num widget do painel de controlo, pode acompanhar as tendências, identificar valores atípicos e obter uma vista de auditoria de alto nível da atividade sem ficar sobrecarregado com alertas individuais.
Exemplo: acompanhe o tratamento de dados PII
Uma regra acompanha sempre que um utilizador processa dados de PII confidenciais.
Em vez de emitir um alerta sempre, está definido para apenas detetar. Um widget do painel de controlo mostra, em seguida, que utilizadores estão a aproximar-se de um limite de saída diário (por exemplo, 10,000 bytes). Isto oferece uma vista de auditoria rápida do comportamento de risco sem gerar alertas constantes.
Exemplo: monitorize riscos de DLP específicos:
Um widget agrega as pontuações de risco de um subconjunto muito específico de regras de DLP. Isto permite que uma equipa específica (por exemplo, os administradores de prevenção contra a perda de dados [DLP]) monitorize apenas os riscos relevantes, filtrando o ruído de outros domínios de segurança.
Crie deteções compostas
O fluxo de trabalho seguinte descreve o percurso típico para criar uma regra composta. Para ver a sintaxe e os detalhes completos, consulte a sintaxe das regras compostas e os exemplos.
Defina o cenário de ameaça: defina a ameaça específica que quer detetar.
Crie ou identifique as regras de entrada: para cada fase do cenário de ameaça, crie ou identifique uma regra de entrada que detete a atividade específica.
Defina as condições de junção: determine a informação comum que associa as deteções das suas regras de entrada, como etiquetas de regras, variáveis ou campos de deteção.
Crie a regra composta: escreva a regra que carrega as deteções das regras de entrada.
Defina a secção
events, fazendo referência às regras de entrada pelo respetivo nome, ID ou etiqueta meta partilhada.Defina a secção
matchpara especificar a chave de junção e o intervalo de tempo para a correspondência.Defina a secção
conditionpara definir a condição que tem de ser cumprida para o alerta final ser acionado.
Teste e implemente a cadeia de regras: recomendamos que execute manualmente uma retrocaça para cada regra na sequência.
Quando usa a funcionalidade Regra de teste numa regra composta, esta é executada apenas em deteções pré-existentes que correspondam aos critérios de entrada da regra. Não executa automaticamente as regras subjacentes para gerar novas entradas para o teste, o que significa que não pode validar uma cadeia de regras completa numa única ação.
Para executar uma retrocaça para a sequência de regras, faça o seguinte:
Inicie manualmente uma retrocaça a partir da primeira regra na sequência.
Aguarde a conclusão.
Continue com a regra seguinte.
Veja as conclusões da deteção composta
Pode ver os resultados da deteção composta
na página Deteções. Um alerta é uma deteção composta quando a coluna Entradas
mostra Deteção como origem e a coluna Tipo de deteção
apresenta uma etiqueta Alerta com um número junto (por exemplo, Alert (3)).
Nota: se tiver o SIEM e o SOAR, também pode ver os resultados no separador Casos.
Otimize as deteções compostas
Recomendamos as seguintes práticas para criar regras compostas.
Otimize em função da latência
Para uma latência mínima nos pipelines de deteção, use regras de evento único sempre que possível, como para o acionador inicial. As regras compostas podem usar as respetivas deteções para fazer correlações mais complexas com outros eventos, entidades ou deteções, o que ajuda a reduzir a latência geral.
Use métodos eficientes para juntar deteções
Recomendamos a utilização de variáveis de resultados, metadados e variáveis de correspondência para juntar deteções. Estes métodos oferecem resultados mais determinísticos e fiáveis do que a utilização de amostras de eventos. As metacaracterísticas são particularmente flexíveis porque permitem categorizar regras para que uma regra composta possa segmentar qualquer deteção com essa etiqueta.
Por exemplo, se várias regras partilharem a mesma metacaracterística
tactic: exfiltration, pode ter uma regra composta que segmenta qualquer deteção
em que a etiqueta de tática tenha o valor exfiltration.
Melhore as deteções com a biblioteca de funções
Pode usar a biblioteca de funções YARA-L em pontos estratégicos numa regra composta para aumentar o sinal e adicionar uma lógica mais complexa.
Faça a gestão das atualizações de regras
Quando atualiza uma regra usada numa ou mais regras compostas, o sistema cria automaticamente uma nova versão da regra. As regras compostas usam automaticamente a nova versão. Recomendamos que teste toda a sequência de regras atualizada para verificar o comportamento pretendido.
Limitações
Ao conceber e implementar deteções compostas, tenha em atenção as seguintes limitações:
Regras compostas: o Google SecOps suporta uma profundidade máxima de 10 para regras compostas. A profundidade é o número de regras de uma regra base até à regra composta final.
Regras de apenas deteção: têm um período de correspondência máximo de 14 dias. No entanto, aplicam-se as seguintes condições:
Se a regra usar eventos carregados, dados do gráfico de entidades, tabelas de dados ou listas de referência, a janela de correspondência está limitada a 48 horas.
As regras apenas de deteção estão sujeitas a um limite de deteção diário de 10 000 deteções por regra.
Variáveis de resultados: cada regra está limitada a um máximo de 20 variáveis de resultados. Além disso, cada variável de resultado repetida está limitada a 25 valores.
Exemplos de eventos: apenas são armazenados 10 exemplos de eventos por variável de evento numa regra, como 10 para
$e1e 10 para$e2.
Para mais informações sobre os limites de deteção, consulte o artigo Limites de deteção.
O que se segue?
Para obter informações sobre como criar regras de deteção compostas, consulte o artigo sobre as regras de deteção compostas.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.