Visão geral das detecções compostas

Compatível com:

Este documento apresenta as detecções compostas e como elas podem melhorar os fluxos de trabalho de detecção de ameaças correlacionando saídas de várias regras.

As detecções compostas são geradas por regras que usam detecções de outras regras como entrada, combinadas com eventos, métricas ou indicadores de risco de entidade. Essas regras são combinadas com eventos, métricas ou sinais de risco de entidade para detectar ameaças complexas e de várias etapas que as regras individuais podem não identificar.

As detecções compostas ajudam a analisar eventos por meio de interações e acionadores de regras definidos. Isso melhora a precisão, reduz os falsos positivos e oferece uma visão abrangente das ameaças à segurança ao correlacionar dados de diferentes fontes e estágios de ataque.

Os conceitos a seguir definem os elementos básicos das regras compostas e esclarecem como elas funcionam nos fluxos de trabalho de detecção:

  • Regras compostas: usam detecções ou alertas (ou ambos) como entrada. Se quiser, enriqueça-os com eventos, métricas e uma ampla variedade de dados contextuais do gráfico de entidades, como dados de prevalência, inteligência de ameaças ou uma pontuação de risco de entidade. Essas regras sempre precisam ter uma seção de correspondência e podem fazer referência a metacampos, variáveis match e outcome de regras de entrada.

  • Detecção: saída gerada quando as condições de uma regra são atendidas.

  • Regras somente de detecção: regras compostas que usam apenas detecções ou alertas como entradas.

Quando usar detecções compostas

As detecções compostas podem ser úteis para alcançar as seguintes metas:

  • Correlacione os resultados de duas ou mais regras. Por exemplo, vincule uma detecção de "Malware baixado" a um alerta de beaconing de C2 subsequente do mesmo host.

  • Enriqueça os alertas com dados de eventos relacionados.

  • Reduza a fadiga de alertas acionando um alerta final apenas quando uma detecção ruidosa e de baixa confiança ocorrer várias vezes ou em combinação com outras atividades suspeitas.

  • Crie um alerta para um ataque complexo de vários estágios em que cada estágio já é identificado por uma regra própria.

Benefícios das detecções combinadas

As detecções compostas têm os seguintes benefícios:

  • Revelar ataques de várias etapas: os ataques cibernéticos geralmente são multifacetados e interconectados. A detecção combinada revela a narrativa mais ampla do ataque ao vincular eventos de segurança aparentemente isolados. Por exemplo, as detecções compostas podem identificar a sequência completa de um ataque, como uma violação inicial seguida por escalonamento de privilégios e exfiltração de dados.

  • Reduza a fadiga de alertas: as regras compostas consolidam e filtram alertas ruidosos, permitindo uma resposta mais focada. Essa abordagem ajuda a priorizar incidentes de alto impacto e reduzir a fadiga geral de alertas.

  • Aumentar a precisão da detecção: combine insights de eventos do Modelo Unificado de Dados (UDM), detecções de regras, contexto de entidade, descobertas da análise do comportamento de usuários e entidades (UEBA) e tabelas de dados para criar uma lógica de detecção mais precisa.

  • Simplifique a lógica complexa: divida cenários de detecção complexos em regras gerenciáveis, interconectadas e reutilizáveis para simplificar o desenvolvimento e a manutenção.

  • Usar em painéis: integre perfeitamente as detecções compostas como fontes de dados para painéis do Google SecOps. Você pode usá-los para criar visualizações que resumem padrões de ataque de várias etapas, facilitando a compreensão de riscos complexos.

Casos de uso e exemplos comuns

Esta seção lista alguns casos de uso comuns para detecções compostas.

Rastrear a atividade do usuário após o login

Um caso de uso principal focado em vincular o evento de login de um usuário a atividades suspeitas subsequentes. Uma regra padrão de vários eventos pode rastrear uma sequência curta, mas uma detecção combinada é melhor para criar um perfil de risco abrangente de toda a sessão de um usuário.

  • Meta: correlacionar um único evento, como um login de alto risco, com uma ampla variedade de atividades subsequentes de "sinal fraco" em um período mais longo, como um dia inteiro.

  • Exemplo: crie várias regras que gerem detecções de nível mais baixo. Em seguida, use uma regra combinada com uma janela de correspondência longa (por exemplo, 24 horas) para acionar um login inicial suspeito e correlacionar com qualquer uma das detecções a seguir do mesmo usuário:

    • Um usuário limpando o histórico da linha de comando.

    • A criação de uma nova conta de administrador local.

    • Um upload de dados grandes para um site pessoal do Cloud Storage.

Combinar com métricas de UEBA

Esse caso de uso aproveita as métricas de UEBA atuais como ponto de partida para uma detecção composta e encontrar comportamentos mais complexos e de longo prazo.

  • Meta: correlacionar um pico em uma métrica de UEBA com outra atividade anômala.

  • Exemplo:

    1. Uma regra da UEBA detecta um número excessivo de falhas de login para um usuário.

    2. Outra regra de UEBA detecta um grande número de bytes de saída do mesmo usuário.

    3. Uma detecção combinada vincula essas duas descobertas separadas da UEBA por um período de dias para identificar uma possível violação de conta seguida de roubo de dados.

Detectar tentativas de exfiltração de dados

Isso envolve correlacionar várias ações distintas do usuário que, quando combinadas, podem indicar uma tentativa de exfiltrar dados.

  • Meta: criar um perfil de tratamento de dados arriscado por um único usuário em vários dispositivos e ações.

  • Ações correlacionadas:

    • Fazer login em vários dispositivos (por exemplo, computador de casa e do trabalho).

    • Acessar mais fontes de dados do que o normal.

    • Baixar, imprimir e enviar dados por e-mail simultaneamente.

    • Contagem de quantos documentos classificados um usuário está tocando em um período.

    • Ter enviado uma carta de demissão.

Como as detecções compostas funcionam

Quando as regras atendem a condições predefinidas, elas geram detecções. Essas detecções podem incluir variáveis de resultado, que capturam dados ou estados de eventos específicos.

As regras compostas usam essas detecções de outras regras como parte das entradas. A avaliação pode ser baseada nas informações da seção de metadados, nas variáveis de resultado e nas variáveis de correspondência da regra original.

Com base nessa avaliação, você pode usar regras compostas para criar novas detecções que serão usadas como uma representação intermediária para investigação e alertas com uma regra subsequente. Isso ajuda a correlacionar vários fatores de diferentes detecções para identificar ameaças complexas.

Para mais informações sobre sintaxe e exemplos, consulte sintaxe de regras compostas e exemplos.

Defina sua estratégia

Antes de começar a criar regras combinadas, planeje sua estratégia para garantir que as novas regras sejam eficazes, eficientes e resolvam os problemas certos.

  1. Avalie sua estratégia de detecção atual. Revise as regras atuais para identificar aquelas que são muito ruidosas, geram um grande número de falsos positivos ou são muito complexas e difíceis de gerenciar.

  2. Determine os cenários específicos em que as regras combinadas podem agregar valor. Isso inclui detectar ataques de várias etapas, correlacionar vários alertas de baixa confiança em um único alerta de alta confiança ou enriquecer as detecções com contexto adicional de outras fontes de dados.

  3. Com base na sua avaliação, crie um plano de implementação. Decida quais regras ruidosas precisam ser refinadas, quais regras complexas precisam ser simplificadas e quais novas detecções de várias etapas precisam ser priorizadas.

Esse plano definido fornece um roteiro para criar regras compostas segmentadas e eficazes. Considere as seguintes estratégias de alto nível para aproveitar ao máximo as detecções combinadas e gerenciar restrições técnicas.

Selecione o método adequado

Antes de criar uma detecção combinada, se você puder alcançar o resultado necessário com outras alternativas. Analise se é possível identificar um padrão complexo com uma detecção de UEBA atual. Complicar demais uma detecção pode aumentar a sobrecarga de manutenção e consumir a cota de regras.

  • Use uma detecção composta quando: sua meta é correlacionar os resultados finais de duas ou mais regras diferentes e preexistentes. Isso conecta estágios conceitualmente separados de um ataque.

    Exemplo: correlacionar uma detecção de uma regra "Malware baixado" com uma detecção subsequente de uma regra "Beaconing de C2 detectado".

  • Use uma detecção de UEBA existente quando: você quiser descobrir quando um usuário ou dispositivo viola o padrão normal de atividade.

    Exemplo: detectar automaticamente que um usuário baixou 100 GB de dados hoje, quando normalmente ele baixa apenas 1 GB.

Gerenciar cotas de regras e pontuações de risco

Para gerenciar os recursos da sua organização, entenda como diferentes tipos de regras afetam sua cota de regras.

  • As regras selecionadas não são contabilizadas na sua cota de regras personalizadas.

  • As regras compostas e personalizadas de vários eventos contam para sua cota.

É possível usar uma detecção selecionada definindo-a como "detectar somente". Isso permite que a regra selecionada faça a detecção inicial ampla sem gerar alertas. Em seguida, use uma regra composta para aplicar uma lógica específica a essas descobertas, oferecendo mais valor e gerenciando sua cota de forma estratégica.

Entender a diferença entre risco e contexto

Ao criar uma lógica de detecção, diferencie as regras que avaliam o risco daquelas que fornecem contexto.

O risco é a avaliação de quão perigoso é um conjunto de atividades. Uma regra projetada para risco geralmente agrega vários eventos ou detecções contextuais para fazer um julgamento. Por exemplo, um único login com falha fornece contexto, mas um grande número deles indica o risco de um ataque de força bruta.

Contexto se refere aos detalhes factuais de um evento. Uma regra criada para contexto enriquece um evento com detalhes de outro. Por exemplo, enquanto uma regra pode detectar um login de usuário bem-sucedido, uma regra contextual fornece o contexto crucial de que esse login veio de um país novo e incomum.

Exemplo: uma detecção inicial pode alertar sobre um risco potencial, como uma chamada de DNS para um domínio malicioso. Uma regra combinada correlaciona esse alerta com registros de eventos no Google SecOps para encontrar o processo específico da linha de comando que iniciou a chamada. Isso enriquece o alerta de risco de alto nível com um contexto crítico e prático.

Use janelas de correspondência longas de forma estratégica

As regras combinadas configuradas com janelas de correspondência longas (por exemplo, 14 dias) são executadas com menos frequência. A alta latência pode tornar esses alertas inadequados para situações que exigem rapidez. Considere usar essas janelas de longa duração para detectar atividades adversárias lentas e persistentes por períodos prolongados.

Usar detecções para visualização

Uma estratégia para gerenciar regras ruidosas é transformar a saída delas em uma visualização em um painel. Essa abordagem não consome a cota de regras e pode transformar dados de alto volume e baixa fidelidade em insights valiosos.

Ao definir uma regra para detectar apenas e depois representar as detecções em um widget do painel, você pode acompanhar tendências, identificar outliers e ter uma visão geral da auditoria da atividade sem ser sobrecarregado por alertas individuais.

Exemplo: rastrear o tratamento de dados PII

Uma regra rastreia sempre que um usuário processa dados sensíveis de PII. Em vez de alertar sempre, ele está configurado para detectar apenas. Um widget do painel mostra quais usuários estão se aproximando de um limite diário de saída (por exemplo, 10,000 bytes). Isso fornece uma visão rápida de auditoria do comportamento de risco sem gerar alertas constantes.

Exemplo: monitorar riscos específicos de DLP:

Um widget agrega os níveis de risco de um subconjunto muito específico de regras da DLP. Isso permite que uma equipe específica (por exemplo, os administradores de prevenção contra perda de dados [DLP]) monitore apenas os riscos relevantes, filtrando o ruído de outros domínios de segurança.

Criar detecções compostas

O fluxo de trabalho a seguir descreve a jornada típica para criar uma regra composta. Para conferir a sintaxe e os detalhes completos, consulte sintaxe de regras compostas e exemplos.

  1. Defina o cenário de ameaça: defina a ameaça específica que você quer detectar.

  2. Crie ou identifique as regras de entrada: para cada etapa do cenário de ameaça, crie ou identifique uma regra de entrada que detecte a atividade específica.

  3. Defina as condições de junção: determine a informação comum que vincula as detecções das suas regras de entrada, como rótulos de regras, variáveis ou campos de detecção.

  4. Criar a regra combinada: escreva a regra que ingere as detecções das regras de entrada.

    • Defina a seção events, referenciando as regras de entrada pelo nome, ID ou um metarrótulo compartilhado.

    • Defina a seção match para especificar a chave de junção e o período da correspondência.

    • Defina a seção condition para definir a condição que precisa ser atendida para que o alerta final seja acionado.

  5. Teste e implante a cadeia de regras: recomendamos executar manualmente uma retrocaça para cada regra na sequência.

    Quando você usa o recurso Testar regra em uma regra combinada, ele só é executado em detecções preexistentes que correspondem aos critérios de entrada da regra. Ele não executa automaticamente as regras subjacentes para gerar novas entradas para o teste, o que significa que não é possível validar uma cadeia de regras inteira em uma única ação.

    Para executar uma retrocaça para a sequência de regras, faça o seguinte:

    1. Inicie manualmente uma retrocaça pela primeira regra da sequência.

    2. Aguarde a conclusão.

    3. Continue com a próxima regra.

Ver descobertas de detecção composta

É possível ver os resultados da detecção composta na página Detecções. Um alerta é uma detecção composta quando a coluna Entradas mostra Detecção como uma origem e a coluna Tipo de detecção mostra um rótulo Alerta com um número ao lado (por exemplo, Alert (3)).

Observação: se você tiver SIEM e SOAR, também poderá ver os resultados na guia Casos.

Otimizar detecções compostas

Recomendamos as seguintes práticas para criar regras compostas.

Otimizar para latência

Para minimizar a latência nos pipelines de detecção, use regras de evento único sempre que possível, como no acionador inicial. As regras compostas podem usar as detecções para realizar correlações mais complexas com outros eventos, entidades ou detecções, o que ajuda a reduzir a latência geral.

Use métodos eficientes para unir detecções

Recomendamos usar variáveis de resultado, metarrótulos e variáveis de correspondência para unir detecções. Esses métodos fornecem resultados mais deterministas e confiáveis do que o uso de amostras de eventos. Os metarótulos são particularmente flexíveis porque permitem categorizar regras para que uma regra composta possa segmentar qualquer detecção com esse rótulo.

Por exemplo, se várias regras compartilharem o mesmo metarrótulo tactic: exfiltration, você poderá ter uma regra combinada que segmenta qualquer detecção em que o rótulo de tática tenha o valor exfiltration.

Melhorar as detecções com a biblioteca de funções

É possível usar a biblioteca de funções YARA-L em pontos estratégicos de uma regra composta para aumentar o indicador e adicionar uma lógica mais complexa.

Gerenciar atualizações de regras

Quando você atualiza uma regra usada em uma ou mais regras compostas, o sistema cria automaticamente uma nova versão dela. As regras compostas usam automaticamente a nova versão. Recomendamos testar toda a sequência de regras atualizada para verificar o comportamento pretendido.

Limitações

Ao projetar e implementar detecções compostas, considere as seguintes limitações:

  • Regras compostas: o Google SecOps oferece suporte a uma profundidade máxima de 10 para regras compostas. A profundidade é o número de regras de uma regra básica até a regra composta final.

  • Regras somente de detecção: têm uma janela de correspondência máxima de 14 dias. No entanto, as seguintes condições se aplicam:

    • Se a regra usar eventos ingeridos, dados de gráfico de entidades, tabelas de dados ou listas de referência, a janela de correspondência será limitada a 48 horas.

    • As regras de apenas detecção estão sujeitas a um limite diário de 10.000 detecções por regra.

  • Variáveis de resultado: cada regra é limitada a um máximo de 20 variáveis de resultado. Além disso, cada variável de resultado repetida é limitada a 25 valores.

  • Amostras de eventos: apenas 10 amostras de eventos são armazenadas por variável de evento em uma regra, como 10 para $e1 e 10 para $e2.

Para mais informações sobre limites de detecção, consulte Limites de detecção.

A seguir

Para informações sobre como criar regras de detecção compostas, consulte regras de detecção compostas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.