複合偵測項目總覽

支援的國家/地區:

本文將介紹複合式偵測,以及如何透過關聯多項規則的輸出內容,強化威脅偵測工作流程。

複合式偵測結果是由規則產生,這些規則會使用其他規則的偵測結果做為輸入內容,並結合事件、指標或實體風險信號。接著,系統會將這些規則與事件、指標或實體風險信號合併,偵測個別規則可能錯過的多階段複雜威脅。

複合式偵測功能可透過定義的規則互動和觸發條件分析事件。這項功能會關聯不同來源和攻擊階段的資料,提高準確度、減少誤報,並提供安全威脅的全面檢視畫面。

下列概念定義複合規則的建構區塊,並說明這些規則在偵測工作流程中的運作方式:

  • 複合規則:使用偵測結果或快訊 (或兩者) 做為輸入內容。您也可以選擇使用實體圖表中的事件、指標和各種情境資料 (例如普遍程度資料、威脅情報或實體風險評分) 擴充這些資料。這些規則一律須包含相符區段,且可參照輸入規則中的中繼欄位、match 變數和 outcome 變數。

  • 偵測結果:符合規則條件時產生的輸出內容。

  • 僅限偵測的規則:僅使用偵測或快訊做為輸入內容的複合規則。

使用複合式偵測的時機

複合式偵測有助於達成下列目標:

  • 關聯兩項以上規則的結果 (例如,將「偵測到已下載惡意軟體」與來自同一主機的後續 C2 訊號警報連結)。

  • 使用相關事件資料擴充快訊。

  • 如果偵測到多次有雜訊、信心度低的偵測結果,或偵測到其他可疑活動,系統才會觸發最終警報,藉此減少過多警報。

  • 針對複雜的多階段攻擊建立快訊,其中每個階段都已由各自的規則識別。

複合偵測項目的優點

複合式偵測具有下列優點:

  • 揭露多階段攻擊:網路攻擊通常是多面向且相互關聯的。複合式偵測功能會連結看似孤立的安全性事件,揭露更廣泛的攻擊敘事。舉例來說,複合式偵測可以識別完整的攻擊序列,例如初始入侵,接著是權限提升和資料外洩。

  • 減少警報疲乏:複合規則會整合及篩除雜訊警報,讓您更專注於應變。這種做法有助於優先處理影響重大的事件,並減少整體警報疲乏。

  • 提高偵測準確度:整合來自統一資料模型 (UDM) 事件、規則偵測、實體脈絡、使用者和實體行為分析 (UEBA) 結果,以及資料表的洞察資料,建構更準確的偵測邏輯。

  • 簡化複雜的邏輯:將複雜的偵測情境分解為可管理、互連且可重複使用的規則,簡化開發和維護作業。

  • 用於資訊主頁:將複合偵測項目做為 Google SecOps 資訊主頁的資料來源,輕鬆整合。您可以運用這些內容建立視覺化摘要,呈現多階段攻擊模式,進而輕鬆瞭解複雜的風險。

常見用途和範例

本節列出複合式偵測的一些常見用途。

追蹤登入後的活動

主要用途是將使用者的登入事件與後續可疑活動連結。標準多事件規則可追蹤短序列,但複合式偵測更適合用來建構使用者整個工作階段的全面風險設定檔。

  • 目標:將單一事件 (例如高風險登入) 與一段時間內 (例如一整天) 發生的一系列「微弱信號」活動建立關聯。

  • 範例:建立多項規則,產生較低層級的偵測結果。 接著,使用比對時間範圍較長 (例如 24 小時) 的複合規則,在初始可疑登入時觸發,並將其與同一使用者下列任一偵測結果建立關聯:

    • 使用者清除指令列記錄。

    • 建立新的本機管理員帳戶。

    • 將大量資料上傳至個人 Cloud Storage 網站。

與 UEBA 指標合併

這個用途是利用現有的 UEBA 指標做為複合式偵測的起點,找出更複雜的長期行為。

  • 目標:將 UEBA 指標的尖峰與其他異常活動建立關聯。

  • 範例

    1. UEBA 規則偵測到使用者登入失敗次數過多。

    2. 另一項 UEBA 規則偵測到同一位使用者有大量輸出位元組。

    3. 複合式偵測會在幾天內連結這兩項獨立的 UEBA 發現項目,找出可能遭駭的帳戶,以及後續的資料竊取行為。

偵測資料竊取行為

這包括關聯多個不同的使用者動作,這些動作合併後可能表示有人試圖外洩資料。

  • 目標:建立單一使用者在多部裝置和多項動作中處理風險資料的設定檔。

  • 關聯動作

    • 從多部裝置登入 (例如家用電腦和工作電腦)。

    • 存取的資料來源比平常多。

    • 同時下載、列印及透過電子郵件傳送資料。

    • 計算使用者在一段時間內觸及的機密文件數量。

    • 已遞交辭職信。

複合偵測項目的運作方式

規則符合預先定義的條件時,就會產生偵測項目。這些偵測結果可視需要包含結果變數,擷取特定資料或事件狀態。

複合規則會將其他規則的偵測結果做為輸入內容的一部分。 評估依據可以是原始規則的 meta 區段、結果變數和相符變數中的資訊。

根據這項評估結果,您可以使用複合規則建立新的偵測項目,做為調查的中間表示法,並透過後續規則發出快訊。這有助於關聯不同偵測結果中的多個因素,以識別複雜的威脅。

如要進一步瞭解語法和範例,請參閱複合規則語法範例

定義策略

開始建立複合規則前,請先規劃策略,確保新規則有效、效率高,且能解決正確的問題。

  1. 評估目前的偵測策略。檢查現有規則,找出過於雜亂、產生大量誤判,或過於複雜而難以管理的規則。

  2. 判斷複合規則可提供價值的特定情境。 包括偵測多階段攻擊、將多個低信賴度快訊相互關聯,整合成單一高信賴度快訊,或是從其他資料來源取得額外背景資訊,進一步豐富偵測結果。

  3. 根據評估結果,建立導入計畫。決定要修正哪些雜訊規則、簡化哪些複雜規則,以及優先處理哪些新的多階段偵測。

這項計畫可做為指引,協助您建立目標明確且有效的複合規則。請參考下列高階策略,在管理技術限制的同時,盡可能發揮複合式偵測的最大價值。

選取適當的方法

建立複合式偵測前,請先確認是否能透過其他替代方案達成所需結果。分析是否能透過現有的 UEBA 偵測功能,找出複雜的模式。過於複雜的偵測機制可能會增加維護成本,並耗用規則配額。

  • 使用複合式偵測時機:您的目標是關聯兩個或多個不同現有規則的最終結果。這會連結概念上不同的攻擊階段。

    範例:將「偵測到惡意軟體下載」規則的偵測結果,與「偵測到 C2 訊號」規則的後續偵測結果建立關聯。

  • 使用現有的 UEBA 偵測功能:找出使用者或裝置何時打破正常活動模式。

    示例:自動偵測到使用者今天下載了 100 GB 的資料,但他們通常只會下載 1 GB。

管理規則配額和風險分數

如要管理機構的資源,請瞭解不同規則類型對規則配額的影響。

  • 精選規則不會計入自訂規則配額。

  • 複合規則和自訂多重事件規則會計入配額。

您可以將偵測模式設為「僅偵測」,藉此使用精選偵測功能。這樣一來,經過精心設計的規則就能執行初步的廣泛偵測,但不會產生警告。接著,您可以使用複合規則,對這些發現套用特定邏輯,在策略性地管理配額時提供更多價值。

瞭解風險與情境之間的差異

設計偵測邏輯時,請區分評估風險的規則和提供脈絡的規則。

風險是指評估一組活動的危險程度。專為風險設計的規則通常會彙整多個情境事件或偵測結果,以做出判斷。舉例來說,單次登入失敗可提供背景資訊,但如果登入失敗次數過多,則表示有遭到暴力破解攻擊的風險。

所謂的「背景資訊」是指事件的相關事實細節。這項規則專為情境設計,可從其他事件擷取詳細資料,並用於豐富某個事件。舉例來說,規則可以偵測到使用者成功登入,但情境規則會提供重要情境資訊,指出這次登入來自新的異常國家/地區。

範例:初步偵測結果會提醒您潛在風險,例如對惡意網域的 DNS 呼叫。複合規則接著會將該快訊與 Google SecOps 中的事件記錄相互關聯,找出啟動呼叫的特定指令列程序。這項功能會提供重要且可行的背景資訊,讓高階風險快訊更加豐富。

善用較長的比對間隔

如果複合規則設定較長的比對時間範圍 (例如 14 天),執行頻率就會較低。由於延遲時間較長,因此不適合用於時間敏感型警報。建議您使用這些時間範圍較長的視窗,偵測長期緩慢且持續的敵意活動。

使用偵測結果進行視覺化

管理雜亂規則的策略之一,是將規則的輸出內容轉換為資訊主頁上的視覺化內容。這個方法不會耗用規則配額,還能將大量低精確度資料轉換為實用洞察資料。

只要設定規則,讓系統只偵測活動,然後在資訊主頁小工具中繪製偵測結果,您就能追蹤趨勢、找出離群值,並取得活動的高階稽核檢視畫面,而不會被個別快訊淹沒。

範例:追蹤 PII 資料處理作業

規則會追蹤使用者每次處理機密 PII 資料的行為。系統只會偵測,不會每次都發出警報。資訊主頁小工具隨即會顯示哪些使用者即將達到每日輸出上限 (例如 10,000 位元組)。這樣一來,您就能快速稽核高風險行為,不必不斷產生快訊。

範例:監控特定 DLP 風險

這個小工具會匯總一組非常特定的資料遺失防護規則的風險分數。這樣一來,特定團隊 (例如資料遺失防護 (DLP) 管理員) 就能只監控相關風險,並過濾其他安全領域的干擾。

建立複合偵測項目

以下工作流程說明建立複合規則的一般歷程。如需完整語法和詳細資料,請參閱複合規則語法範例

  1. 定義威脅情境:定義要偵測的特定威脅。

  2. 建立或找出輸入規則:針對威脅情境的每個階段,建立或找出可偵測特定活動的輸入規則。

  3. 定義彙整條件:找出可連結輸入規則偵測結果的共同資訊,例如規則標籤、變數或偵測欄位。

  4. 建立複合規則:編寫規則,從輸入規則擷取偵測結果。

    • 定義 events 區段,並依名稱、ID 或共用中繼標籤參照輸入規則。

    • 定義 match 區段,指定比對的彙整鍵和時間範圍。

    • 定義 condition 區段,設定最終快訊觸發時必須符合的條件。

  5. 測試及部署規則鏈:建議您手動為序列中的每項規則執行回溯搜尋。

    在複合規則中使用「測試規則」功能時,系統只會針對符合規則輸入條件的現有偵測結果執行測試。系統不會自動執行基礎規則,為測試產生新輸入內容,因此您無法透過單一動作驗證整個規則鏈。

    如要對規則序列執行回溯搜尋,請按照下列步驟操作:

    1. 從序列中的第一條規則手動啟動回溯搜尋。

    2. 等待作業完成。

    3. 繼續下一個規則。

查看複合偵測發現項目

您可以在「偵測項目」頁面查看複合偵測結果。如果「輸入」資料欄顯示「偵測」做為來源,且「偵測類型」資料欄顯示「警示」標籤,旁邊附有數字 (例如 Alert (3)),則表示偵測結果為複合警示。

注意:如果您同時擁有 SIEM 和 SOAR,也可以在「案件」分頁中查看結果

最佳化複合偵測項目

建議您採用下列做法建立複合規則。

針對延遲時間進行最佳化

如要盡量縮短偵測管道的延遲時間,請盡可能使用單一事件規則,例如用於初始觸發程序。複合規則可使用偵測結果,與其他事件、實體或偵測結果執行更複雜的關聯,有助於縮短整體延遲時間。

使用有效方法加入偵測結果

建議使用結果變數、中繼標籤和比對變數來加入偵測結果。相較於使用事件樣本,這些方法可提供更具決定性且可靠的結果。中繼標籤特別靈活,因為您可以分類規則,讓複合規則以該標籤為目標,偵測任何內容。

舉例來說,如果多項規則共用相同的 meta 標籤 tactic: exfiltration,您可以建立複合規則,針對策略標籤值為 exfiltration 的任何偵測結果。

使用函式庫提升偵測成效

您可以在複合規則的策略點使用 YARA-L 函式庫,增加信號並新增更複雜的邏輯。

管理規則更新

更新一或多項複合規則中使用的規則時,系統會自動建立新版規則。複合規則會自動使用新版本。建議測試整個更新後的規則序列,確認是否符合預期行為。

限制

設計及實作複合式偵測時,請考量下列限制:

  • 複合規則:Google SecOps 支援複合規則,最多可達 10 層。深度是指從基本規則到最終複合規則的規則數量。

  • 僅供偵測的規則:比對視窗最長為 14 天。但須符合下列條件:

    • 如果規則使用擷取的事件、實體圖形資料、資料表或參照清單,比對時間範圍會限制在 48 小時內。

    • 僅偵測規則的每日偵測次數上限為每項規則 10,000 次。

  • 結果變數:每項規則最多可有 20 個結果變數。此外,每個重複的結果變數最多只能有 25 個值。

  • 事件樣本:每個事件變數在規則中只會儲存 10 個事件樣本,例如 $e1 10 個,$e2 10 個。

如要進一步瞭解偵測限制,請參閱「偵測限制」一節。

後續步驟

如要瞭解如何建立複合式偵測規則,請參閱複合式偵測規則

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。