Übersicht über die Kategorie „Zusammengesetzte Regeln“

Unterstützt in:

Dieses Dokument bietet einen Überblick über die zusammengesetzten Regelsätze, die erforderlichen Datenquellen und die Konfigurationsoptionen zum Optimieren der von ihnen generierten Benachrichtigungen. Diese Regelsätze ermöglichen genauere Benachrichtigungen. Sie legen Schweregrad-, Konfidenz-, Risiko- und Prioritätsstufen für alle Google Security Operations-fähigen Erkennungsinhalte für Google Cloud- und Endpunktumgebungen fest.

Regelsätze beschreiben

Die Kategorie „Zusammengesetzte Regeln“ umfasst die folgenden Regelsätze:

Regeln für zusammengesetzte Endpunkte

Diese Regeln korrelieren Ergebnisse aus mehreren Erkennungsregeln, die sich über einen definierten Zeitraum auf denselben Endpunkt beziehen. Konfidenz- und Risikostufen werden durch bestimmte Merkmale dieser Erkennungen bestimmt.

Zusammengesetzte Cloud-Regeln

Diese Regeln korrelieren Ergebnisse aus mehreren Erkennungsregeln, die einemGoogle Cloud -Konto oder einer Google Cloud -Ressource über einen definierten Zeitraum zugeordnet sind. Konfidenz- und Risikostufen basieren auf bestimmten Merkmalen dieser Erkennungen.

Unterstützte Geräte und Protokolltypen

Diese Regeln basieren hauptsächlich auf Cloud-Audit-Logs, Logs zur Erkennung und Reaktion von Endpunkten und Netzwerk-Proxy-Logs. Google SecOps UDM normalisiert diese Logquellen automatisch. In den folgenden Kategorien werden die wichtigsten Logquellen beschrieben, die für die effektive Funktion der zusammengestellten Composite-Inhalte erforderlich sind:

Logquellen für zusammengesetzte Endpunktregeln

Google Cloud Zusammengesetzte Regelprotokollquellen

Google Cloud und Endpunktregelprotokollquellen

Eine vollständige Liste der verfügbaren kuratierten Erkennungen finden Sie unter Kuratierte Erkennungen verwenden. Wenden Sie sich an Ihren Google SecOps-Ansprechpartner, wenn Sie die Erkennungsquellen mit einem anderen Mechanismus aktivieren müssen.

Google SecOps bietet Standardparser, mit denen Rohlogs geparst und normalisiert werden, um UDM-Datensätze mit Daten zu erstellen, die für zusammengesetzte und kuratierte Erkennungsregelsätze erforderlich sind. Eine Liste aller von Google SecOps unterstützten Datenquellen finden Sie unter Unterstützte Standardparser.

Regeln in einem Regelsatz ändern

Sie können das Verhalten von Regeln in einem Regelsatz an die Anforderungen Ihrer Organisation anpassen. Passen Sie die Funktionsweise der einzelnen Regeln an, indem Sie einen der folgenden Erkennungsmodi auswählen und festlegen, ob durch die Regeln Benachrichtigungen generiert werden sollen.

  • Allgemein:Erkennt potenziell schädliches oder anomales Verhalten, kann aber aufgrund der allgemeinen Natur der Regel mehr falsch positive Ergebnisse liefern.

So ändern Sie die Einstellungen:

  1. Klicken Sie in der Liste der Regeln das Kästchen neben jeder Regel an, die Sie ändern möchten.

  2. Konfigurieren Sie die Einstellungen für Status und Benachrichtigungen für die Regeln so:

    • Status:Wendet den Modus (Genau oder Weit gefasst) auf die ausgewählte Regel an. Legen Sie Enabled fest, um den Status der Regel für den Modus zu aktivieren.

    • Benachrichtigungen:Steuert, ob die Regel eine Benachrichtigung auf der Seite Benachrichtigungen generiert. Setzen Sie den Wert auf Ein, um Benachrichtigungen zu aktivieren.

Benachrichtigungen aus Regelsätzen anpassen

Sie können die Anzahl der von einer zusammengesetzten Regel generierten Benachrichtigungen mithilfe von Regelausschlüssen reduzieren.

Mit einem Regelausschluss werden Kriterien angegeben, die verhindern, dass bestimmte Ereignisse von einer Regel oder einem Regelsatz ausgewertet werden. Mit Ausschlüssen lässt sich das Erkennungsvolumen reduzieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten