Ringkasan kategori aturan gabungan

Dokumen ini memberikan ringkasan set aturan komposit, sumber data yang diperlukan, dan opsi konfigurasi untuk menyesuaikan pemberitahuan yang dihasilkan. Set aturan ini memberikan pemberitahuan dengan fidelitas yang lebih tinggi. Mereka menetapkan tingkat keparahan, keyakinan, risiko, dan prioritas di seluruh konten deteksi yang diaktifkan untuk Google Security Operations bagi lingkungan endpoint dan Google Cloud.

Menjelaskan kumpulan aturan

Kategori Aturan Gabungan mencakup kumpulan aturan berikut:

• Aturan komposit endpoint
• Aturan komposit cloud

Memahami aturan komposit endpoint

Aturan ini mengorelasikan temuan dari beberapa aturan deteksi yang terkait dengan endpoint yang sama selama jangka waktu yang ditentukan. Tingkat keyakinan dan risiko ditentukan oleh karakteristik spesifik dari deteksi tersebut.

Memahami aturan komposit Cloud

Aturan ini mengorelasikan temuan dari beberapa aturan deteksi yang terkait dengan akun atau resourceGoogle Cloud yang sama selama jangka waktu yang ditentukan. Google Cloud Tingkat keyakinan dan risiko didasarkan pada karakteristik spesifik deteksi tersebut.

Perangkat dan jenis log yang didukung

Aturan ini terutama mengandalkan Cloud Audit Logs, log deteksi dan respons endpoint, serta log proxy jaringan. UDM Google SecOps secara otomatis menormalisasi sumber log ini. Kategori berikut menguraikan sumber log paling penting yang diperlukan agar konten komposit yang dikurasi berfungsi secara efektif:

Sumber log aturan komposit endpoint

• Ancaman Linux
• Ancaman MacOS
• Ancaman Windows

Google Cloud Sumber log aturan komposit

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Sumber log aturan endpoint danGoogle Cloud

• Praktik Kecerdasan Ancaman (ATI)
• Ancaman Chrome Enterprise
• Analisis Risiko untuk UEBA

Untuk mengetahui daftar lengkap deteksi pilihan yang tersedia, lihat Menggunakan deteksi pilihan. Hubungi perwakilan Google SecOps Anda jika Anda perlu mengaktifkan sumber deteksi menggunakan mekanisme yang berbeda.

Google SecOps menyediakan parser default yang mem-parsing dan menormalisasi log mentah untuk membuat rekaman UDM dengan data yang diperlukan oleh set aturan deteksi komposit dan pilihan. Untuk mengetahui daftar semua sumber data yang didukung Google SecOps, lihat Parser default yang didukung.

Mengubah aturan dalam kumpulan aturan

Anda dapat menyesuaikan perilaku aturan dalam set aturan untuk memenuhi kebutuhan organisasi Anda. Sesuaikan cara kerja setiap aturan dengan memilih salah satu mode deteksi berikut, dan konfigurasi apakah aturan menghasilkan pemberitahuan.

• Luas: mendeteksi perilaku yang berpotensi berbahaya atau tidak normal, tetapi dapat menghasilkan lebih banyak positif palsu karena sifat umum aturan.

Untuk mengubah setelan, lakukan hal berikut:

1. Dari daftar aturan, centang kotak di samping setiap aturan yang ingin Anda ubah.

2. Konfigurasi setelan Status dan Pemberitahuan untuk aturan sebagai berikut:

   • Status: menerapkan mode (Presisi atau Luas) ke aturan yang dipilih. Setel ke Enabled untuk mengaktifkan status aturan ke mode.

   • Pemberitahuan: mengontrol apakah aturan menghasilkan pemberitahuan di halaman Pemberitahuan. Setel ke Aktif untuk mengaktifkan pemberitahuan.

Menyesuaikan notifikasi dari set aturan

Anda dapat mengurangi jumlah pemberitahuan yang dihasilkan oleh aturan komposit menggunakan pengecualian aturan.

Pengecualian aturan menentukan kriteria yang mencegah peristiwa tertentu dievaluasi oleh aturan atau set aturan. Gunakan pengecualian untuk mengurangi volume deteksi. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.