Visão geral da categoria de regras compostas

Este documento apresenta uma visão geral dos conjuntos de regras compostas, das fontes de dados necessárias e das opções de configuração para ajustar os alertas gerados. Esses conjuntos de regras oferecem alertas de maior fidelidade. Eles estabelecem níveis de gravidade, confiança, risco e prioridade em todo o conteúdo de detecção ativado pelo Google Security Operations para ambientes de Google Cloude endpoints.

Descrever conjuntos de regras

A categoria "Regras compostas" inclui os seguintes conjuntos de regras:

• Regras compostas de endpoint
• Regras compostas do Cloud

Entender as regras compostas de endpoint

Essas regras correlacionam descobertas de várias regras de detecção relacionadas ao mesmo endpoint em um período definido. Os níveis de confiança e risco são determinados por características específicas dessas detecções.

Entender as regras compostas do Cloud

Essas regras correlacionam descobertas de várias regras de detecção associadas à mesma contaGoogle Cloud ou ao mesmo recurso Google Cloud em um período definido. Os níveis de confiança e risco são baseados em características específicas dessas detecções.

Dispositivos e tipos de registros aceitos

Essas regras dependem principalmente dos registros de auditoria do Cloud, de detecção e resposta de endpoints e de proxy de rede. O UDM do Google SecOps normaliza automaticamente essas origens de registros. As categorias a seguir descrevem as fontes de registros mais importantes necessárias para que o conteúdo composto selecionado funcione de maneira eficaz:

Fontes de registros de regras compostas de endpoint

• Ameaças do Linux
• Ameaças do macOS
• Ameaças do Windows

Google Cloud Fontes de registro de regras compostas

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud e fontes de registros de regras de endpoint

• Applied Threat Intelligence (ATI)
• Ameaças do Chrome Enterprise
• Análise de risco para UEBA

Para uma lista completa das detecções selecionadas disponíveis, consulte Usar detecções selecionadas. Entre em contato com seu representante do Google SecOps se precisar ativar as fontes de detecção usando um mecanismo diferente.

O Google SecOps fornece analisadores padrão que analisam e normalizam registros brutos para criar registros UDM com os dados necessários para grupos de regras de detecção compostos e selecionados. Para uma lista de todas as fontes de dados compatíveis com o Google SecOps, consulte Analistas padrão compatíveis.

Modificar regras em um conjunto de regras

É possível personalizar o comportamento das regras em um conjunto para atender às necessidades da sua organização. Ajuste o funcionamento de cada regra selecionando um dos seguintes modos de detecção e configure se as regras geram alertas.

• Ampla:detecta comportamentos potencialmente maliciosos ou anômalos, mas pode gerar mais falsos positivos devido à natureza geral da regra.

Para modificar as configurações, faça o seguinte:

1. Na lista de regras, marque a caixa de seleção ao lado de cada regra que você quer modificar.

2. Configure as opções Status e Alertas para as regras da seguinte maneira:

   • Status:aplica o modo (Preciso ou Abrangente) à regra selecionada. Defina como Enabled para ativar o status da regra no modo.

   • Alertas:controla se a regra gera um alerta na página Alertas. Defina como Ativado para ativar os alertas.

Ajustar alertas de conjuntos de regras

É possível reduzir o número de alertas gerados por uma regra combinada usando exclusões de regra.

Uma exclusão de regra especifica critérios que impedem que determinados eventos sejam avaliados por uma regra ou um conjunto de regras. Use exclusões para reduzir o volume de detecção. Consulte Configurar exclusões de regras para mais informações.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.