复合规则类别概览

本文档概述了复合规则集、所需的数据源，以及用于调整其生成的提醒的配置选项。这些规则集可提供更高保真度的提醒。它们为 Google Cloud和端点环境的所有启用 Google Security Operations 的检测内容设置严重程度、置信度、风险和优先级。

描述规则集

“复合规则”类别包含以下规则集：

• 端点复合规则
• 云复合规则

了解端点复合规则

这些规则会在指定时间段内关联与同一端点相关的多条检测规则的发现结果。置信度和风险级别由这些检测的特定特征决定。

了解 Cloud 复合规则

这些规则会在指定时间段内，将与同一Google Cloud 账号或 Google Cloud 资源关联的多个检测规则的发现结果相关联。置信度和风险级别基于这些检测的特定特征。

支持的设备和日志类型

这些规则主要依赖于 Cloud Audit Logs、端点检测和响应日志以及网络代理日志。Google SecOps UDM 会自动对这些日志源进行归一化处理。以下类别概述了精选的复合内容有效运行所需的最重要日志来源：

端点复合规则日志来源

• Linux 威胁
• macOS 威胁
• Windows 威胁

Google Cloud 复合规则日志来源

• Google Cloud
• AWS
• Azure
• Office365
• Okta

Google Cloud 和端点规则日志源

• 实用威胁情报 (ATI)
• Chrome 企业版威胁
• UEBA 的风险分析

如需查看可用的精选检测的完整列表，请参阅使用精选检测。如果您需要使用其他机制启用检测来源，请与您的 Google SecOps 代表联系。

Google SecOps 提供默认解析器，用于解析和规范化原始日志，以创建包含复合检测规则集和精选检测规则集所需数据的 UDM 记录。如需查看 Google SecOps 支持的所有数据源的列表，请参阅支持的默认解析器。

修改规则集中的规则

您可以自定义规则集内规则的行为，以满足组织的需求。选择以下任一检测模式，并配置规则是否生成提醒，以调整每条规则的运作方式。

• 宽泛：检测到可能具有恶意或异常的行为，但由于规则的通用性，可能会产生更多假正例。

如需修改设置，请执行以下操作：

1. 在规则列表中，选中要修改的每条规则旁边的复选框。

2. 按如下方式配置规则的状态和提醒设置：

   • 状态：将模式（精确或广泛）应用于所选规则。设置为 Enabled 可将规则的状态激活为相应模式。

   • 提醒：控制规则是否在提醒页面上生成提醒。设置为开启可启用提醒。

调整规则集中的提醒

您可以使用规则排除项来减少复合规则生成的提醒数量。

规则排除对象用于指定防止规则或规则集评估某些事件的条件。使用排除对象来减少检测量。如需了解详情，请参阅配置规则排除对象。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。