複合規則類別總覽

支援的國家/地區:

本文將概要說明複合規則集、必要資料來源,以及用於調整複合規則集所產生快訊的設定選項。這些規則集可提供更高精確度的快訊。這些規則會為所有啟用 Google Security Operations 的偵測內容,建立嚴重程度、信心、風險和優先順序等級,適用於 Google Cloud和端點環境。

說明規則集

「複合規則」類別包含下列規則集:

瞭解端點複合規則

這些規則會比對多項偵測規則的發現項目,這些規則與定義時間範圍內的相同端點有關。信賴度和風險等級取決於這些偵測結果的特定特徵。

瞭解 Cloud 複合規則

這些規則會關聯在特定時間範圍內,與相同Google Cloud 帳戶或 Google Cloud 資源相關聯的多個偵測規則所發現的結果。信賴度和風險等級是根據這些偵測結果的特定特徵而定。

支援的裝置和記錄類型

這些規則主要依據 Cloud 稽核記錄、端點偵測和回應記錄,以及網路 Proxy 記錄。Google SecOps UDM 會自動將這些記錄來源標準化。以下類別列出精選複合內容有效運作所需的最重要記錄來源:

端點複合規則記錄來源

Google Cloud 複合規則記錄來源

Google Cloud 和端點規則記錄來源

如需可用的精選偵測項目完整清單,請參閱「使用精選偵測項目」。如需透過其他機制啟用偵測來源,請與 Google SecOps 代表聯絡。

Google SecOps 提供預設剖析器,可剖析及正規化原始記錄,建立 UDM 記錄,其中包含複合式和精選偵測規則集所需的資料。如需 Google SecOps 支援的所有資料來源清單,請參閱「支援的預設剖析器」。

修改規則集中的規則

您可以自訂規則集中的規則行為,滿足貴機構的需求。選取下列其中一種偵測模式,調整各項規則的運作方式,並設定規則是否要產生快訊。

  • 廣泛:偵測可能具有惡意的行為或異常狀況,但由於規則性質較為一般,可能產生較多誤判。

如要修改設定,請按照下列步驟操作:

  1. 在規則清單中,找出要修改的規則,然後勾選旁邊的核取方塊。

  2. 為規則設定「狀態」和「快訊」設定,如下所示:

    • 狀態:將模式 (精確廣泛) 套用至所選規則。設為 Enabled 即可將規則狀態設為模式。

    • 快訊:控制規則是否要在「快訊」頁面產生快訊。設為「開啟」即可啟用警示。

調整規則集的快訊

您可以使用規則排除條件,減少複合規則產生的快訊數量。

規則排除條件會指定條件,防止規則或規則集評估特定事件。使用排除條件減少偵測量。詳情請參閱「設定規則排除條件」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。