Usar a página de detecções selecionadas

Para clientes do Google Security Operations, a equipe do Google Cloud Threat Intelligence (GCTI) está oferecendo análises de ameaças prontas para uso como parte do modelo de destino compartilhado de segurança do Google Cloud. Como parte dessas detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa. Essas regras gerenciadas pelo GCTI:

• Fornecer aos clientes informações imediatamente acionáveis que podem ser usadas nos dados ingeridos.

• Aproveita a inteligência sobre ameaças do Google oferecendo aos clientes uma maneira simples de usá-la nas Operações de segurança do Google.

O documento a seguir descreve como usar as páginas de detecções selecionadas.

Antes de começar

Para informações sobre as políticas predefinidas de detecção de ameaças, consulte:

• Informações gerais da categoria "Ameaças na nuvem"
• Informações gerais da categoria Ameaças do Windows
• Visão geral da categoria Ameaças do Linux
• Visão geral da análise de risco da categoria UEBA
• Visão geral da categoria Inteligência aplicada sobre ameaças

Para verificar se os dados exigidos para cada política estão no formato correto, consulte Verificar a ingestão de dados de registro usando regras de teste.

Recursos de detecções selecionados

Confira a seguir alguns dos principais recursos de detecções selecionados:

• Detecção selecionada: detecção selecionada criada e gerenciada pelo GCTI para clientes das operações de segurança do Google.

• Conjuntos de regras: conjunto de regras gerenciadas pelo GCTI para clientes das Operações de segurança do Google. O GCTI fornece e mantém vários conjuntos de regras. O cliente tem a opção de ativar ou desativar essas regras na conta de Operações de segurança do Google, além de ativar ou desativar alertas para essas regras. Novas regras e grupos de regras serão fornecidos periodicamente pelo GCTI à medida que o cenário de ameaças mudar.

Abrir a página de detecções selecionadas e os conjuntos de regras

Para abrir a página de detecções selecionadas, siga estas etapas:

1. Selecione Regras no menu principal.

2. Clique em Detecções selecionadas para abrir a visualização dos conjuntos de regras.

A página "Detecção selecionada" oferece informações sobre cada um dos conjuntos de regras ativos na sua conta das Operações de segurança do Google, incluindo o seguinte:

• Última atualização: horário em que o GCTI atualizou o conjunto de regras pela última vez.

• Regras ativadas: indica quais regras amplas e precisas estão ativadas em cada conjunto de regras. As regras precisas encontram ameaças maliciosas com um alto grau de confiança. As amplas, por sua vez, procuram comportamentos suspeitos que podem ser mais comuns e gerar mais falsos positivos. Esses dois tipos de regras podem estar disponíveis em um conjunto de regras.

• Alerta: indica quais das regras amplas e precisas têm alertas ativados para cada conjunto de regras.

• Mitre Tactics: identificador das táticas do Mitre ATT&CK® incluídas em cada conjunto de regras. As táticas do Mitre ATT&CK® representam a intenção por trás de comportamentos maliciosos.

• Técnicas do Mitre: identificador das técnicas do Mitre ATT&CK® incluídas em cada conjunto de regras. As técnicas do Mitre ATT&CK® representam ações específicas de comportamentos maliciosos

Nessa página, também é possível ativar ou desativar a regra e os alertas da regra. Isso pode ser feito para regras amplas ou precisas.

Abrir o painel de detecção selecionado

O painel de detecção selecionado exibe informações sobre cada detecção selecionada que produziu uma detecção nos dados de registro da sua conta das Operações de segurança do Google. As regras com detecções são agrupadas por conjunto de regras.

Para abrir o painel de detecção selecionado, siga estas etapas:

1. Selecione Regras no menu principal. A guia padrão são as detecções selecionadas, e a visualização padrão são os conjuntos de regras.

2. Clique em Painel.

   

   Figura 2: painel de detecções selecionadas

3. O painel "Detecções selecionadas" mostra cada um dos conjuntos de regras disponíveis para sua conta de Operações de segurança do Google. Cada tela inclui o seguinte:

   • Gráfico que acompanha a atividade atual de cada uma das regras associadas a um conjunto de regras.

   • Hora da última detecção.

   • Status de cada regra.

   • Gravidade das detecções recentes.

   • Se os alertas estão ativados ou desativados.

4. Para editar as configurações da regra, clique no ícone de menu more_vert ou no nome do conjunto de regras.

5. Clique em Conjuntos de regras para voltar à visualização de grupos de regras. A visualização de grupos de regras fornece informações sobre cada conjunto de regras ativo para sua conta das Operações de segurança do Google.

Mais detalhes sobre um grupo de regras

Você pode modificar as configurações de qualquer detecção selecionada clicando no ícone de menu more_vert do conjunto de regras e selecionando Ver e editar as configurações da regra.

Você ativa ou desativa o conjunto de regras na seção Configurações. As alternâncias Status e Alertas permitem ativar ou desativar as regras amplas e precisas no conjunto de regras. Também é possível ativar ou desativar os alertas.

Também é possível exibir todas as exclusões configuradas para o grupo de regras. Para editar as exclusões, clique em Visualizar. Consulte Configurar exclusões de regras para mais informações.

Figura 3: configurações de regras

Modificação de todas as regras em um grupo de regras

A seção Configurações exibe as definições de todas as regras em um conjunto de regras. É possível modificar as configurações para criar detecções selecionadas específicas para o uso e as necessidades organizacionais.

• Regras precisas: encontre comportamentos maliciosos com um grau de confiança maior e menos falsos positivos devido à natureza mais específica da regra.

• Regras amplas: encontre comportamentos que podem ser maliciosos ou anômalos, mas geralmente têm mais falsos positivos devido à natureza mais geral da regra.

• Status: ative o status de uma regra como preciso ou amplo, definindo a opção de Status correspondente como Ativada.

• Alerta: ative alertas para receber detecções criadas por regras amplas ou precisas correspondentes definindo a opção Alerta como Ativado.

Reduzir alertas dos grupos de regras usando listas de referência

Há listas de referências associadas a cada grupo de regras. Na página "Configurações de regras", é possível abrir uma lista de referências associadas a um conjunto de regras específico clicando em Abrir ao lado da lista. É possível adicionar outros itens a ele.

Veja a seguir um exemplo do procedimento a ser seguido para suprimir alertas de um domínio específico:

1. Você está recebendo alertas associados a um domínio chamado probablyokay.com e não quer mais receber esses alertas.

2. Clique em ABRIR ao lado da lista de referências. A janela do Gerenciador de listas será aberta.

3. Adicione probablyokay.com ao campo "Linhas" e clique em Salvar edições.

Mostrar detecções selecionadas

Qualquer uma das detecções selecionadas pode ser acessada na visualização "Detecção selecionada". Essa visualização permite examinar qualquer uma das detecções associadas à regra e alternar para outras visualizações, como Visualização de recursos na linha do tempo.

Para abrir a visualização "Detecção selecionada", siga estas etapas:

1. Clique em Painel.

2. Clique no link do nome da regra na coluna "Regra".

A seguir

• Investigar um alerta do GCTI
• Ajustar alertas retornados pelos grupos de regras nesta categoria