Usar a página de detecções selecionadas
Para clientes do Google Security Operations, a equipe do Google Cloud Threat Intelligence (GCTI) oferece análises de ameaças prontas para uso como parte do modelo de destino compartilhado do Google Cloud Security. Como parte dessas detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa. Estas regras gerenciadas pelo GCTI:
Forneça aos clientes informações úteis que podem ser usadas com os dados ingeridos.
Aproveita a inteligência contra ameaças do Google, oferecendo aos clientes uma maneira simples de usá-la no Google Security Operations.
O documento a seguir descreve como usar as páginas de detecções selecionadas.
Antes de começar
Para informações sobre políticas de detecção de ameaças predefinidas, consulte:
- Visão geral da categoria Ameaças à nuvem
- Visão geral da categoria Ameaças do Windows
- Visão geral da categoria "Ameaças do Linux"
- Visão geral da Análise de risco para a categoria de UEBA
- Visão geral da categoria "Aplicação de informações sobre ameaças"
Para verificar se os dados necessários para cada política estão no formato correto, consulte Verificar a ingestão de dados de registro usando regras de teste.
Recursos de detecções selecionadas
Confira a seguir alguns dos principais recursos de detecção selecionada:
Detecção selecionada: detecção criada e gerenciada pelo GCTI para clientes do Google Security Operations.
Conjuntos de regras: coleção de regras gerenciadas pelo GCTI para clientes do Google Security Operations. O GCTI fornece e mantém vários conjuntos de regras. O cliente tem a opção de ativar ou desativar essas regras na conta de Operações de segurança do Google e ativar ou desativar alertas para essas regras. A GCTI vai fornecer novas regras e conjuntos de regras periodicamente conforme o cenário de ameaças muda.
Abrir a página de detecções selecionadas e conjuntos de regras
Para abrir a página de detecções selecionadas, siga estas etapas:
Selecione Regras no menu principal.
Clique em Detecções selecionadas para abrir a visualização de conjuntos de regras.
A página de detecção selecionada oferece informações sobre cada um dos conjuntos de regras ativos na sua conta do Google Security Operations, incluindo:
Última atualização: momento em que a GCTI atualizou o conjunto de regras pela última vez.
Regras ativadas: indica quais das regras amplas e precisas estão ativadas em cada conjunto de regras. As regras precisas encontram ameaças maliciosas com um alto grau de confiança. As amplas, por sua vez, procuram comportamentos suspeitos que podem ser mais comuns e gerar mais falsos positivos. Esses dois tipos de regras podem estar disponíveis em um conjunto de regras.
Alertas: indica quais das regras amplas e precisas têm alertas ativados em cada conjunto de regras.
Mitre Tactics: identificador das táticas do Mitre ATT&CK® incluídas em cada conjunto de regras. As táticas do Mitre ATT&CK® representam a intenção por trás de comportamentos maliciosos.
Técnicas do Mitre: identificador das técnicas do Mitre ATT&CK® incluídas em cada conjunto de regras. As técnicas do Mitre ATT&CK® representam ações específicas de comportamentos maliciosos.
Nessa página, também é possível ativar ou desativar a regra e os alertas dela. Isso pode ser feito para regras amplas ou precisas.
Abrir o painel de detecção selecionada
O painel de detecções selecionadas mostra informações sobre cada detecção selecionada que produziu uma detecção nos dados de registro da sua conta do Google Security Operations. As regras com detecções são agrupadas por conjunto de regras.
Para abrir o painel de detecção selecionada, siga estas etapas:
Selecione Regras no menu principal. A guia padrão é "Detecções selecionadas", e a visualização padrão é "Grupos de regras".
Clique em Painel.
Figura 2: painel "Detecções selecionadas"
O painel "Deteções selecionadas" mostra cada um dos conjuntos de regras disponíveis na sua conta do Google Security Operations. Cada tela inclui o seguinte:
Gráfico que rastreia a atividade atual de cada uma das regras associadas a um conjunto de regras.
Horário da última detecção.
Status de cada regra.
Gravidade das detecções recentes.
Se o alerta está ativado ou desativado.
Para editar as configurações da regra, clique no ícone de menu
ou no nome do conjunto de regras.Clique em Regras para voltar à visualização de conjuntos de regras. A visualização de conjuntos de regras oferece informações sobre cada conjunto ativo na sua conta do Google Security Operations.
Conferir detalhes sobre um conjunto de regras
Para modificar as configurações de qualquer detecção selecionada, clique no ícone de menu
do conjunto de regras e selecione Ver e editar as configurações da regra.Você ativa ou desativa o conjunto de regras na seção Configurações. Os controles Status e Alerta permitem ativar ou desativar as regras amplas e precisas no conjunto de regras. Você também pode ativar ou desativar os alertas.
Também é possível conferir todas as exclusões configuradas para o conjunto de regras. Para editar as exclusões, clique em Abrir. Consulte Configurar exclusões de regras para mais informações.
Figura 3: configurações da regra
Modificação de todas as regras em um conjunto de regras
A seção Configurações mostra as configurações de todas as regras em um conjunto de regras. É possível modificar as configurações para criar detecções selecionadas específicas para seu uso e necessidades organizacionais.
Regras precisas: encontram comportamentos maliciosos com um grau de confiança mais alto e menos falsos positivos devido à natureza mais específica da regra.
Regras amplas: encontram comportamentos que podem ser potencialmente maliciosos ou ter anomalias, mas geralmente com mais falsos positivos devido à natureza mais geral da regra.
Status: ative o status de uma regra como preciso ou amplo definindo a opção Status correspondente como Ativado.
Alertas: ative os alertas para receber detecções criadas por regras precisas ou amplas correspondentes definindo a opção Alert como Ativado.
Reduzir alertas de conjuntos de regras usando listas de referência
Há listas de referência associadas a cada conjunto de regras. Na página "Configurações da regra", você pode abrir uma lista de referência associada a um conjunto de regras específico clicando em Abrir ao lado da lista. É possível adicionar outros itens a ele.
Confira a seguir um exemplo do procedimento a ser seguido para suprimir alertas de um domínio específico:
Você está recebendo alertas associados a um domínio chamado
probablyokay.com
e não quer mais receber esses alertas.Clique em ABRIR ao lado da lista de referências. Isso abre a janela "Gerenciador de listas".
Adicione
probablyokay.com
ao campo "Linhas" e clique em Salvar edições.
Conferir as detecções selecionadas
Você pode conferir qualquer uma das detecções selecionadas na visualização "Deteções selecionadas". Essa visualização permite examinar qualquer uma das detecções associadas à regra e mudar para outras visualizações, como a Visualização de recursos na linha do tempo.
Para abrir a visualização "Detecção selecionada", siga estas etapas:
Clique em Painel.
Clique no link do nome da regra na coluna "Regra".
A seguir
- Investigar um alerta da GCTI
- Ajustar os alertas retornados pelos conjuntos de regras nessa categoria