Usar la página de detecciones seleccionadas
Para los clientes de Google Security Operations, el equipo de Google Cloud Threat Intelligence (GCTI) ofrece estadísticas de amenazas listas para usar como parte del modelo de destino compartido de seguridad de Google Cloud. Como parte de estas detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas para su empresa. Estas reglas administradas por GCTI tienen las siguientes características:
Proporciona a los clientes estadísticas prácticas de inmediato que se pueden usar en función de sus datos transferidos.
Aprovecha la inteligencia de amenazas de Google, ya que les ofrece a los clientes una forma sencilla de usarla dentro de Google Security Operations.
En el siguiente documento, se describe cómo usar las páginas de detección seleccionadas.
Antes de comenzar
Para obtener información sobre las políticas de detección de amenazas predefinidas, consulta lo siguiente:
- Descripción general de la categoría Cloud Threats
- Descripción general de la categoría Amenazas de Windows
- Descripción general de la categoría de amenazas de Linux
- Descripción general de la categoría de análisis de riesgos para la UEBA
- Descripción general de la categoría de inteligencia contra amenazas aplicada
Para verificar que los datos requeridos para cada política tengan el formato correcto, consulta Cómo verificar la transferencia de datos de registro con reglas de prueba.
Funciones de detección seleccionadas
Las siguientes son algunas de las funciones de detecciones seleccionadas clave:
Detección seleccionada: Es una detección seleccionada que crea y administra GCTI para los clientes de Google Security Operations.
Conjuntos de reglas: Recopilación de reglas administradas por GCTI para clientes de Google Security Operations. GCTI proporciona y mantiene varios conjuntos de reglas. El cliente tiene la opción de habilitar o inhabilitar estas reglas en su cuenta de Google Security Operations, y de habilitar o inhabilitar alertas para estas reglas. GCTI proporcionará periódicamente reglas y conjuntos de reglas nuevos a medida que cambie el panorama de amenazas.
Abrir la página de detecciones seleccionadas y los conjuntos de reglas
Para abrir la página de detecciones seleccionadas, completa los siguientes pasos:
Selecciona Rules en el menú principal.
Haz clic en Detecciones seleccionadas para abrir la vista de conjuntos de reglas.
La página Detección seleccionada proporciona información sobre cada uno de los conjuntos de reglas activas para tu cuenta de Google Security Operations, incluida la siguiente información:
Última actualización: Es la hora en que GCTI actualizó el conjunto de reglas por última vez.
Reglas habilitadas: Indica cuáles de las reglas precisas y generales están habilitadas para cada conjunto de reglas. Las reglas precisas encuentran amenazas maliciosas con un alto nivel de confianza. Las reglas generales buscan comportamiento sospechoso que puede ser más común y que produce más falsos positivos. Tanto las reglas precisas como las generales pueden estar disponibles para un conjunto de reglas.
Alertas: indica cuáles de las reglas precisas y generales tienen alertas habilitadas para cada conjunto de reglas.
Tácticas de Mitre: Identificador de las tácticas de Mitre ATT&CK® cubiertas por cada conjunto de reglas. Las tácticas de Mitre ATT&CK® representan la intención detrás del comportamiento malicioso.
Técnicas de Mitre: identificador de las técnicas de Mitre ATT&CK® cubiertas por cada conjunto de reglas. Las técnicas de Mitre ATT&CK® representan acciones específicas del comportamiento malicioso.
En esta página, también puedes habilitar o inhabilitar la regla y sus alertas. Puedes hacerlo para las reglas generales o precisas.
Abrir el panel de detección seleccionado
El panel de detección seleccionado muestra información sobre cada detección seleccionada que produjo una detección con respecto a los datos de registro de su cuenta de Google Security Operations. Las reglas con detecciones se agrupan por conjunto de reglas.
Para abrir el panel de detección seleccionada, completa los siguientes pasos:
Selecciona Rules en el menú principal. La pestaña predeterminada son las detecciones seleccionadas y la vista predeterminada son los conjuntos de reglas.
Haz clic en Panel.
Figura 2: Panel de Detecciones seleccionadas
En el panel Detecciones seleccionadas, se muestran cada uno de los conjuntos de reglas disponibles para tu cuenta de Google Security Operations. Cada pantalla incluye lo siguiente:
Gráfico de seguimiento de la actividad actual de cada una de las reglas asociadas con un conjunto de reglas.
Hora de la última detección.
Estado de cada regla
Gravedad de las detecciones recientes.
Indica si las alertas están habilitadas o inhabilitadas.
Para editar la configuración de la regla, haz clic en el ícono de menú
o en el nombre del conjunto de reglas.Haz clic en Conjuntos de reglas para volver a la vista de conjuntos de reglas. La vista de conjuntos de reglas proporciona información sobre cada conjunto de reglas activas en tu cuenta de Google Security Operations.
Ver detalles sobre un conjunto de reglas
Para modificar la configuración de cualquier detección seleccionada, haz clic en el ícono de menú
del conjunto de reglas y, luego, selecciona Ver y editar la configuración de la regla.Puedes habilitar o inhabilitar el conjunto de reglas en la sección Configuración. Los botones de activación Estado y Alertas te permiten habilitar o inhabilitar las reglas precisas y generales del conjunto de reglas. También puedes activar o desactivar las alertas.
También puedes ver todas las exclusiones configuradas para el conjunto de reglas. Para editar las exclusiones, haz clic en Ver. Consulta Configura exclusiones de reglas para obtener más información.
Figura 3: Configuración de reglas
Modificación de todas las reglas en un conjunto de reglas
La sección Configuración muestra la configuración de todas las reglas de una regla. automático. Puedes modificar la configuración para crear detecciones seleccionadas específicas para el uso y las necesidades de tu organización.
Reglas precisas: descubre el comportamiento malicioso con un mayor nivel de confianza con menos falsos positivos debido a la naturaleza más específica de la regla.
Reglas amplias: Encuentran comportamientos que podrían ser maliciosos o anómalos, pero, por lo general, generan más falsos positivos debido a la naturaleza más general de la regla.
Estado: Activa el estado de una regla como preciso o amplio configurando la opción correspondiente de Estado en Habilitada.
Alertas: habilita las alertas para recibir detecciones creadas por las detecciones o amplias, estableciendo la opción Alertas en Activado.
Cómo reducir las alertas de los conjuntos de reglas mediante listas de referencia
Hay listas de referencia asociadas con cada conjunto de reglas. En la página Configuración de reglas, puedes abrir una lista de referencia asociada con un conjunto de reglas específico. Para ello, haz clic en Abrir junto a la lista. Puedes agregarle más elementos.
El siguiente es un ejemplo del procedimiento que seguirías para suprimir las alertas de un dominio específico:
Recibes alertas asociadas con un dominio llamado
probablyokay.com
y ya no deseas recibirlas.Haz clic en ABRIR junto a la lista de referencia. Se abrirá la ventana Administrador de listas.
Agrega
probablyokay.com
al campo Filas y haz clic en Guardar cambios.
Ver detecciones seleccionadas
Puedes ver cualquiera de las detecciones seleccionadas en la vista Detecciones seleccionadas. Esta vista te permite examinar cualquiera de las detecciones asociadas con la regla y acceder a otras vistas, como la vista de recursos de Rutas.
Para abrir la vista Curated Detection, completa los siguientes pasos:
Haz clic en Panel.
Haz clic en el vínculo del nombre de la regla en la columna Regla.
¿Qué sigue?
- Investiga una alerta de GCTI
- Ajusta las alertas que muestran los conjuntos de reglas de esta categoría