Usar la página de detecciones seleccionadas

Para los clientes de Google Security Operations, el equipo de Google Cloud Threat Intelligence (GCTI) ofrece análisis de amenazas listos para usar como parte del modelo de destino compartido de seguridad de Google Cloud. Como parte de estas detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas a su empresa. Estas reglas administradas por GCTI tienen las siguientes características:

  • Proporcionar a los clientes inteligencia accionable inmediata que puede usarse contra sus datos transferidos.

  • Aprovecha la inteligencia de amenazas de Google, ya que les ofrece a los clientes una forma sencilla de usarla dentro de Google Security Operations.

En el siguiente documento, se describe cómo utilizar las páginas de detecciones seleccionadas.

Antes de comenzar

Para obtener información sobre las políticas de detección de amenazas predefinidas, consulta lo siguiente:

Para verificar que los datos requeridos para cada política estén en el formato correcto, consulta Verifica la transferencia de datos de registro con reglas de prueba.

Funciones de detecciones seleccionadas

Las siguientes son algunas de las funciones de detecciones seleccionadas clave:

  • Detección seleccionada: Detección seleccionada que crea y administra GCTI para los clientes de Google Security Operations.

  • Conjuntos de reglas: Recopilación de reglas administradas por GCTI para clientes de Google Security Operations. GCTI proporciona y mantiene varios conjuntos de reglas. El cliente tiene la opción de habilitar o inhabilitar estas reglas en su cuenta de Google Security Operations, y de habilitar o inhabilitar alertas para estas reglas. Periódicamente, GCTI proporcionará nuevas reglas y conjuntos de reglas a medida que cambie el panorama de amenazas.

Abrir la página de detecciones seleccionadas y los conjuntos de reglas

Para abrir la página de detecciones seleccionadas, completa los siguientes pasos:

  1. Selecciona Reglas en el menú principal.

  2. Haz clic en Detecciones seleccionadas para abrir la vista de conjuntos de reglas.

La página Curated Detection proporciona información sobre cada uno de los conjuntos de reglas activas para tu cuenta de Google Security Operations, incluida la siguiente información:

  • Última actualización: hora en que GCTI actualizó por última vez el conjunto de reglas.

  • Reglas habilitadas: Indica cuáles de las reglas precisas y generales están habilitadas para cada conjunto de reglas. Las reglas precisas encuentran amenazas maliciosas con un alto nivel de confianza. Las reglas generales buscan comportamiento sospechoso que puede ser más común y que produce más falsos positivos. Tanto las reglas precisas como las generales pueden estar disponibles para un conjunto de reglas.

  • Alertas: indica cuáles de las reglas precisas y generales tienen alertas habilitadas para cada conjunto de reglas.

  • Tácticas de Mitre: Identificador de las tácticas de Mitre ATT&CK® cubiertas por cada conjunto de reglas. Las tácticas de Mitre ATT&CK® representan la intención detrás del comportamiento malicioso.

  • Técnicas de Mitre: identificador de las técnicas de Mitre ATT&CK® cubiertas por cada conjunto de reglas. Las técnicas de Mitre ATT&CK® representan acciones específicas del comportamiento malicioso

En esta página, también puedes habilitar o inhabilitar la regla y sus alertas. Puedes hacer esto para las reglas amplias o precisas.

Abrir el panel de detección seleccionado

El panel de detección seleccionado muestra información sobre cada detección seleccionada que produjo una detección con respecto a los datos de registro de su cuenta de Google Security Operations. Las reglas con detecciones se agrupan por conjunto de reglas.

Para abrir el panel de detección seleccionado, completa los siguientes pasos:

  1. Selecciona Reglas en el menú principal. La pestaña predeterminada son las detecciones seleccionadas y la vista predeterminada son los conjuntos de reglas.

  2. Haz clic en Panel.

    Detecciones seleccionadas

    Figura 2: Panel de detecciones seleccionadas

  3. En el panel detecciones seleccionadas, se muestra cada uno de los conjuntos de reglas disponibles para tu cuenta de Google Security Operations. Cada pantalla incluye lo siguiente:

    • Gráfico que muestra la actividad actual de cada una de las reglas asociadas a un conjunto de reglas.

    • Hora de la última detección.

    • Estado de cada regla.

    • Gravedad de las detecciones recientes.

    • Si las alertas están habilitadas o inhabilitadas.

  4. Para editar la configuración de la regla, haz clic en el ícono de menú o en el nombre del conjunto de reglas.

  5. Haz clic en Conjuntos de reglas para volver a la vista de conjuntos de reglas. La vista de conjuntos de reglas proporciona información sobre cada conjunto de reglas activas en tu cuenta de Google Security Operations.

Ver detalles sobre un conjunto de reglas

Para modificar la configuración de cualquier detección seleccionada, haz clic en el ícono de menú del conjunto de reglas y, luego, selecciona Ver y editar la configuración de la regla.

Puedes habilitar o inhabilitar el conjunto de reglas en la sección Configuración. Los botones de activación Estado y Alertas te permiten habilitar o inhabilitar las reglas precisas y amplias en el conjunto de reglas. También puedes activar o desactivar las alertas.

También puedes ver todas las exclusiones configuradas para el conjunto de reglas. Para editar las exclusiones, haz clic en Ver. Consulta Configura exclusiones de reglas para obtener más información.

Configuración de la regla

Figura 3: Configuración de la regla

Modificación de todas las reglas en un conjunto de reglas

En la sección Configuración, se muestra la configuración de todas las reglas en un conjunto de reglas. Puedes modificar la configuración para crear detecciones seleccionadas específicas para el uso y las necesidades de tu organización.

  • Reglas precisas: descubre el comportamiento malicioso con un grado más alto de confianza con menos falsos positivos debido a la naturaleza más específica de la regla.

  • Reglas amplias: Encuentra comportamientos que podrían ser maliciosos o anómalos, pero que suelen ser más falsos positivos debido a la naturaleza más general de la regla.

  • Estado: Para activar el estado de una regla como preciso o amplio, establece la opción de Estado correspondiente en Habilitada.

  • Alertas: habilita las alertas para recibir detecciones creadas por las reglas precisas o amplias correspondientes. Para ello, configura la opción Alertas en Activada.

Cómo reducir las alertas de los conjuntos de reglas mediante listas de referencia

Hay listas de referencia asociadas con cada conjunto de reglas. En la página Configuración de reglas, puedes abrir una lista de referencia asociada a un conjunto de reglas específico. Para ello, haz clic en la opción Abrir que aparece junto a la lista. Puedes agregarle más elementos.

El siguiente es un ejemplo del procedimiento que deberías seguir para suprimir alertas para un dominio específico:

  1. Recibes alertas asociadas con un dominio llamado probablyokay.com y ya no deseas recibirlas.

  2. Haz clic en ABRIR junto a la lista de referencia. Se abrirá la ventana del Administrador de listas.

  3. Agrega probablyokay.com al campo Filas y haz clic en Guardar cambios.

Ver detecciones seleccionadas

Puedes ver cualquiera de las detecciones seleccionadas en la vista Curated Detection. Esta vista te permite examinar cualquiera de las detecciones asociadas con la regla y acceder a otras vistas, como la vista de recursos de Rutas.

Para abrir la vista Curated Detection, completa los siguientes pasos:

  1. Haz clic en Panel.

  2. Haz clic en el vínculo del nombre de la regla en la columna Regla.

¿Qué sigue?