Usar la página de detecciones seleccionadas

Para los clientes de Chronicle, el equipo de Google Cloud Threat Intelligence (GCTI) ofrece análisis de amenazas listos para usar como parte del modelo de destino compartido de la seguridad de Google Cloud. Como parte de estas detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas a su empresa. Estas reglas administradas por GCTI:

  • Proporcione a los clientes inteligencia procesable de inmediato que pueda utilizarse en comparación con los datos transferidos.

  • Aprovecha la inteligencia de amenazas de Google, ya que ofrece a los clientes una forma sencilla de usarla en Chronicle.

En el siguiente documento, se describe cómo usar las páginas de detecciones seleccionadas.

Antes de comenzar

Para obtener información sobre las políticas de detección de amenazas predefinidas, consulta lo siguiente:

Para verificar que los datos necesarios para cada política estén en el formato correcto, consulta Verifica la transferencia de datos de registro con reglas de prueba.

Funciones de detecciones seleccionadas

A continuación, se incluyen algunas de las funciones clave de las detecciones seleccionadas:

  • Detección seleccionada: Detección seleccionada creada y administrada por GCTI para clientes de Chronicle.

  • Conjuntos de reglas: Es una colección de reglas administradas por GCTI para clientes de Chronicle. GCTI proporciona y mantiene varios conjuntos de reglas. El cliente tiene la opción de habilitar o inhabilitar estas reglas en su cuenta de Chronicle y de habilitar o inhabilitar las alertas relacionadas con ellas. GCTI proporcionará periódicamente nuevas reglas y conjuntos de reglas a medida que cambia el panorama de amenazas.

Abrir la página de detecciones seleccionadas y los conjuntos de reglas

Para abrir la página de detecciones seleccionadas, completa los siguientes pasos:

  1. Selecciona Reglas en el menú principal.

  2. Haga clic en Detecciones seleccionadas para abrir la vista de conjuntos de reglas.

    Detecciones seleccionadas

    Figura 1: Vista de conjuntos de reglas

En la página de detección seleccionada, se proporciona información sobre cada uno de los conjuntos de reglas activos para tu cuenta de Chronicle, incluido lo siguiente:

  • Última actualización: Hora en que GCTI actualizó por última vez el conjunto de reglas.

  • Reglas habilitadas: Indica cuáles de las reglas de precisión y amplia están habilitadas para cada conjunto de reglas. Las reglas precisas encuentran amenazas maliciosas con un alto nivel de confianza. Las reglas generales buscan comportamiento sospechoso que puede ser más común y que produce más falsos positivos. Tanto las reglas precisas como las generales pueden estar disponibles para un conjunto de reglas.

  • Alertas: Indica cuáles de las reglas de precisión y amplia tienen habilitadas las alertas para cada conjunto de reglas.

  • Tácticas Mitre: identificador de las tácticas Mitre ATT&CK® que abarca cada conjunto de reglas Las tácticas de Mitre ATT&CK® representan la intención detrás del comportamiento malicioso.

  • Técnicas Mitre: Identificador de las técnicas Mitre ATT&CK® que abarca cada conjunto de reglas Las técnicas Mitre ATT&CK® representan acciones específicas de comportamiento malicioso

En esta página, también puedes habilitar o inhabilitar la regla y las alertas de la regla. Puedes hacer esto para las reglas amplias o exactas.

Abrir el panel de detección seleccionado

En el panel de detección seleccionado, se muestra información sobre cada detección seleccionada que produjo una detección con respecto a los datos de registro de tu cuenta de Chronicle. Las reglas con detecciones se agrupan por conjunto de reglas.

Para abrir el panel de detección seleccionada, completa los siguientes pasos:

  1. Selecciona Reglas en el menú principal. La pestaña predeterminada es la de detecciones seleccionadas, y la vista predeterminada son los conjuntos de reglas.

  2. Haz clic en Panel.

    Detecciones seleccionadas

    Figura 2: Panel de detecciones seleccionadas

  3. En el panel de detecciones seleccionadas, se muestra cada uno de los conjuntos de reglas disponibles para tu cuenta de Chronicle. Cada pantalla incluye lo siguiente:

    • Gráfico que realiza un seguimiento de la actividad actual de cada una de las reglas asociadas a un conjunto de reglas.

    • Hora de la última detección.

    • Estado de cada regla.

    • Gravedad de las detecciones recientes.

    • Si las alertas están habilitadas o inhabilitadas.

  4. Para editar la configuración de reglas, haz clic en el ícono de menú o en el nombre del conjunto de reglas.

  5. Haz clic en Conjuntos de reglas para volver a la vista de conjuntos de reglas. En la vista de conjuntos de reglas, se proporciona información sobre cada conjunto de reglas activo para tu cuenta de Chronicle.

Consulta detalles sobre un conjunto de reglas

Para modificar la configuración de cualquier detección seleccionada, haz clic en el ícono de menú del conjunto de reglas y, luego, selecciona Ver y editar la configuración de la regla.

Puedes habilitar o inhabilitar el conjunto de reglas en la sección Configuración. Los botones de activación Estado y Alertas te permiten habilitar o inhabilitar las reglas precisas y amplias en el conjunto de reglas. También puedes activar o desactivar las alertas.

También puedes ver todas las exclusiones configuradas para el conjunto de reglas. Para editar las exclusiones, haz clic en Ver. Consulta Configurar exclusiones de reglas para obtener más información.

Configuración de la regla

Figura 3: Configuración de la regla

Modificaciones de todas las reglas de un conjunto de reglas

En la sección Configuración, se muestra la configuración de todas las reglas de un conjunto de reglas. Puedes modificar la configuración a fin de crear detecciones seleccionadas específicas para el uso y las necesidades de la organización.

  • Reglas precisas: Encuentra comportamientos maliciosos con un mayor grado de confianza y una menor cantidad de falsos positivos debido a la naturaleza más específica de la regla.

  • Reglas amplias: Encuentra comportamientos que podrían ser maliciosos o anómalos, pero con más falsos positivos debido a la naturaleza más general de la regla.

  • Estado: activa el estado de una regla como preciso o amplio mediante la configuración de la opción de estado correspondiente como Enabled (Habilitado).

  • Alertas: habilita las alertas para recibir detecciones creadas por reglas precisas o amplias correspondientes; para ello, configura la opción Alertas en Activado.

Reducir las alertas de los conjuntos de reglas mediante las listas de referencia

Hay listas de referencias asociadas con cada conjunto de reglas. En la página Configuración de reglas, puedes hacer clic en Abrir junto a la lista de referencias asociadas a un conjunto de reglas específico para abrir una lista de referencias. Puedes agregarle elementos.

El siguiente es un ejemplo del procedimiento que seguirías para suprimir alertas de un dominio específico:

  1. Está recibiendo alertas asociadas con un dominio llamado probablyokay.com y ya no desea recibirlas.

  2. Haz clic en ABRIR junto a la lista de referencias. Se abrirá la ventana del administrador de listas.

  3. Agrega probablyokay.com al campo Filas y haz clic en Guardar cambios.

Ver detecciones seleccionadas

Puede ver cualquiera de las detecciones seleccionadas en la vista Detección seleccionada. Esta vista te permite examinar cualquiera de las detecciones asociadas con la regla y recurrir a otras vistas, como la vista de recursos del cronograma.

Para abrir la vista de detección seleccionada, completa los siguientes pasos:

  1. Haz clic en Panel.

  2. Haz clic en el vínculo del nombre de la regla en la columna Regla.

    Vista de detección seleccionada

    Figura 4: Vista de la detección seleccionada

¿Qué sigue?