Utilizzare la pagina Rilevamenti selezionata

Per i clienti di Google Security Operations, il team di Google Cloud Threat Intelligence (GCTI) offre analisi delle minacce pronte all'uso come parte del modello di sicurezza condivisa di Google Cloud. Nell'ambito di questi rilevamenti selezionati, GCTI fornisce e gestisce una serie di regole YARA-L per aiutare i clienti a identificare le minacce per la loro azienda. Queste regole GCTI gestite:

• Fornisci ai clienti informazioni immediatamente fruibili, che possono essere utilizzate per i dati importati.

• Sfrutta la threat intelligence di Google fornendo ai clienti un modo semplice per utilizzarla in Google Security Operations.

Il seguente documento descrive come utilizzare le pagine di rilevamento selezionate.

Prima di iniziare

Per informazioni sui criteri di rilevamento delle minacce predefiniti, consulta quanto segue:

• Panoramica della categoria Cloud Threats
• Panoramica della categoria Windows Threats
• Panoramica della categoria Minacce Linux
• Panoramica dell'analisi del rischio per la categoria UEBA
• Panoramica della categoria Applied Threat Intelligence

Per verificare che i dati richiesti per ogni criterio siano nel formato corretto, consulta Verificare l'importazione dati dei log utilizzando le regole di test.

Funzionalità di rilevamenti selezionati

Di seguito sono riportate alcune delle principali funzionalità di rilevamento selezionate:

• Rilevamento selezionato: rilevamento selezionato creato e gestito da GCTI per i clienti di Google Security Operations.

• Set di regole: raccolta di regole gestite da GCTI per i clienti di Google Security Operations. GCTI fornisce e gestisce più serie di regole. Il cliente ha la possibilità di attivare o disattivare queste regole all'interno del proprio account Google Security Operations e di attivare o disattivare gli avvisi per queste regole. Nuove regole e serie di regole verranno periodicamente fornite da GCTI man mano che il panorama delle minacce cambia.

Apri la pagina Rilevamenti selezionati e le serie di regole

Per aprire la pagina Rilevamenti selezionati, completa i seguenti passaggi:

1. Seleziona Regole dal menu principale.

2. Fai clic su Rilevamenti selezionati per aprire la vista delle serie di regole.

La pagina Rilevamento selezionato fornisce informazioni su ciascuna serie di regole attiva per il tuo account Google Security Operations, tra cui:

• Ultimo aggiornamento: ora dell'ultimo aggiornamento della serie di regole da parte di GCTI.

• Regole attivate: indica quali regole Precisa e Generica sono attivate per ciascuna serie di regole. Regole precise individuano le minacce dannose con un elevato grado di affidabilità. Le regole generiche cercano i comportamenti sospetti che potrebbero essere più comuni e producono un numero maggiore di falsi positivi. Per una serie di regole potrebbero essere disponibili entrambe le regole Precisa e Generica.

• Avvisi: indica per quali delle regole Precisa e Esteso gli avvisi sono abilitati per ogni serie di regole.

• Tattiche Mitre: identificatore delle tattiche Mitre ATT&CK® coperte da ogni serie di regole. Le tattiche di Mitre ATT&CK® rappresentano l’intento dietro a comportamenti malevoli.

• Tecniche Mitre: identificatore delle tecniche Mitre ATT&CK® coperte da ogni serie di regole. Le tecniche Mitre ATT&CK® rappresentano azioni specifiche di comportamenti dannosi

Da questa pagina, puoi anche attivare o disattivare la regola e i relativi avvisi. Puoi eseguire questa operazione per le regole generiche o per quelle precise.

Apri la dashboard di rilevamento selezionata

La dashboard di rilevamento selezionata mostra informazioni su ogni rilevamento selezionato che ha generato un rilevamento in base ai dati di log del tuo account Google Security Operations. Le regole con rilevamenti vengono raggruppate per serie di regole.

Per aprire la dashboard di rilevamento selezionata, completa i seguenti passaggi:

1. Seleziona Regole dal menu principale. La scheda predefinita contiene rilevamenti selezionati e la visualizzazione predefinita è serie di regole.

2. Fai clic su Dashboard.

   

   Figura 2: dashboard Rilevamenti selezionati

3. La dashboard Rilevamenti selezionati mostra tutte le serie di regole disponibili per il tuo account Google Security Operations. Ogni display include:

   • Grafico che traccia l'attività corrente per ciascuna regola associata a una serie di regole.

   • Ora dell'ultimo rilevamento.

   • Lo stato di ogni regola.

   • Gravità dei rilevamenti recenti.

   • Indica se gli avvisi sono abilitati o disabilitati.

4. Per modificare le impostazioni della regola, fai clic sull'icona del menu more_vert o sul nome della serie di regole.

5. Fai clic su Serie di regole per tornare alla visualizzazione delle serie di regole. La visualizzazione delle serie di regole fornisce informazioni su ogni serie di regole attiva per il tuo account Google Security Operations.

Visualizzare i dettagli di una serie di regole

Per modificare le impostazioni di qualsiasi rilevamento selezionato, fai clic sull'icona del menu more_vert della serie di regole e seleziona Visualizza e modifica le impostazioni delle regole.

Puoi attivare o disattivare la serie di regole nella sezione Impostazioni. Le opzioni di attivazione/disattivazione Stato e Avvisi consentono di attivare o disattivare le regole precise e generiche nella serie di regole. Puoi anche attivare o disattivare gli avvisi.

È anche possibile visualizzare tutte le esclusioni configurate per la serie di regole. Puoi modificare le esclusioni facendo clic su Visualizza. Per saperne di più, consulta Configurare le esclusioni di regole.

Figura 3: impostazioni delle regole

Modifica di tutte le regole in una serie di regole

La sezione Impostazioni mostra le impostazioni per tutte le regole di una serie. Puoi modificare le impostazioni per creare rilevamenti selezionati e specifici per l'utilizzo e le esigenze della tua organizzazione.

• Regole precise. Individua comportamenti dannosi con un maggior grado di confidenza con meno falsi positivi a causa della natura più specifica della regola.

• Regole generiche: individua i comportamenti che potrebbero essere potenzialmente dannosi o anomali, ma in genere con un numero maggiore di falsi positivi a causa della natura più generale della regola.

• Stato: attiva lo stato di una regola come preciso o generico impostando l'opzione Stato corrispondente su Attivato.

• Avvisi: attiva gli avvisi per ricevere rilevamenti creati da regole precise o ampie corrispondenti impostando l'opzione Avvisi su On.

Ridurre gli avvisi provenienti da serie di regole utilizzando gli elenchi di riferimento

A ogni serie di regole sono associati elenchi di riferimento. Nella pagina Impostazioni regole puoi aprire un elenco di riferimento associato a una serie di regole specifica facendo clic su Apri accanto all'elenco. Puoi aggiungere altri elementi.

Di seguito è riportato un esempio della procedura da seguire per eliminare gli avvisi per un dominio specifico:

1. Ricevi avvisi associati a un dominio chiamato probablyokay.com e non vuoi più riceverli.

2. Fai clic su APRI accanto all'elenco di riferimento. Viene visualizzata la finestra Gestore elenco.

3. Aggiungi probablyokay.com al campo Righe e fai clic su Salva modifiche.

Visualizza rilevamenti selezionati

Puoi visualizzare uno qualsiasi dei rilevamenti selezionati nella visualizzazione Rilevamento selezionato. Questa visualizzazione ti consente di esaminare tutti i rilevamenti associati alla regola e di passare ad altre visualizzazioni, come la Visualizzazione asset della Timeline.

Per aprire la visualizzazione Rilevamento selezionato, completa i seguenti passaggi:

1. Fai clic su Dashboard.

2. Fai clic sul link con il nome della regola nella colonna Regola.

Passaggi successivi

• Esaminare un avviso GCTI
• Ottimizzazione degli avvisi restituiti dalle serie di regole di questa categoria