Seite mit ausgewählten Erkennungsfunktionen verwenden

Für Kunden von Google Security Operations bietet das Google Cloud Threat Intelligence-Team (GCTI) sofort einsatzbereite Bedrohungsanalysen im Rahmen des Fate-Sharing-Modells von Google Cloud an. Im Rahmen dieser ausgewählten Erkennungen bietet und verwaltet GCTI eine Reihe von YARA-L-Regeln, mit denen Kunden Bedrohungen für ihr Unternehmen identifizieren können. Diese von GCTI verwalteten Regeln:

  • Kunden erhalten sofort umsetzbare Informationen, die sie mit ihren aufgenommenen Daten verwenden können.

  • Nutzt die Bedrohungsdaten von Google und bietet Kunden eine einfache Möglichkeit, diese innerhalb von Google Security Operations zu nutzen.

Im folgenden Dokument wird die Verwendung der ausgewählten Erkennungsseiten beschrieben.

Hinweise

Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie hier:

Informationen dazu, ob die für jede Richtlinie erforderlichen Daten im richtigen Format vorliegen, finden Sie unter Logdatenaufnahme mit Testregeln prüfen.

Ausgewählte Erkennungsfunktionen

Hier sind einige der wichtigsten ausgewählten Funktionen zur Erkennung von Systemausfällen:

  • Kuratierte Erkennung: Von GCTI erstellte und verwaltete Erkennung für Google Security Operations-Kunden.

  • Regelsätze: Sammlung von Regeln, die von GCTI für Google Security Operations-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde hat die Möglichkeit, diese Regeln in seinem Google Security Operations-Konto zu aktivieren oder zu deaktivieren sowie Warnungen für diese Regeln zu aktivieren oder zu deaktivieren. Neue Regeln und Regelsätze werden regelmäßig von GCTI bereitgestellt, wenn sich die Bedrohungslandschaft ändert.

Seite mit ausgewählten Erkennungen und Regelsätzen öffnen

Führen Sie die folgenden Schritte aus, um die Seite mit ausgewählten Erkennungen zu öffnen:

  1. Wählen Sie im Hauptmenü die Option Regeln aus.

  2. Klicken Sie auf Ausgewählte Erkennungen, um die Regelsatzansicht zu öffnen.

Auf der Seite „Ausgewählte Erkennung“ finden Sie Informationen zu jedem Regelsatz, der für Ihr Google Security Operations-Konto aktiv ist:

  • Zuletzt aktualisiert: Zeitpunkt, zu dem der Regelsatz zuletzt von GCTI aktualisiert wurde.

  • Aktivierte Regeln: Gibt an, welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz aktiviert sind. Mit präzisen Regeln lassen sich schädliche Bedrohungen mit hoher Sicherheit erkennen. Mit allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger vorkommt und mehr falsch positive Ergebnisse hervorruft. Für einen Regelsatz sind möglicherweise sowohl Regeln vom Typ „Genau“ als auch „Weitgehend passend“ verfügbar.

  • Benachrichtigungen: Gibt an, bei welchen der Regeln für „Genau“ und „Allgemein“ für jeden Regelsatz Benachrichtigungen aktiviert sind.

  • Mitre-Taktiken: Kennung der Mitre-ATT&CK®-Taktiken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Taktiken stellen die Absicht hinter böswilligem Verhalten dar.

  • Mitre-Techniken: Kennung der Mitre-ATT&CK®-Techniken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Techniken stehen für bestimmte schädliche Verhaltensweisen

Auf dieser Seite können Sie die Regel und Benachrichtigungen für die Regel auch aktivieren oder deaktivieren. Sie können dies sowohl für die breit gefasste als auch für die präzise Regel tun.

Dashboard für die kuratierte Erkennung öffnen

Das entsprechende Dashboard zeigt Informationen zu jeder ausgewählten Erkennung an, die eine Erkennung anhand der Protokolldaten in Ihrem Google Security Operations-Konto ausgelöst hat. Regeln mit Erkennungen werden nach Regelsatz gruppiert.

Führen Sie die folgenden Schritte aus, um das Dashboard für die zusammengestellte Erkennung zu öffnen:

  1. Wählen Sie im Hauptmenü die Option Regeln aus. Der Standard-Tab ist „Ausgewählte Erkennungen“ und die Standardansicht ist Regelsätze.

  2. Klicken Sie auf Dashboard.

    Ausgewählte Aufdeckungen

    Abbildung 2: Dashboard für kuratierte Erkennungen

  3. Im Dashboard für ausgewählte Erkennungen werden alle Regelsätze angezeigt, die für Ihr Google Security Operations-Konto verfügbar sind. Jede Anzeige enthält Folgendes:

    • Diagramm, das die aktuelle Aktivität für jede Regel verfolgt, die mit einem Regelsatz verknüpft ist.

    • Zeitpunkt der letzten Erkennung.

    • Status der einzelnen Regeln.

    • Schweregrad kürzlich erkannter Aktivitäten

    • Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.

  4. Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Menüsymbol oder den Namen des Regelsatzes klicken.

  5. Klicken Sie auf Regelsätze, um zur Ansicht „Regelsätze“ zurückzukehren. Die Ansicht „Regelsätze“ enthält Informationen zu jedem Regelsatz, der für Ihr Google Security Operations-Konto aktiv ist.

Details zu einem Regelsatz ansehen

Sie können die Einstellungen für eine ausgewählte Erkennung ändern, indem Sie für den Regelsatz auf das Menüsymbol und dann auf Regeleinstellungen ansehen und bearbeiten klicken.

Sie aktivieren oder deaktivieren den Regelsatz im Bereich Einstellungen. Mit den Ein-/Aus-Schaltflächen für Status und Benachrichtigungen können Sie die genauen und allgemeinen Regeln im Regelsatz aktivieren oder deaktivieren. Sie können Benachrichtigungen auch aktivieren oder deaktivieren.

Sie können auch alle für den Regelsatz konfigurierten Ausschlüsse aufrufen. Sie können die Ausschlüsse bearbeiten, indem Sie auf Anzeigen klicken. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Regeleinstellungen

Abbildung 3: Regeleinstellungen

Änderung aller Regeln in einem Regelsatz

Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einem Regelsatz angezeigt. Sie können die Einstellungen ändern, um Erkennungsmechanismen zu erstellen, die speziell auf die Nutzung und Anforderungen Ihres Unternehmens zugeschnitten sind.

  • Genaue Regeln: Sie erkennen böswilliges Verhalten mit größerer Sicherheit und weniger falsch positive Ergebnisse, da die Regel spezifischer ist.

  • Allgemeine Regeln: Ermitteln Sie Verhalten, das potenziell bösartig oder ungewöhnlich sein könnte, aber aufgrund des allgemeineren Charakters der Regel in der Regel mehr falsch positive Ergebnisse aufweist.

  • Status: Sie können den Status einer Regel als genau oder allgemein aktivieren, indem Sie die entsprechende Status-Option auf Aktiviert setzen.

  • Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um Erkennungen zu erhalten, die von entsprechenden genauen oder allgemeinen Regeln erstellt wurden. Setzen Sie dazu die Option Benachrichtigungen auf Ein.

Benachrichtigungen aus Regelsätzen mithilfe von Referenzlisten reduzieren

Jedem Regelsatz sind Referenzlisten zugeordnet. Auf der Seite „Regeleinstellungen“ können Sie eine Referenzliste öffnen, die mit einem bestimmten Regelsatz verknüpft ist. Klicken Sie dazu neben der Liste auf Öffnen. Sie können weitere Elemente hinzufügen.

Im Folgenden finden Sie ein Beispiel dafür, wie Sie Benachrichtigungen für eine bestimmte Domain unterdrücken können:

  1. Sie erhalten Benachrichtigungen im Zusammenhang mit der Domain probablyokay.com und möchten diese Benachrichtigungen nicht mehr erhalten.

  2. Klicke neben der Referenzliste auf ÖFFNEN. Das Fenster Listen-Manager wird geöffnet.

  3. Fügen Sie probablyokay.com in das Feld „Zeilen“ ein und klicken Sie auf Änderungen speichern.

Ausgewählte Erkennungsfunktionen ansehen

Sie können sich jede der ausgewählten Erkennungen in der Ansicht „Ausgewählte Erkennung“ ansehen. In dieser Ansicht können Sie alle mit der Regel verbundenen Erkennungen prüfen und von der Zeitachse aus zu anderen Ansichten wie der Asset-Ansicht wechseln.

Führen Sie die folgenden Schritte aus, um die Ansicht „Ausgewählte Erkennung“ zu öffnen:

  1. Klicken Sie auf Dashboard.

  2. Klicken Sie in der Spalte Regel auf den Link für den Regelnamen.

Nächste Schritte