Die Seite „Ausgewählte Erkennungen“ verwenden
Für Google Security Operations-Kunden bietet das GCTI-Team (Google Cloud Threat Intelligence) sofort einsatzbereite Bedrohungsanalysen im Rahmen des Google Cloud Security Shared Fate-Modells. Im Rahmen dieser ausgewählten Erkennungsmechanismen bietet und verwaltet GCTI eine Reihe von YARA-L-Regeln, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen. Diese von GCTI verwalteten Regeln:
Stellen Sie Ihren Kunden sofort umsetzbare Informationen zur Verfügung, die sich auf ihre aufgenommenen Daten anwenden lassen.
Nutzt die Bedrohungsinformationen von Google, indem wir Kunden eine einfache Möglichkeit bieten, sie in Google Security Operations zu nutzen.
Im folgenden Dokument wird beschrieben, wie Sie die Seiten mit ausgewählten Erkennungsmechanismen verwenden.
Hinweise
Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie hier:
- Übersicht über die Cloud Threats-Kategorie
- Übersicht über die Windows-Bedrohungskategorie
- Übersicht über die Linux-Bedrohungskategorie
- Übersicht über die Risikoanalyse für die UEBA-Kategorie
- Übersicht zur Kategorie „Applied Threat Intelligence“
Informationen zum Prüfen, ob die für die einzelnen Richtlinien erforderlichen Daten das richtige Format haben, finden Sie unter Aufnahme von Logdaten mithilfe von Testregeln prüfen.
Ausgewählte Erkennungsfunktionen
Im Folgenden sind einige der wichtigsten ausgewählten Erkennungsfunktionen aufgeführt:
Kuratierte Erkennung: ausgewählte Erkennungsmechanismen, die von GCTI für Google Security Operations-Kunden erstellt und verwaltet werden.
Regelsätze: Sammlung von Regeln, die von GCTI für Google Security Operations-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde hat die Möglichkeit, diese Regeln in seinem Google Security Operations-Konto zu aktivieren oder zu deaktivieren und Warnungen für diese Regeln zu aktivieren oder zu deaktivieren. Neue Regeln und Regelsätze werden von GCTI regelmäßig bereitgestellt, wenn sich die Bedrohungslandschaft ändert.
Seite mit ausgewählten Erkennungen und Regelsätzen öffnen
Führe die folgenden Schritte aus, um die Seite mit ausgewählten Erkennungen zu öffnen:
Wählen Sie im Hauptmenü die Option Regeln aus.
Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht „Regelsätze“ zu öffnen.
Auf der Seite „Curated Detection“ finden Sie Informationen zu jedem der für Ihr Google Security Operations-Konto aktiven Regelsätze, darunter:
Zuletzt aktualisiert: Zeitpunkt, zu dem GCTI den Regelsatz zuletzt aktualisiert hat
Aktivierte Regeln: Gibt an, welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz aktiviert sind. Mit präzisen Regeln lassen sich schädliche Bedrohungen zuverlässig erkennen. Mit allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger vorkommt und zu mehr falsch positiven Ergebnissen führt. Für einen Regelsatz können sowohl genaue als auch allgemeine Regeln verfügbar sein.
Benachrichtigungen: Gibt an, für welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz Benachrichtigungen aktiviert sind.
Mitre Tactics: Kennung der Mitre ATT&CK®-Taktiken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Taktiken repräsentieren die Absicht hinter böswilligem Verhalten.
Mitre Techniques: Kennung der Mitre ATT&CK®-Techniken, die von jedem Regelsatz abgedeckt werden. Mitre-ATT&CK®-Techniken repräsentieren bestimmte Aktionen von böswilligem Verhalten
Auf dieser Seite können Sie auch die Regel und Benachrichtigungen für die Regel aktivieren oder deaktivieren. Sie können dies entweder für die allgemeinen oder für die genauen Regeln tun.
Dashboard für ausgewählte Erkennungsmechanismen öffnen
Das Dashboard für kuratierte Erkennungsmechanismen enthält Informationen zu jeder ausgewählten Erkennung, die zu einer Erkennung mit den Protokolldaten in Ihrem Google Security Operations-Konto geführt hat. Regeln mit Erkennungen sind nach Regelsatz gruppiert.
Führen Sie die folgenden Schritte aus, um das Dashboard für ausgewählte Erkennungsmechanismen zu öffnen:
Wählen Sie im Hauptmenü die Option Regeln aus. Auf dem Standard-Tab werden ausgewählte Erkennungen und als Standardansicht Regelsätze angezeigt.
Klicken Sie auf Dashboard.
Abbildung 2: Dashboard für kuratierte Erkennungen
Im Dashboard für Kuratierte Erkennungen werden alle für Ihr Google Security Operations-Konto verfügbaren Regelsätze angezeigt. Jede Anzeige enthält Folgendes:
Diagramm, das die aktuelle Aktivität für jede der einem Regelsatz zugeordneten Regeln verfolgt.
Zeitpunkt der letzten Erkennung.
Der Status der einzelnen Regeln.
Schweregrad der letzten Erkennungen.
Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.
Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Menüsymbol
oder den Namen des Regelsatzes klicken.Klicken Sie auf Regelsätze, um zur Regelsatzansicht zurückzukehren. Die Regelsatzansicht enthält Informationen zu jedem für Ihr Google Security Operations-Konto aktiven Regelsatz.
Details zu einem Regelsatz ansehen
Sie können die Einstellungen für jede kuratierte Erkennung ändern, indem Sie auf das Dreipunkt-Menü
des Regelsatzes klicken und dann Regeleinstellungen aufrufen und bearbeiten auswählen.Sie aktivieren oder deaktivieren den Regelsatz im Bereich Einstellungen. Mit den Ein-/Aus-Schaltflächen für Status und Benachrichtigungen können Sie die genauen und umfassenden Regeln im Regelsatz aktivieren oder deaktivieren. Sie können Benachrichtigungen auch aktivieren oder deaktivieren.
Sie können sich auch alle Ausschlüsse ansehen, die für den Regelsatz konfiguriert wurden. Sie können die Ausschlüsse bearbeiten, indem Sie auf Anzeigen klicken. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.
Abbildung 3: Regeleinstellungen
Änderung aller Regeln in einem Regelsatz
Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einer Regel angezeigt. festgelegt. Sie können die Einstellungen ändern, um ausgewählte Erkennungsmechanismen für Ihre Unternehmensnutzung und -anforderungen.
Präzise Regeln: Mit der Funktion weniger falsch positive Ergebnisse aufgrund der spezifischeren Art der Regel.
Allgemeine Regeln: Sie finden hier Verhaltensweisen, die bösartig oder ungewöhnlich sein könnten. aber aufgrund des allgemeineren Charakters der Regel mit mehr falsch positiven Ergebnissen.
Status: Legen Sie den Status einer Regel als genau oder allgemein fest, indem Sie den entsprechenden Status auf Enabled (Aktiviert).
Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um Erkennungen zu erhalten, die von den entsprechenden genauen oder allgemeine Regeln erstellen, indem Sie die Option Benachrichtigungen auf Ein setzen.
Benachrichtigungen aus Regelsätzen mithilfe von Referenzlisten reduzieren
Jedem Regelsatz sind Referenzlisten zugeordnet. Auf der Seite „Regeleinstellungen“ können Sie eine Referenzliste öffnen, die mit einem bestimmten Regelsatz verknüpft ist, indem Sie neben der Liste auf Öffnen klicken. Sie können weitere Elemente hinzufügen.
Im Folgenden finden Sie ein Beispiel dafür, wie Sie Benachrichtigungen für eine bestimmte Domain unterdrücken würden:
Sie erhalten Benachrichtigungen für eine Domain namens
probablyokay.com
und möchten keine solchen Benachrichtigungen mehr erhalten.Klicke neben der Referenzliste auf ÖFFNEN. Der Listenmanager wird geöffnet.
Fügen Sie
probablyokay.com
in das Feld „Zeilen“ ein und klicken Sie auf Änderungen speichern.
Ausgewählte Erkennungsmechanismen ansehen
Sie können sich alle ausgewählten Erkennungen in der Ansicht „Kernierte Erkennung“ ansehen. In dieser Ansicht können Sie die mit der Regel verknüpften Erkennungen überprüfen und über die Zeitachse zu anderen Ansichten wie der Asset-Ansicht wechseln.
So öffnen Sie die Ansicht „Ausgewählte Erkennung“:
Klicken Sie auf Dashboard.
Klicken Sie in der Spalte „Regel“ auf den Link für den Regelnamen.
Nächste Schritte
- GCTI-Benachrichtigung prüfen
- Benachrichtigungen anpassen, die von Regelsätzen in dieser Kategorie zurückgegeben werden