Seite „Ausgewählte Erkennungsmechanismen“ verwenden

Unterstützt in:

Für Google Security Operations-Kunden bietet das Google Cloud Threat Intelligence-Team (GCTI) im Rahmen des Google Cloud Shared Fate-Modells für Sicherheit vorkonfigurierte Bedrohungsanalysen an. Im Rahmen dieser ausgewählten Erkennungen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet diese, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen. Diese von GCTI verwalteten Regeln:

  • Kunden sofort umsetzbare Informationen zur Verfügung stellen, die sie auf ihre aufgenommenen Daten anwenden können.

  • Nutzt die Threat Intelligence von Google, indem Kunden eine einfache Möglichkeit geboten wird, sie in Google Security Operations zu verwenden.

Im folgenden Dokument wird beschrieben, wie Sie die Seiten mit ausgewählten Erkennungen verwenden.

Hinweis

Weitere Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie hier:

Wie Sie prüfen, ob die für die einzelnen Richtlinien erforderlichen Daten im richtigen Format vorliegen, erfahren Sie unter Aufnahme von Protokolldaten mithilfe von Testregeln prüfen.

Funktionen für ausgewählte Erkennungen

Im Folgenden finden Sie einige der wichtigsten Funktionen für ausgewählte Erkennungen:

  • Ausgewählte Erkennung: Von GCTI für Google Security Operations-Kunden erstellte und verwaltete ausgewählte Erkennung.

  • Regelsätze: Sammlung von Regeln, die von GCTI für Google Security Operations-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde kann diese Regeln in seinem Google Security Operations-Konto aktivieren oder deaktivieren und Benachrichtigungen für diese Regeln aktivieren oder deaktivieren. Neue Regeln und Regelsätze werden von GCTI regelmäßig bereitgestellt, wenn sich die Bedrohungslage ändert.

Seite mit ausgewählten Erkennungen und Regelsätzen öffnen

So rufen Sie die Seite mit den ausgewählten Erkennungen auf:

  1. Wählen Sie im Hauptmenü Regeln aus.

  2. Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht „Regelsätze“ zu öffnen.

Auf der Seite „Ausgewählte Erkennung“ finden Sie Informationen zu den einzelnen Regelsätzen, die für Ihr Google Security Operations-Konto aktiv sind. Dazu gehören:

  • Letzte Aktualisierung: Zeitpunkt, zu dem GCTI den Regelsatz zuletzt aktualisiert hat.

  • Aktivierte Regeln: Gibt an, welche der genauen und allgemeinen Regeln für jeden Regelsatz aktiviert sind. Mithilfe genauer Regeln können Sie schädliche Bedrohungen mit hoher Wahrscheinlichkeit erkennen. Bei allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger auftritt und zu mehr falsch positiven Ergebnissen führt. Für einen Regelsatz können sowohl genaue als auch ungefähre Regeln verfügbar sein.

  • Benachrichtigungen: Gibt an, für welche der genauen und allgemeinen Regeln Benachrichtigungen für jeden Regelsatz aktiviert sind.

  • Mitre-Taktiken: Kennung der MITRE ATT&CK®-Taktiken, die von jedem Regelsatz abgedeckt werden. MITRE ATT&CK®-Taktiken repräsentieren die Absicht hinter schädlichem Verhalten.

  • Mitre-Techniken: Kennung der MITRE ATT&CK®-Techniken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Techniken repräsentieren spezifische Aktionen von schädlichem Verhalten

Auf dieser Seite können Sie auch die Regel und die Benachrichtigungen für die Regel aktivieren oder deaktivieren. Das ist sowohl für allgemeine als auch für präzise Regeln möglich.

Dashboard für ausgewählte Erkennungsmechanismen öffnen

Das Dashboard für ausgewählte Erkennungen enthält Informationen zu jeder ausgewählten Erkennung, die eine Erkennung in den Protokolldaten in Ihrem Google Security Operations-Konto ausgelöst hat. Regeln mit erkannten Verstößen werden nach Regelsatz gruppiert.

So öffnen Sie das Dashboard für ausgewählte Erkennungen:

  1. Wählen Sie im Hauptmenü Regeln aus. Der Standardtab ist „Ausgewählte Erkennungen“ und die Standardansicht ist „Regelsätze“.

  2. Klicken Sie auf Dashboard.

    Ausgewählte Erkennungen

    Abbildung 2: Dashboard „Zusammengestellte Erkennungen“

  3. Im Dashboard „Ausgewählte Erkennungen“ werden alle Regelsätze angezeigt, die für Ihr Google Security Operations-Konto verfügbar sind. Jede Anzeige enthält Folgendes:

    • Diagramm, in dem die aktuelle Aktivität für jede Regel eines Regelsatzes erfasst wird.

    • Zeitpunkt der letzten Erkennung.

    • Status der einzelnen Regeln.

    • Schweregrad der letzten Erkennungen.

    • Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.

  4. Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Dreipunkt-Menü  oder den Namen der Regelgruppe klicken.

  5. Klicken Sie auf Regelsätze, um zur Ansicht „Regelsätze“ zurückzukehren. In der Ansicht „Regeln“ finden Sie Informationen zu allen Regeln, die für Ihr Google Security Operations-Konto aktiv sind.

Details zu einem Regelsatz ansehen

Sie können die Einstellungen für jede ausgewählte Erkennung ändern, indem Sie auf das Dreipunkt-Menü  für den Regelsatz klicken und dann Regelneinstellungen ansehen und bearbeiten auswählen.

Sie können den Regelsatz unter Einstellungen aktivieren oder deaktivieren. Mit den Ein-/Aus-Schaltflächen Status und Benachrichtigungen können Sie die genauen und allgemeinen Regeln im Regelsatz aktivieren oder deaktivieren. Sie können auch Benachrichtigungen aktivieren oder deaktivieren.

Außerdem können Sie sich alle für den Regelsatz konfigurierten Ausschlüsse ansehen. Sie können die Ausschlüsse bearbeiten, indem Sie auf Ansehen klicken. Weitere Informationen finden Sie unter Ausschlüsse für Regeln konfigurieren.

Regeleinstellungen

Abbildung 3: Regeleinstellungen

Änderung aller Regeln in einem Regelsatz

Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einem Regelsatz angezeigt. Sie können die Einstellungen ändern, um benutzerdefinierte Erkennungen für die Nutzung und Anforderungen Ihrer Organisation zu erstellen.

  • Genaue Regeln: Mithilfe genauer Regeln können Sie schädliches Verhalten mit höherer Konfidenz und weniger falsch positiven Ergebnissen erkennen, da die Regel spezifischer ist.

  • Allgemeine Regeln: Sie können damit Verhalten erkennen, das potenziell schädlich oder anomal ist. Aufgrund der allgemeinen Natur der Regel gibt es aber in der Regel mehr falsch positive Ergebnisse.

  • Status: Sie können den Status einer Regel als präzise oder weit gefasst aktivieren, indem Sie die entsprechende Option Status auf Aktiviert setzen.

  • Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um über erkannte Probleme informiert zu werden, die durch entsprechende genaue oder allgemeine Regeln verursacht wurden. Legen Sie dazu die Option Benachrichtigungen auf An fest.

Mit Referenzlisten die Anzahl der Benachrichtigungen von Regelsätzen reduzieren

Mit jedem Regelsatz sind Referenzlisten verknüpft. Auf der Seite „Regeln“ können Sie eine Referenzliste für einen bestimmten Regelsatz öffnen, indem Sie neben der Liste auf Öffnen klicken. Sie können ihm weitere Elemente hinzufügen.

Im Folgenden finden Sie ein Beispiel für die Vorgehensweise, um Benachrichtigungen für eine bestimmte Domain zu unterdrücken:

  1. Sie erhalten Benachrichtigungen, die mit der Domain probablyokay.com verknüpft sind, und möchten diese Benachrichtigungen nicht mehr erhalten.

  2. Klicken Sie neben der Referenzliste auf „ÖFFNEN“. Dadurch wird das Fenster „Listenmanager“ geöffnet.

  3. Fügen Sie dem Feld „Zeilen“ die Zahl probablyokay.com hinzu und klicken Sie auf Änderungen speichern.

Ausgewählte Erkennungen ansehen

Sie können sich alle ausgewählten Erkennungen in der Ansicht „Ausgewählte Erkennungen“ ansehen. In dieser Ansicht können Sie alle mit der Regel verknüpften Erkennungen prüfen und über die Zeitachse zu anderen Ansichten wechseln, z. B. zur Asset-Ansicht.

So öffnen Sie die Ansicht „Zusammengestellte Erkennung“:

  1. Klicken Sie auf Dashboard.

  2. Klicken Sie in der Spalte „Regel“ auf den Link zum Regelnamen.

Nächste Schritte