Die Seite „Ausgewählte Erkennungen“ verwenden

Für Google Security Operations-Kunden bietet das GCTI-Team (Google Cloud Threat Intelligence) sofort einsatzbereite Bedrohungsanalysen im Rahmen des Google Cloud Security Shared Fate-Modells. Im Rahmen dieser ausgewählten Erkennungsmechanismen bietet und verwaltet GCTI eine Reihe von YARA-L-Regeln, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen. Diese von GCTI verwalteten Regeln:

  • Stellen Sie Ihren Kunden sofort umsetzbare Informationen zur Verfügung, die sich auf ihre aufgenommenen Daten anwenden lassen.

  • Nutzt die Bedrohungsinformationen von Google, indem wir Kunden eine einfache Möglichkeit bieten, sie in Google Security Operations zu nutzen.

Im folgenden Dokument wird beschrieben, wie Sie die Seiten mit ausgewählten Erkennungsmechanismen verwenden.

Hinweise

Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie hier:

Informationen zum Prüfen, ob die für die einzelnen Richtlinien erforderlichen Daten das richtige Format haben, finden Sie unter Aufnahme von Logdaten mithilfe von Testregeln prüfen.

Ausgewählte Erkennungsfunktionen

Im Folgenden sind einige der wichtigsten ausgewählten Erkennungsfunktionen aufgeführt:

  • Kuratierte Erkennung: ausgewählte Erkennungsmechanismen, die von GCTI für Google Security Operations-Kunden erstellt und verwaltet werden.

  • Regelsätze: Sammlung von Regeln, die von GCTI für Google Security Operations-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde hat die Möglichkeit, diese Regeln in seinem Google Security Operations-Konto zu aktivieren oder zu deaktivieren und Warnungen für diese Regeln zu aktivieren oder zu deaktivieren. Neue Regeln und Regelsätze werden von GCTI regelmäßig bereitgestellt, wenn sich die Bedrohungslandschaft ändert.

Seite mit ausgewählten Erkennungen und Regelsätzen öffnen

Führe die folgenden Schritte aus, um die Seite mit ausgewählten Erkennungen zu öffnen:

  1. Wählen Sie im Hauptmenü die Option Regeln aus.

  2. Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht „Regelsätze“ zu öffnen.

Auf der Seite „Kurierte Erkennung“ finden Sie Informationen zu jedem der für Ihr Google Security Operations-Konto aktiven Regelsätze, darunter:

  • Letzte Aktualisierung: Zeitpunkt der letzten Aktualisierung des Regelsatzes durch GCTI.

  • Aktivierte Regeln: Gibt an, welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz aktiviert sind. Mit präzisen Regeln lassen sich schädliche Bedrohungen zuverlässig erkennen. Mit allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger vorkommt und zu mehr falsch positiven Ergebnissen führt. Für einen Regelsatz können sowohl genaue als auch allgemeine Regeln verfügbar sein.

  • Benachrichtigungen: Gibt an, für welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz Benachrichtigungen aktiviert sind.

  • Mitre Tactics: Kennung der Mitre ATT&CK®-Taktiken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Taktiken repräsentieren die Absicht hinter böswilligem Verhalten.

  • Mitre Techniques: Kennung der Mitre ATT&CK®-Techniken, die von jedem Regelsatz abgedeckt werden. Mitre-ATT&CK®-Techniken repräsentieren bestimmte Aktionen mit böswilligem Verhalten

Auf dieser Seite können Sie auch die Regel und Benachrichtigungen für die Regel aktivieren oder deaktivieren. Sie können dies entweder für die allgemeinen oder für die genauen Regeln tun.

Dashboard für ausgewählte Erkennungsmechanismen öffnen

Das Dashboard für kuratierte Erkennungsmechanismen enthält Informationen zu jeder ausgewählten Erkennung, die zu einer Erkennung mit den Protokolldaten in Ihrem Google Security Operations-Konto geführt hat. Regeln mit Erkennungen sind nach Regelsatz gruppiert.

Führen Sie die folgenden Schritte aus, um das Dashboard für ausgewählte Erkennungsmechanismen zu öffnen:

  1. Wählen Sie im Hauptmenü die Option Regeln aus. Auf dem Standard-Tab werden ausgewählte Erkennungen und als Standardansicht Regelsätze angezeigt.

  2. Klicken Sie auf Dashboard.

    Ausgewählte Erkennungen

    Abbildung 2: Dashboard für kuratierte Erkennungen

  3. Im Dashboard für Kuratierte Erkennungen werden alle für Ihr Google Security Operations-Konto verfügbaren Regelsätze angezeigt. Jede Anzeige enthält Folgendes:

    • Diagramm, das die aktuelle Aktivität für jede der einem Regelsatz zugeordneten Regeln verfolgt.

    • Zeitpunkt der letzten Erkennung.

    • Der Status der einzelnen Regeln.

    • Schweregrad der letzten Erkennungen.

    • Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.

  4. Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Menüsymbol oder den Namen des Regelsatzes klicken.

  5. Klicken Sie auf Regelsätze, um zur Regelsatzansicht zurückzukehren. Die Regelsatzansicht enthält Informationen zu jedem für Ihr Google Security Operations-Konto aktiven Regelsatz.

Details zu einem Regelsatz ansehen

Sie können die Einstellungen für jede kuratierte Erkennung ändern, indem Sie auf das Dreipunkt-Menü des Regelsatzes klicken und dann Regeleinstellungen aufrufen und bearbeiten auswählen.

Sie aktivieren oder deaktivieren den Regelsatz im Bereich Einstellungen. Mit den Ein-/Aus-Schaltflächen Status und Benachrichtigungen können Sie die genauen und umfassenden Regeln im Regelsatz aktivieren oder deaktivieren. Sie können Benachrichtigungen auch aktivieren oder deaktivieren.

Sie können sich auch alle Ausschlüsse ansehen, die für den Regelsatz konfiguriert wurden. Sie können die Ausschlüsse bearbeiten, indem Sie auf Anzeigen klicken. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Regeleinstellungen

Abbildung 3: Regeleinstellungen

Änderung aller Regeln in einem Regelsatz

Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einem Regelsatz angezeigt. Sie können die Einstellungen ändern, um kuratierte Erkennungen zu erstellen, die auf die Nutzung und Anforderungen Ihrer Organisation zugeschnitten sind.

  • Präzise Regeln: Sie erkennen böswilliges Verhalten mit einem höheren Konfidenzniveau und haben aufgrund der spezifischeren Art der Regel weniger falsch positive Ergebnisse.

  • Allgemeine Regeln: Suchen Sie nach Verhaltensweisen, die potenziell bösartig oder ungewöhnlich sein könnten, aber aufgrund des allgemeineren Charakters der Regel normalerweise mehr falsch positive Ergebnisse liefern.

  • Status: Sie können den Status einer Regel als „Genau“ oder „Weitgehend passend“ aktivieren, indem Sie die entsprechende Option Status auf Aktiviert setzen.

  • Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um Erkennungen zu erhalten, die durch entsprechende präzise oder allgemeine Regeln erstellt wurden. Setzen Sie dazu die Option Benachrichtigungen auf Ein.

Benachrichtigungen aus Regelsätzen mithilfe von Referenzlisten reduzieren

Jedem Regelsatz sind Referenzlisten zugeordnet. Auf der Seite „Regeleinstellungen“ können Sie eine Referenzliste öffnen, die mit einem bestimmten Regelsatz verknüpft ist, indem Sie neben der Liste auf Öffnen klicken. Sie können weitere Elemente hinzufügen.

Im Folgenden finden Sie ein Beispiel dafür, wie Sie Benachrichtigungen für eine bestimmte Domain unterdrücken würden:

  1. Sie erhalten Benachrichtigungen für eine Domain namens probablyokay.com und möchten keine solchen Benachrichtigungen mehr erhalten.

  2. Klicke neben der Referenzliste auf ÖFFNEN. Der Listenmanager wird geöffnet.

  3. Fügen Sie probablyokay.com in das Feld „Zeilen“ ein und klicken Sie auf Änderungen speichern.

Ausgewählte Erkennungsmechanismen ansehen

Sie können sich alle ausgewählten Erkennungen in der Ansicht „Kernierte Erkennung“ ansehen. In dieser Ansicht können Sie die mit der Regel verknüpften Erkennungen überprüfen und über die Zeitachse zu anderen Ansichten wie der Asset-Ansicht wechseln.

So öffnen Sie die Ansicht „Ausgewählte Erkennung“:

  1. Klicken Sie auf Dashboard.

  2. Klicken Sie in der Spalte „Regel“ auf den Link für den Regelnamen.

Nächste Schritte