Menggunakan halaman deteksi yang diseleksi

Untuk pelanggan Google Security Operations, tim Google Cloud Threat Intelligence (GCTI) menawarkan analisis ancaman siap pakai sebagai bagian dari model Shared Fate Keamanan Google Cloud. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka. Aturan yang dikelola GCTI ini:

• Berikan analisis yang dapat ditindaklanjuti secara langsung kepada pelanggan yang dapat digunakan terhadap data yang ditransfer.

• Memanfaatkan intelijen ancaman Google dengan memberikan cara mudah kepada pelanggan untuk menggunakannya dalam Google Security Operations.

Dokumen berikut menjelaskan cara menggunakan halaman deteksi pilihan.

Sebelum memulai

Untuk mengetahui informasi tentang kebijakan deteksi ancaman standar, lihat artikel berikut:

• Ringkasan kategori Cloud Threats
• Ringkasan kategori Ancaman Windows
• Ringkasan kategori Linux Threats
• Ringkasan Analisis Risiko untuk kategori UEBA
• Ringkasan kategori Penerapan Inteligensi Ancaman

Untuk memverifikasi bahwa data yang diperlukan untuk setiap kebijakan dalam format yang benar, lihat Memverifikasi penyerapan data log menggunakan aturan pengujian.

Fitur deteksi pilihan

Berikut adalah beberapa fitur deteksi pilihan utama:

• Deteksi Terpilih: deteksi pilihan yang dibuat dan dikelola oleh GCTI untuk pelanggan Google Security Operations.

• Kumpulan aturan: Kumpulan aturan yang dikelola oleh GCTI untuk pelanggan Google Security Operations. GCTI menyediakan dan mengelola beberapa kumpulan aturan. Pelanggan memiliki opsi untuk mengaktifkan atau menonaktifkan aturan ini dalam akun Google Security Operations mereka dan untuk mengaktifkan atau menonaktifkan pemberitahuan untuk aturan ini. Aturan dan kumpulan aturan baru akan disediakan secara berkala oleh GCTI seiring perubahan lanskap ancaman.

Membuka halaman deteksi pilihan dan kumpulan aturan

Untuk membuka halaman deteksi yang diseleksi, selesaikan langkah-langkah berikut:

1. Pilih Aturan dari menu utama.

2. Klik Deteksi Terpilih untuk membuka tampilan kumpulan aturan.

Halaman Deteksi Terpilih memberikan informasi tentang setiap kumpulan aturan yang aktif untuk akun Google Security Operations Anda, termasuk hal berikut:

• Terakhir diperbarui: Waktu GCTI terakhir memperbarui kumpulan aturan.

• Aturan yang Diaktifkan: Menunjukkan aturan Akurat dan Luas yang diaktifkan untuk setiap kumpulan aturan. Aturan akurat menemukan ancaman berbahaya dengan tingkat keyakinan yang tinggi. Aturan luas menelusuri perilaku mencurigakan yang mungkin lebih umum dan menghasilkan lebih banyak positif palsu (PP). Aturan Akurat dan Luas mungkin tersedia untuk kumpulan aturan.

• Pemberitahuan: Menunjukkan aturan Akurat dan Luas mana yang telah mengaktifkan pemberitahuan untuk setiap kumpulan aturan.

• Mitre Tactics: ID taktik Mitre ATT&CK® yang dicakup oleh setiap kumpulan aturan. Taktik Mitre ATT&CK® merepresentasikan maksud di balik perilaku berbahaya.

• Teknik Mitre: ID teknik Mitre ATT&CK® yang dicakup oleh setiap kumpulan aturan. Teknik Mitre ATT&CK® merepresentasikan tindakan tertentu dari perilaku berbahaya

Dari halaman ini, Anda juga dapat mengaktifkan atau menonaktifkan aturan dan notifikasi untuk aturan tersebut. Anda dapat melakukannya untuk aturan yang luas atau yang tepat.

Membuka dasbor deteksi yang diseleksi

Dasbor deteksi pilihan menampilkan informasi tentang setiap deteksi pilihan yang telah menghasilkan deteksi terhadap data log di akun Google Security Operations Anda. Aturan dengan deteksi dikelompokkan menurut kumpulan aturan.

Untuk membuka dasbor deteksi yang diseleksi, selesaikan langkah-langkah berikut:

1. Pilih Aturan dari menu utama. Tab default adalah deteksi pilihan dan tampilan default adalah kumpulan aturan.

2. Klik Dasbor.

   

   Gambar 2: Dasbor Deteksi Terpilih

3. Dasbor Deteksi Terpilih menampilkan setiap kumpulan aturan yang tersedia untuk akun Google Security Operations Anda. Setiap tampilan menyertakan hal berikut:

   • Diagram yang melacak aktivitas saat ini untuk setiap aturan yang terkait dengan kumpulan aturan.

   • Waktu deteksi terakhir.

   • Status setiap aturan.

   • Tingkat keparahan deteksi terbaru.

   • Apakah pemberitahuan diaktifkan atau dinonaktifkan.

4. Anda dapat mengedit setelan aturan dengan mengklik ikon menu more_vert atau nama kumpulan aturan.

5. Klik Set Aturan untuk beralih kembali ke tampilan set aturan. Tampilan kumpulan aturan memberikan informasi tentang setiap kumpulan aturan yang aktif untuk akun Google Security Operations Anda.

Melihat detail tentang kumpulan aturan

Anda dapat mengubah setelan untuk deteksi pilihan dengan mengklik ikon menu more_vert untuk kumpulan aturan, lalu memilih Lihat dan edit setelan aturan.

Anda dapat mengaktifkan atau menonaktifkan kumpulan aturan di bagian Setelan. Tombol Status dan Notifikasi memungkinkan Anda mengaktifkan atau menonaktifkan aturan yang tepat dan luas dalam kumpulan aturan. Anda juga dapat mengaktifkan atau menonaktifkan pemberitahuan.

Anda juga dapat melihat semua pengecualian yang dikonfigurasi untuk kumpulan aturan. Anda dapat mengedit pengecualian dengan mengklik Lihat. Lihat Mengonfigurasi pengecualian aturan untuk informasi selengkapnya.

Gambar 3: Setelan Aturan

Perubahan semua aturan dalam kumpulan aturan

Bagian Setelan menampilkan setelan untuk semua aturan dalam kumpulan aturan. Anda dapat mengubah setelan untuk membuat deteksi pilihan khusus untuk penggunaan dan kebutuhan organisasi Anda.

• Aturan akurat: Menemukan perilaku berbahaya dengan tingkat keyakinan yang lebih tinggi dan lebih sedikit positif palsu (PP) karena sifat aturan yang lebih spesifik.

• Aturan luas: Menemukan perilaku yang berpotensi berbahaya atau tidak normal, tetapi biasanya memiliki lebih banyak positif palsu (PP) karena sifat aturan yang lebih umum.

• Status: Aktifkan status aturan yang tepat atau luas dengan menetapkan opsi Status yang sesuai ke Diaktifkan.

• Pemberitahuan: Aktifkan pemberitahuan untuk menerima deteksi yang dibuat oleh aturan luas atau tepat yang sesuai dengan menetapkan opsi Pemberitahuan ke Aktif.

Mengurangi notifikasi dari kumpulan aturan menggunakan daftar referensi

Ada daftar referensi yang terkait dengan setiap kumpulan aturan. Dari halaman Setelan Aturan, Anda dapat membuka daftar referensi yang terkait dengan kumpulan aturan tertentu dengan mengklik Buka di samping daftar. Anda dapat menambahkan item tambahan ke dalamnya.

Berikut adalah contoh prosedur yang akan Anda ikuti untuk menyembunyikan pemberitahuan untuk domain tertentu:

1. Anda menerima pemberitahuan yang terkait dengan domain bernama probablyokay.com dan tidak ingin lagi menerima pemberitahuan ini.

2. Klik BUKA di samping daftar referensi. Tindakan ini akan membuka jendela Pengelola Daftar.

3. Tambahkan probablyokay.com ke kolom Baris, lalu klik Simpan Pengeditan.

Melihat deteksi pilihan

Anda dapat melihat deteksi pilihan di tampilan Deteksi Pilihan. Tampilan ini memungkinkan Anda memeriksa deteksi yang terkait dengan aturan dan beralih ke tampilan lain seperti Tampilan aset dari Linimasa.

Untuk membuka tampilan Deteksi Terpilih, selesaikan langkah-langkah berikut:

1. Klik Dasbor.

2. Klik link nama aturan di kolom Aturan.

Langkah selanjutnya

• Menyelidiki pemberitahuan GCTI
• Menyesuaikan pemberitahuan yang ditampilkan oleh kumpulan aturan dalam kategori ini