Die Seite „Ausgewählte Erkennungen“ verwenden

Unterstützt in:

Kunden von Google Security Operations bietet das Google Cloud Threat Intelligence-Team (GCTI) im Rahmen des Google Cloud Security Shared Fate-Modells sofort einsatzbereite Bedrohungsanalysen. Im Rahmen dieser ausgewählten Erkennungsmechanismen bietet und verwaltet GCTI eine Reihe von YARA-L-Regeln, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen. Diese von GCTI verwalteten Regeln:

  • Stellen Sie den Kunden sofort umsetzbare Informationen zur Verfügung, die sie auf ihre aufgenommenen Daten anwenden können.

  • Nutzt die Bedrohungsinformationen von Google, indem wir Kunden eine einfache Möglichkeit bieten, sie in Google Security Operations zu nutzen.

Im folgenden Dokument wird beschrieben, wie Sie die Seiten mit ausgewählten Erkennungsmechanismen verwenden.

Hinweise

Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie hier:

Wie Sie prüfen, ob die für die einzelnen Richtlinien erforderlichen Daten im richtigen Format vorliegen, erfahren Sie unter Aufnahme von Protokolldaten mithilfe von Testregeln überprüfen.

Ausgewählte Erkennungsfunktionen

Im Folgenden finden Sie einige der wichtigsten Funktionen für ausgewählte Erkennungen:

  • Kuratierte Erkennung: ausgewählte Erkennungsmechanismen, die von GCTI für Google Security Operations-Kunden erstellt und verwaltet werden.

  • Regelsätze: Sammlung von Regeln, die von GCTI für Google Security Operations-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde hat die Möglichkeit, diese Regeln in seinem Google Security Operations-Konto zu aktivieren oder zu deaktivieren und Warnungen für diese Regeln zu aktivieren oder zu deaktivieren. Neue Regeln und Regelsätze werden von GCTI regelmäßig bereitgestellt, wenn sich die Bedrohungslandschaft ändert.

Seite mit ausgewählten Erkennungen und Regelsätzen öffnen

So rufen Sie die Seite mit den ausgewählten Erkennungen auf:

  1. Wählen Sie im Hauptmenü die Option Regeln aus.

  2. Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht „Regelsätze“ zu öffnen.

Auf der Seite „Curated Detection“ finden Sie Informationen zu jedem der für Ihr Google Security Operations-Konto aktiven Regelsätze, darunter:

  • Zuletzt aktualisiert: Zeitpunkt, zu dem GCTI den Regelsatz zuletzt aktualisiert hat

  • Aktivierte Regeln: Gibt an, welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz aktiviert sind. Mit präzisen Regeln lassen sich schädliche Bedrohungen zuverlässig erkennen. Bei allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger auftritt und zu mehr falsch-positiven Ergebnissen führt. Für einen Regelsatz können sowohl genaue als auch allgemeine Regeln verfügbar sein.

  • Benachrichtigungen: Gibt an, für welche der Regeln vom Typ „Genau“ und „Weitgehend passend“ für jeden Regelsatz Benachrichtigungen aktiviert sind.

  • Mitre-Taktiken: Kennung der MITRE ATT&CK®-Taktiken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Taktiken repräsentieren die Absicht hinter böswilligem Verhalten.

  • Mitre Techniques: Kennung der Mitre ATT&CK®-Techniken, die von jedem Regelsatz abgedeckt werden. MITRE ATT&CK®-Techniken stellen bestimmte Aktionen böswilligen Verhaltens dar.

Auf dieser Seite können Sie auch die Regel und die Benachrichtigungen für die Regel aktivieren oder deaktivieren. Sie können dies entweder für die allgemeinen oder für die genauen Regeln tun.

Dashboard für ausgewählte Erkennungsmechanismen öffnen

Das Dashboard für ausgewählte Erkennungen enthält Informationen zu jeder ausgewählten Erkennung, die eine Erkennung in den Protokolldaten in Ihrem Google Security Operations-Konto ausgelöst hat. Regeln mit Erkennungen sind nach Regelsatz gruppiert.

So öffnen Sie das Dashboard für ausgewählte Erkennungen:

  1. Wählen Sie im Hauptmenü die Option Regeln aus. Der Standardtab ist „Ausgewählte Erkennungen“ und die Standardansicht ist „Regelsätze“.

  2. Klicken Sie auf Dashboard.

    Ausgewählte Erkennungen

    Abbildung 2: Dashboard für kuratierte Erkennungen

  3. Im Dashboard für Kuratierte Erkennungen werden alle für Ihr Google Security Operations-Konto verfügbaren Regelsätze angezeigt. Jede Anzeige enthält Folgendes:

    • Diagramm, in dem die aktuelle Aktivität für jede Regel eines Regelsatzes erfasst wird.

    • Zeitpunkt der letzten Erkennung.

    • Status der einzelnen Regeln.

    • Schweregrad der letzten Erkennungen.

    • Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.

  4. Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Menüsymbol oder den Namen des Regelsatzes klicken.

  5. Klicken Sie auf Regelsätze, um zur Regelsatzansicht zurückzukehren. Die Regelsatzansicht enthält Informationen zu jedem für Ihr Google Security Operations-Konto aktiven Regelsatz.

Details zu einem Regelsatz ansehen

Sie können die Einstellungen für jede kuratierte Erkennung ändern, indem Sie auf das Dreipunkt-Menü des Regelsatzes klicken und dann Regeleinstellungen aufrufen und bearbeiten auswählen.

Sie aktivieren oder deaktivieren den Regelsatz im Bereich Einstellungen. Mit den Ein-/Aus-Schaltflächen für Status und Benachrichtigungen können Sie die genauen und umfassenden Regeln im Regelsatz aktivieren oder deaktivieren. Sie können auch Benachrichtigungen aktivieren oder deaktivieren.

Sie können sich auch alle Ausschlüsse ansehen, die für den Regelsatz konfiguriert wurden. Sie können die Ausschlüsse bearbeiten, indem Sie auf Ansehen klicken. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Regeleinstellungen

Abbildung 3: Regeleinstellungen

Änderung aller Regeln in einem Regelsatz

Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einer Regel angezeigt. festgelegt. Sie können die Einstellungen ändern, um ausgewählte Erkennungsmechanismen für Ihre Unternehmensnutzung und -anforderungen.

  • Genaue Regeln: Malware wird mit höherer Wahrscheinlichkeit erkannt und es gibt weniger falsch positive Ergebnisse, da die Regel spezifischer ist.

  • Allgemeine Regeln: Sie finden hier Verhaltensweisen, die bösartig oder ungewöhnlich sein könnten. aber aufgrund des allgemeineren Charakters der Regel mit mehr falsch positiven Ergebnissen.

  • Status: Sie können den Status einer Regel als präzise oder weit gefasst aktivieren, indem Sie die entsprechende Option Status auf Aktiviert setzen.

  • Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um Erkennungen zu erhalten, die von den entsprechenden genauen oder allgemeine Regeln erstellen, indem Sie die Option Benachrichtigungen auf Ein setzen.

Benachrichtigungen aus Regelsätzen mithilfe von Referenzlisten reduzieren

Mit jedem Regelsatz sind Referenzlisten verknüpft. Auf der Seite „Regeln“ können Sie eine Referenzliste für einen bestimmten Regelsatz öffnen, indem Sie neben der Liste auf Öffnen klicken. Sie können ihm weitere Elemente hinzufügen.

Im Folgenden finden Sie ein Beispiel dafür, wie Sie Benachrichtigungen für eine bestimmte Domain unterdrücken würden:

  1. Sie erhalten Benachrichtigungen, die mit der Domain probablyokay.com verknüpft sind, und möchten diese Benachrichtigungen nicht mehr erhalten.

  2. Klicke neben der Referenzliste auf ÖFFNEN. Der Listenmanager wird geöffnet.

  3. Fügen Sie dem Feld „Zeilen“ die Zahl probablyokay.com hinzu und klicken Sie auf Änderungen speichern.

Ausgewählte Erkennungen ansehen

Sie können sich alle ausgewählten Erkennungen in der Ansicht „Ausgewählte Erkennungen“ ansehen. In dieser Ansicht können Sie die mit der Regel verknüpften Erkennungen überprüfen und über die Zeitachse zu anderen Ansichten wie der Asset-Ansicht wechseln.

So rufen Sie die Ansicht „Zusammengestellte Erkennung“ auf:

  1. Klicken Sie auf Dashboard.

  2. Klicken Sie in der Spalte „Regel“ auf den Link für den Regelnamen.

Nächste Schritte