Usar a página de detecções selecionadas

Para os clientes do Google Security Operations, a equipe de Inteligência contra Ameaças do Google Cloud (GCTI, na sigla em inglês) oferece análises de ameaças prontas para uso como parte do modelo de destino compartilhado do Google Cloud Security. Como parte dessas detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa. Essas regras gerenciadas pelo GCTI:

• Forneça aos clientes informações úteis que podem ser usadas com os dados ingeridos.

• Aproveita a inteligência sobre ameaças do Google oferecendo aos clientes uma maneira simples de usá-la nas Operações de segurança do Google.

O documento a seguir descreve como usar as páginas de detecções selecionadas.

Antes de começar

Para informações sobre as políticas predefinidas de detecção de ameaças, consulte:

• Visão geral da categoria Ameaças à nuvem
• Visão geral da categoria Ameaças do Windows
• Visão geral da categoria Ameaças do Linux
• Visão geral da análise de risco da categoria UEBA
• Visão geral da categoria Inteligência aplicada sobre ameaças

Para verificar se os dados necessários para cada política estão no formato correto, consulte Verificar a transferência de dados de registro usando regras de teste.

Recursos de detecções selecionadas

Confira a seguir alguns dos principais recursos de detecção selecionada:

• Detecção selecionada: detecção criada e gerenciada pelo GCTI para clientes do Google Security Operations.

• Conjuntos de regras: conjunto de regras gerenciadas pelo GCTI para clientes das Operações de segurança do Google. O GCTI fornece e mantém vários conjuntos de regras. O cliente tem a opção de ativar ou desativar essas regras na conta de Operações de Segurança do Google e ativar ou desativar alertas para essas regras. A GCTI vai fornecer novas regras e conjuntos de regras periodicamente conforme o cenário de ameaças muda.

Abrir a página de detecções selecionadas e os conjuntos de regras

Para abrir a página de detecções selecionadas, siga estas etapas:

1. Selecione Regras no menu principal.

2. Clique em Detecções selecionadas para abrir a visualização de conjuntos de regras.

A página "Detecção selecionada" oferece informações sobre cada um dos conjuntos de regras ativos na sua conta das Operações de segurança do Google, incluindo o seguinte:

• Última atualização: hora em que a GCTI atualizou o conjunto de regras pela última vez.

• Regras ativadas: indica quais das regras amplas e precisas estão ativadas em cada conjunto de regras. As regras precisas encontram ameaças maliciosas com um alto grau de confiança. As amplas, por sua vez, procuram comportamentos suspeitos que podem ser mais comuns e gerar mais falsos positivos. Esses dois tipos de regras podem estar disponíveis em um conjunto de regras.

• Alerta: indica quais das regras amplas e precisas têm alertas ativados em cada conjunto de regras.

• Mitre Tactics: identificador das táticas do Mitre ATT&CK® incluídas em cada conjunto de regras. As táticas do Mitre ATT&CK® representam a intenção por trás de comportamentos maliciosos.

• Técnicas do Mitre: identificador das técnicas do Mitre ATT&CK® incluídas em cada conjunto de regras. As técnicas do Mitre ATT&CK® representam ações específicas de comportamentos maliciosos

Nessa página, também é possível ativar ou desativar a regra e os alertas da regra. Isso pode ser feito para regras amplas ou precisas.

Abrir o painel de detecção

O painel de detecções selecionadas mostra informações sobre cada detecção selecionada que produziu uma detecção nos dados de registro da sua conta do Google Security Operations. As regras com detecções são agrupadas por conjunto de regras.

Para abrir o painel de detecção selecionado, siga estas etapas:

1. Selecione Regras no menu principal. A guia padrão é "Detecções selecionadas", e a visualização padrão é "Grupos de regras".

2. Clique em Painel.

   

   Figura 2: painel "Detecções selecionadas"

3. O painel "Deteções selecionadas" mostra cada um dos conjuntos de regras disponíveis na sua conta do Google Security Operations. Cada tela inclui o seguinte:

   • Gráfico que rastreia a atividade atual de cada uma das regras associadas a um conjunto de regras.

   • Horário da última detecção.

   • Status de cada regra.

   • Gravidade das detecções recentes.

   • Se os alertas estão ativados ou desativados.

4. Para editar as configurações da regra, clique no ícone de menu more_vert ou no nome do conjunto de regras.

5. Clique em Regras para voltar à visualização de conjuntos de regras. A visualização de grupos de regras fornece informações sobre cada conjunto de regras ativo para sua conta das Operações de segurança do Google.

Conferir detalhes sobre um conjunto de regras

É possível modificar as configurações de qualquer detecção selecionada clicando no ícone de menu more_vert do conjunto de regras e selecionando Ver e editar as configurações da regra.

Você ativa ou desativa o conjunto de regras na seção Configurações. Os controles Status e Alerta permitem ativar ou desativar as regras amplas e precisas no conjunto de regras. Você também pode ativar ou desativar os alertas.

Você também pode conferir todas as exclusões configuradas para o conjunto de regras. Para editar as exclusões, clique em Visualizar. Consulte Configurar exclusões de regras para mais informações.

Figura 3: configurações da regra

Modificação de todas as regras em um grupo de regras

A seção Configurações mostra as configurações de todas as regras em um conjunto de regras. É possível modificar as configurações para criar detecções selecionadas específicas para seu uso e necessidades organizacionais.

• Regras precisas: encontre comportamentos maliciosos com um grau de confiança mais alto e menos falsos positivos devido à natureza mais específica da regra.

• Regras amplas: encontram comportamentos que podem ser maliciosos ou anormais, mas geralmente com mais falsos positivos devido à natureza mais geral da regra.

• Status: ative o status de uma regra como preciso ou amplo definindo a Status como Ativado.

• Alertas: ative os alertas para receber detecções criadas por regras precisas ou amplas correspondentes definindo a opção Alerts como On.

Reduzir alertas de conjuntos de regras usando listas de referência

Há listas de referências associadas a cada grupo de regras. Na página "Configurações da regra", você pode abrir uma lista de referência associada a um conjunto de regras específico clicando em Abrir ao lado da lista. É possível adicionar outros itens a ele.

Confira a seguir um exemplo do procedimento a ser seguido para suprimir alertas de um domínio específico:

1. Você está recebendo alertas associados a um domínio chamado probablyokay.com e não quer mais receber esses alertas.

2. Clique em ABRIR ao lado da lista de referências. A janela do Gerenciador de listas será aberta.

3. Adicione probablyokay.com ao campo "Linhas" e clique em Salvar edições.

Conferir as detecções selecionadas

É possível conferir qualquer uma das detecções selecionadas na visualização "Deteções selecionadas". Essa visualização permite examinar qualquer uma das detecções associadas à regra e mudar para outras visualizações, como a Visualização de recursos da linha do tempo.

Para abrir a visualização "Detecção selecionada", siga estas etapas:

1. Clique em Painel.

2. Clique no link do nome da regra na coluna "Regra".

A seguir

• Investigar um alerta da GCTI
• Ajustar os alertas retornados pelos conjuntos de regras nessa categoria