Usar la página de detecciones seleccionadas

En este documento se describe cómo usar las páginas de detecciones seleccionadas.

El equipo de Google Cloud Inteligencia frente a Amenazas (GCTI) ofrece a los clientes de Google Security Operations analíticas de amenazas listas para usar como parte del Google Cloud modelo de responsabilidad compartida de seguridad. Como parte de estas detecciones seleccionadas, GCTI proporciona y gestiona un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas para su empresa. Estas reglas gestionadas por GCTI:

• Proporcionar a los clientes información útil que puedan aplicar inmediatamente a los datos que han insertado.

• Aprovecha la inteligencia frente a amenazas de Google proporcionando a los clientes una forma de usarla en Google SecOps.

Antes de empezar

Para obtener información sobre las políticas de detección de amenazas predefinidas, consulta lo siguiente:

• Descripción general de la categoría Amenazas en la nube
• Descripción general de la categoría Amenazas de Chrome Enterprise
• Descripción general de la categoría Amenazas de Windows
• Descripción general de la categoría Amenazas de Linux
• Descripción general de la categoría Amenazas de macOS
• Información general sobre Analíticas de riesgos de la categoría UEBA
• Descripción general de la categoría Inteligencia de amenazas aplicada

Para comprobar que los datos necesarios para cada política tienen el formato correcto, consulta el artículo Verificar la ingestión de datos de registro mediante reglas de prueba.

Funciones de detecciones seleccionadas

Estas son algunas de las principales funciones de las detecciones seleccionadas:

• Detección seleccionada: detección seleccionada creada y gestionada por GCTI para los clientes de Google SecOps.

• Conjuntos de reglas: colección de reglas gestionadas por GCTI para los clientes de Google SecOps. GCTI proporciona y mantiene varios conjuntos de reglas. El cliente tiene la opción de habilitar o inhabilitar estas reglas en su cuenta de Google SecOps, así como de habilitar o inhabilitar las alertas de estas reglas. GCTI proporcionará periódicamente nuevas reglas y conjuntos de reglas a medida que cambie el panorama de amenazas.

Abrir la página de detecciones y conjuntos de reglas seleccionados

Para abrir la página de detecciones seleccionadas, sigue estos pasos:

1. Selecciona Reglas en el menú principal.

2. Haz clic en Detecciones seleccionadas para abrir la vista de conjuntos de reglas.

La página Detección seleccionada proporciona información sobre cada uno de los conjuntos de reglas activos en tu cuenta de Google SecOps, como la siguiente:

• Última actualización: hora en la que GCTI actualizó por última vez el conjunto de reglas.

• Reglas habilitadas: indica cuáles de las reglas precisas y generales están habilitadas en cada conjunto de reglas. Las reglas precisas detectan amenazas maliciosas con un alto grado de confianza. Las reglas generales buscan comportamientos sospechosos que pueden ser más habituales y generar más falsos positivos. Es posible que haya reglas precisas y generales disponibles para un conjunto de reglas.

• Alertas: indica cuáles de las reglas precisas y generales tienen habilitadas las alertas en cada conjunto de reglas.

• Tácticas de MITRE: identificador de las tácticas de MITRE ATT&CK® que cubre cada conjunto de reglas. Las tácticas de MITRE ATT&CK® representan la intención subyacente al comportamiento malicioso.

• Técnicas de MITRE: identificador de las técnicas de MITRE ATT&CK® que cubre cada conjunto de reglas. Las técnicas de MITRE ATT&CK® representan acciones específicas de comportamiento malicioso

En esta página, también puede habilitar o inhabilitar la regla y las alertas de la regla. Puedes hacerlo con las reglas generales o con las precisas.

Abrir el panel de control de detecciones seleccionadas

El panel de control de detecciones seleccionadas muestra información sobre cada detección seleccionada que ha producido una detección en los datos de registro de tu cuenta de Google SecOps. Las reglas con detecciones se agrupan por conjunto de reglas.

Para abrir el panel de control de detecciones seleccionadas, sigue estos pasos:

1. Selecciona Reglas en el menú principal. La pestaña predeterminada es Detecciones seleccionadas y la vista predeterminada es Conjuntos de reglas.

2. Haz clic en Panel de control.

   

   Imagen 2: Panel de control Detecciones seleccionadas

3. En el panel de control Detecciones seleccionadas se muestran todos los conjuntos de reglas disponibles en tu cuenta de Google SecOps. Cada pantalla incluye lo siguiente:

   • Gráfico que muestra la actividad actual de cada una de las reglas asociadas a un conjunto de reglas.

   • Hora de la última detección.

   • Estado de cada regla.

   • Gravedad de las detecciones recientes.

   • Indica si las alertas están habilitadas o inhabilitadas.

4. Para editar la configuración de la regla, haz clic en el icono de menú more_vert o en el nombre del conjunto de reglas.

5. Haz clic en Conjuntos de reglas para volver a la vista de conjuntos de reglas. La vista de conjuntos de reglas proporciona información sobre cada conjunto de reglas activo en tu cuenta de Google SecOps.

Ver los detalles de un conjunto de reglas

Para modificar la configuración de cualquier detección seleccionada, haz clic en el icono de menú more_vert del conjunto de reglas y, a continuación, selecciona Ver y editar la configuración de las reglas.

Habilita o inhabilita el conjunto de reglas en la sección Configuración. Los interruptores Estado y Alertas te permiten habilitar o inhabilitar las reglas precisas y generales del conjunto de reglas. También puedes activar o desactivar las alertas.

También puede ver todas las exclusiones configuradas para el conjunto de reglas. Para editar las exclusiones, haz clic en Ver. Para obtener más información, consulta el artículo sobre cómo configurar exclusiones de reglas.

Imagen 3: Configuración de la regla

Modificación de todas las reglas de un conjunto de reglas

En la sección Configuración se muestran los ajustes de todas las reglas de un conjunto de reglas. Puede modificar los ajustes para crear detecciones específicas y adaptadas al uso y las necesidades de su organización.

• Reglas precisas: detectan comportamientos maliciosos con un mayor grado de confianza y menos falsos positivos debido a la naturaleza más específica de la regla.

• Reglas generales: detectan comportamientos que podrían ser maliciosos o anómalos, pero suelen generar más falsos positivos debido a la naturaleza más general de la regla.

• Estado: activa el estado de una regla como preciso o amplio seleccionando la opción Estado correspondiente y, a continuación, Habilitado.

• Alertas: activa las alertas para recibir las detecciones creadas por las reglas precisas o generales correspondientes. Para ello, selecciona Activado en la opción Alertas.

Configurar exclusiones de reglas

Para gestionar el volumen de alertas de las detecciones seleccionadas de GCTI, puedes configurar exclusiones de reglas. Para obtener más información, consulta el artículo sobre cómo configurar exclusiones de reglas.

Ver detecciones seleccionadas

Puedes ver cualquiera de las detecciones seleccionadas en la vista Detección seleccionada. Esta vista te permite examinar cualquiera de las detecciones asociadas a la regla y cambiar a otras vistas, como la vista de recurso de la cronología.

Para abrir la vista Detección seleccionada, sigue estos pasos:

1. Haz clic en Panel de control.

2. Haga clic en el enlace del nombre de la regla en la columna "Regla".

Siguientes pasos

• Investigar una alerta de GCTI
• Ajustar las alertas devueltas por los conjuntos de reglas de esta categoría

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.