Usa la página de detecciones seleccionadas
Para los clientes de Google Security Operations,el Google Cloud equipo de Threat Intelligence (GCTI) ofrece estadísticas de amenazas listas para usar como parte del Google Cloud modelo de destino compartido de seguridad. Como parte de estas detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas para su empresa. Estas reglas administradas por GCTI tienen las siguientes características:
Proporciona a los clientes estadísticas prácticas de inmediato que se pueden usar en función de sus datos transferidos.
Aprovecha la inteligencia de amenazas de Google, ya que les brinda a los clientes una forma sencilla de usarla en Google Security Operations.
En el siguiente documento, se describe cómo usar las páginas de detección seleccionadas.
Antes de comenzar
Para obtener información sobre las políticas de detección de amenazas predefinidas, consulta lo siguiente:
- Descripción general de la categoría Amenazas en la nube
- Descripción general de la categoría Amenazas de Windows
- Descripción general de la categoría Amenazas de Linux
- Descripción general de la categoría de análisis de riesgos para la UEBA
- Descripción general de la categoría de inteligencia contra amenazas aplicada
Para verificar que los datos requeridos para cada política tengan el formato correcto, consulta Cómo verificar la transferencia de datos de registro con reglas de prueba.
Funciones de detecciones seleccionadas
Estas son algunas de las funciones clave de las detecciones seleccionadas:
Detección seleccionada: Es una detección seleccionada que crea y administra GCTI para los clientes de Google Security Operations.
Conjuntos de reglas: Es una colección de reglas que administra GCTI para los clientes de Google Security Operations. GCTI proporciona y mantiene varios conjuntos de reglas. El cliente tiene la opción de habilitar o inhabilitar estas reglas en su cuenta de Operaciones de seguridad de Google y de habilitar o inhabilitar las alertas para estas reglas. GCTI proporcionará periódicamente reglas y conjuntos de reglas nuevos a medida que cambie el panorama de amenazas.
Abre la página de detecciones seleccionadas y los conjuntos de reglas
Para abrir la página de detecciones seleccionadas, sigue estos pasos:
Selecciona Rules en el menú principal.
Haz clic en Detecciones seleccionadas para abrir la vista de conjuntos de reglas.
La página Curated Detection proporciona información sobre cada uno de los conjuntos de reglas activas para tu cuenta de Google Security Operations, lo que incluye lo siguiente:
Última actualización: Es la hora en que GCTI actualizó el conjunto de reglas por última vez.
Reglas habilitadas: Indica cuáles de las reglas precisas y generales están habilitadas para cada conjunto de reglas. Las reglas precisas encuentran amenazas maliciosas con un alto nivel de confianza. Las reglas generales buscan comportamiento sospechoso que puede ser más común y que produce más falsos positivos. Tanto las reglas precisas como las generales pueden estar disponibles para un conjunto de reglas.
Alertas: Indica cuáles de las reglas precisas y generales tienen alertas habilitadas para cada conjunto de reglas.
Tácticas de Mitre: Es el identificador de las tácticas de MITRE ATT&CK® que abarca cada conjunto de reglas. Las tácticas de Mitre ATT&CK® representan la intención detrás del comportamiento malicioso.
Técnicas de Mitre: Es el identificador de las técnicas de MITRE ATT&CK® que abarca cada conjunto de reglas. Las técnicas de Mitre ATT&CK® representan acciones específicas del comportamiento malicioso
Desde esta página, también puedes habilitar o inhabilitar la regla y las alertas correspondientes. Puedes hacerlo para las reglas generales o precisas.
Abre el panel de detección seleccionada
En el panel de detección seleccionada, se muestra información sobre cada detección seleccionada que generó una detección en los datos de registro de tu cuenta de Operaciones de seguridad de Google. Las reglas con detecciones se agrupan por conjunto de reglas.
Para abrir el panel de detección seleccionada, completa los siguientes pasos:
Selecciona Rules en el menú principal. La pestaña predeterminada es Detecciones seleccionadas y la vista predeterminada es Conjuntos de reglas.
Haz clic en Panel.
Figura 2: Panel de Detecciones seleccionadas
En el panel Detecciones seleccionadas, se muestran cada uno de los conjuntos de reglas disponibles para tu cuenta de Google Security Operations. Cada pantalla incluye lo siguiente:
Gráfico de seguimiento de la actividad actual de cada una de las reglas asociadas con un conjunto de reglas.
Hora de la última detección.
Estado de cada regla
Gravedad de las detecciones recientes
Indica si las alertas están habilitadas o inhabilitadas.
Para editar la configuración de la regla, haz clic en el ícono de menú
o en el nombre del conjunto de reglas.Haz clic en Conjuntos de reglas para volver a la vista de conjuntos de reglas. La vista de conjuntos de reglas proporciona información sobre cada conjunto de reglas activo para tu cuenta de Operaciones de seguridad de Google.
Cómo ver detalles sobre un conjunto de reglas
Para modificar la configuración de cualquier detección seleccionada, haz clic en el ícono de menú
del conjunto de reglas y, luego, selecciona Ver y editar la configuración de las reglas.Puedes habilitar o inhabilitar el conjunto de reglas en la sección Configuración. Los botones de activación Estado y Alertas te permiten habilitar o inhabilitar las reglas precisas y generales del conjunto de reglas. También puedes activar o desactivar las alertas.
También puedes ver todas las exclusiones configuradas para el conjunto de reglas. Para editar las exclusiones, haz clic en Ver. Consulta Configura exclusiones de reglas para obtener más información.
Figura 3: Configuración de reglas
Modificación de todas las reglas de un conjunto de reglas
En la sección Configuración, se muestra la configuración de todas las reglas de un conjunto de reglas. Puedes modificar la configuración para crear detecciones seleccionadas específicas para el uso y las necesidades de tu organización.
Reglas precisas: Detectan comportamiento malicioso con un mayor grado de confianza y con menos falsos positivos debido a la naturaleza más específica de la regla.
Reglas generales: Detectan comportamientos que podrían ser maliciosos o anómalos, pero suelen producir más falsos positivos debido a la naturaleza más general de la regla.
Estado: Activa el estado de una regla como preciso o amplio configurando la opción correspondiente de Estado en Habilitada.
Alertas: Habilita las alertas para recibir detecciones creadas por las reglas precisas o generales correspondientes. Para ello, establece la opción Alertas en Activado.
Reduce las alertas de los conjuntos de reglas con listas de referencia
Hay listas de referencias asociadas con cada conjunto de reglas. En la página Configuración de reglas, puedes abrir una lista de referencia asociada con un conjunto de reglas específico. Para ello, haz clic en Abrir junto a la lista. Puedes agregarle elementos adicionales.
El siguiente es un ejemplo del procedimiento que seguirías para suprimir las alertas de un dominio específico:
Recibes alertas asociadas con un dominio llamado
probablyokay.com
y ya no quieres recibirlas.Haz clic en ABRIR junto a la lista de referencia. Se abrirá la ventana Administrador de listas.
Agrega
probablyokay.com
al campo Filas y haz clic en Guardar cambios.
Cómo ver las detecciones seleccionadas
Puedes ver cualquiera de las detecciones seleccionadas en la vista Detecciones seleccionadas. Esta vista te permite examinar cualquiera de las detecciones asociadas con la regla y cambiar a otras vistas, como la vista de activos, desde el cronograma.
Para abrir la vista de detección seleccionada, sigue estos pasos:
Haz clic en Panel.
Haz clic en el vínculo del nombre de la regla en la columna Regla.
¿Qué sigue?
- Investiga una alerta de GCTI
- Ajusta las alertas que muestran los conjuntos de reglas de esta categoría
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.