Menggunakan halaman deteksi pilihan

Untuk pelanggan Chronicle, tim Google Cloud Threat Intelligence (GCTI) menawarkan analisis ancaman siap pakai sebagai bagian dari model Google Cloud Security Shared Fate. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka. Aturan yang dikelola GCTI ini:

• Berikan informasi yang dapat ditindaklanjuti secara langsung kepada pelanggan, yang dapat digunakan untuk membandingkan data yang mereka transfer.

• Memanfaatkan kecerdasan ancaman Google dengan memberi pelanggan cara mudah untuk menggunakannya di Chronicle.

Dokumen berikut menjelaskan cara menggunakan halaman deteksi pilihan.

Sebelum memulai

Untuk mengetahui informasi tentang kebijakan deteksi ancaman yang telah ditetapkan sebelumnya, lihat artikel berikut:

• Ringkasan kategori Ancaman Cloud
• Ringkasan kategori Ancaman di Windows
• Ringkasan kategori Ancaman Linux
• Ringkasan Analisis Risiko untuk kategori UEBA
• Ringkasan kategori Applied Threat Intelligence

Guna memastikan bahwa format data yang diperlukan untuk setiap kebijakan sudah benar, lihat Memverifikasi penyerapan data log menggunakan aturan pengujian.

Fitur deteksi pilihan

Berikut adalah beberapa fitur deteksi utama yang diseleksi:

• Deteksi Pilihan: deteksi pilihan yang dibuat dan dikelola oleh GCTI untuk pelanggan Chronicle.

• Kumpulan aturan: Kumpulan aturan yang dikelola oleh GCTI untuk pelanggan Chronicle. GCTI menyediakan dan mempertahankan beberapa kumpulan aturan. Pelanggan memiliki opsi untuk mengaktifkan atau menonaktifkan aturan ini dalam akun Chronicle dan mengaktifkan atau menonaktifkan notifikasi untuk aturan ini. Aturan dan set aturan baru akan disediakan secara berkala oleh GCTI saat lanskap ancaman berubah.

Membuka halaman deteksi dan kumpulan aturan yang diseleksi

Untuk membuka halaman deteksi hasil seleksi, selesaikan langkah-langkah berikut:

1. Pilih Aturan dari menu utama.

2. Klik Deteksi yang Diseleksi untuk membuka tampilan kumpulan aturan.

   

   Gambar 1: Tampilan kumpulan aturan

Halaman Deteksi Pilihan memberikan informasi tentang setiap kumpulan aturan yang aktif untuk akun Chronicle, termasuk hal berikut:

• Terakhir diperbarui: GCTI waktu terakhir memperbarui kumpulan aturan.

• Aturan yang Diaktifkan: Menunjukkan aturan Presisi dan Luas mana yang diaktifkan untuk setiap kumpulan aturan. Aturan yang akurat menemukan ancaman berbahaya dengan tingkat keyakinan yang tinggi. Aturan yang luas menelusuri perilaku mencurigakan yang mungkin lebih umum dan menghasilkan lebih banyak positif palsu. Aturan Presisi dan Luas mungkin tersedia untuk kumpulan aturan.

• Pemberitahuan: Menunjukkan aturan Presisi dan Luas mana yang mengaktifkan pemberitahuan untuk setiap kumpulan aturan.

• Mitre Tactics: ID taktik Mitre ATT&CK® yang dicakup oleh setiap kumpulan aturan. Taktik Mitre ATT&CK® mewakili maksud di balik perilaku berbahaya.

• Teknik Mitre: ID teknik Mitre ATT&CK® yang dicakup oleh setiap kumpulan aturan. Teknik Mitre ATT&CK® merepresentasikan tindakan tertentu dari perilaku berbahaya

Dari halaman ini, Anda juga dapat mengaktifkan atau menonaktifkan aturan dan pemberitahuan untuk aturan tersebut. Anda dapat melakukan ini baik untuk aturan yang luas atau aturan yang tepat.

Membuka dasbor deteksi yang diseleksi

Dasbor deteksi yang diseleksi menampilkan informasi tentang setiap deteksi yang diseleksi dan menghasilkan deteksi terhadap data log di akun Chronicle Anda. Aturan dengan deteksi dikelompokkan berdasarkan set aturan.

Untuk membuka dasbor deteksi yang diseleksi, selesaikan langkah-langkah berikut:

1. Pilih Aturan dari menu utama. Tab default adalah deteksi hasil seleksi dan tampilan default-nya adalah kumpulan aturan.

2. Klik Dasbor.

   

   Gambar 2: Dasbor Deteksi Pilihan

3. Dasbor Deteksi yang Dikurasi menampilkan setiap kumpulan aturan yang tersedia untuk akun Chronicle Anda. Setiap tampilan menyertakan hal berikut:

   • Diagram yang melacak aktivitas saat ini untuk setiap aturan yang terkait dengan kumpulan aturan.

   • Waktu deteksi terakhir.

   • Status setiap aturan.

   • Tingkat keparahan deteksi terbaru.

   • Apakah pemberitahuan diaktifkan atau dinonaktifkan.

4. Anda dapat mengedit setelan aturan dengan mengklik ikon menu more_vert atau nama kumpulan aturan.

5. Klik Kumpulan Aturan untuk beralih kembali ke tampilan kumpulan aturan. Tampilan kumpulan aturan memberikan informasi tentang setiap kumpulan aturan yang aktif untuk akun Chronicle Anda.

Melihat detail tentang kumpulan aturan

Anda dapat mengubah setelan untuk setiap deteksi yang diseleksi dengan mengklik ikon menu more_vert untuk kumpulan aturan, lalu memilih Lihat dan edit setelan aturan.

Anda mengaktifkan atau menonaktifkan kumpulan aturan di bagian Setelan. Dengan tombol Status dan Pemberitahuan, Anda dapat mengaktifkan atau menonaktifkan aturan yang tepat dan luas di kumpulan aturan. Anda juga dapat mengaktifkan atau menonaktifkan pemberitahuan.

Anda juga dapat melihat semua pengecualian yang dikonfigurasi untuk kumpulan aturan. Anda dapat mengedit pengecualian dengan mengklik Lihat. Lihat Mengonfigurasi pengecualian aturan untuk informasi selengkapnya.

Gambar 3: Setelan Aturan

Perubahan semua aturan dalam kumpulan aturan

Bagian Setelan menampilkan setelan untuk semua aturan dalam kumpulan aturan. Anda dapat mengubah setelan ini untuk membuat deteksi pilihan yang spesifik untuk penggunaan dan kebutuhan organisasi.

• Aturan akurat: Menemukan perilaku berbahaya dengan tingkat keyakinan lebih tinggi dengan positif palsu yang lebih sedikit karena sifat aturan yang lebih spesifik.

• Aturan yang luas: Menemukan perilaku yang berpotensi membahayakan atau tidak wajar, tetapi biasanya dengan lebih banyak positif palsu karena sifat aturan yang lebih umum.

• Status: Mengaktifkan status aturan sebagai tepat atau luas dengan menetapkan opsi Status yang sesuai ke Diaktifkan.

• Pemberitahuan: Mengaktifkan pemberitahuan untuk menerima deteksi yang dibuat oleh aturan umum atau akurat yang sesuai dengan menetapkan opsi Alerting ke On.

Mengurangi notifikasi dari kumpulan aturan menggunakan daftar referensi

Ada daftar referensi yang terkait dengan setiap kumpulan aturan. Dari halaman Setelan Aturan, Anda dapat membuka daftar referensi yang terkait dengan kumpulan aturan tertentu dengan mengklik Buka di samping daftar. Anda dapat menambahkan item lain ke dalamnya.

Berikut adalah contoh prosedur yang akan Anda ikuti untuk menyembunyikan notifikasi untuk domain tertentu:

1. Anda menerima notifikasi yang terkait dengan domain yang disebut probablyokay.com dan Anda tidak ingin menerima notifikasi ini lagi.

2. Klik BUKA di samping daftar referensi. Tindakan ini akan membuka jendela List Manager.

3. Tambahkan probablyokay.com ke kolom Baris dan klik Simpan Edits.

Lihat deteksi pilihan

Anda dapat melihat deteksi hasil seleksi di tampilan Deteksi yang Diseleksi. Tampilan ini memungkinkan Anda memeriksa setiap deteksi yang terkait dengan aturan dan melakukan pivot ke tampilan lain seperti Tampilan aset dari Linimasa.

Untuk membuka tampilan Deteksi yang Dikurasi, selesaikan langkah-langkah berikut:

1. Klik Dasbor.

2. Klik link nama aturan di kolom Aturan.

   

   Gambar 4: Tampilan Deteksi Pilihan

Langkah selanjutnya

• Menyelidiki pemberitahuan GCTI
• Menyesuaikan pemberitahuan yang ditampilkan oleh kumpulan aturan dalam kategori ini