Utilizzare la pagina dei rilevamenti selezionati

Per i clienti di Google Security Operations,il Google Cloud team di Threat Intelligence (GCTI) offre analisi delle minacce pronte all'uso nell'ambito del Google Cloud modello di destino condiviso della sicurezza. Nell'ambito di questi rilevamenti selezionati, il GCTI fornisce e gestisce un insieme di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda. Queste regole gestite da GCTI:

• Fornisci ai clienti informazioni immediatamente utilizzabili che possono essere utilizzate in base ai dati importati.

• Sfrutta l'intelligence sulle minacce di Google offrendo ai clienti un modo semplice per utilizzarla in Google Security Operations.

Il documento seguente descrive come utilizzare le pagine dei rilevamenti selezionati.

Prima di iniziare

Per informazioni sui criteri di rilevamento delle minacce predefiniti, consulta quanto segue:

• Panoramica della categoria Minacce cloud
• Panoramica della categoria Minacce di Windows
• Panoramica della categoria Minacce Linux
• Panoramica di Risk Analytics per la categoria UEBA
• Panoramica della categoria Informazioni sulle minacce applicate

Per verificare che i dati richiesti per ogni criterio siano nel formato corretto, consulta Verificare l'importazione dei dati dei log utilizzando le regole di test.

Funzionalità dei rilevamenti selezionati

Di seguito sono riportate alcune delle funzionalità principali dei rilevamenti selezionati:

• Rilevamento selezionato: rilevamento selezionato creato e gestito da GCTI per i clienti di Google Security Operations.

• Insiemi di regole: raccolta di regole gestite da GCTI per i clienti di Google Security Operations. Il team GCTI fornisce e gestisce più insiemi di regole. Il cliente ha la possibilità di attivare o disattivare queste regole nel proprio account Google Security Operations e di attivare o disattivare gli avvisi per queste regole. GCTI fornirà periodicamente nuove regole e insiemi di regole man mano che il panorama delle minacce cambia.

Aprire la pagina dei rilevamenti selezionati e gli insiemi di regole

Per aprire la pagina dei rilevamenti selezionati:

1. Seleziona Regole dal menu principale.

2. Fai clic su Rilevamento selezionati per aprire la visualizzazione degli insiemi di regole.

La pagina Rilevamento selezionato fornisce informazioni su ciascun insieme di regole attivo per il tuo account Google Security Operations, tra cui:

• Ultimo aggiornamento: data e ora dell'ultimo aggiornamento del set di regole da parte di GCTI.

• Regole abilitate: indica quali regole precise e generali sono abilitate per ogni insieme di regole. Le regole precise rilevano minacce dannose con un alto grado di affidabilità. Le regole generali cercano comportamenti sospetti che potrebbero essere più comuni e produrre più falsi positivi. Per una serie di regole potrebbero essere disponibili sia regole precise che generali.

• Avvisi: indica per quali regole precise e generali sono abilitati gli avvisi per ogni insieme di regole.

• Tattiche Mitre: identificatore delle tattiche MITRE ATT&CK® coperte da ogni insieme di regole. Le tattiche MITRE ATT&CK® rappresentano l'intento alla base del comportamento dannoso.

• Tecniche Mitre: identificatore delle tecniche MITRE ATT&CK® coperte da ogni insieme di regole. Le tecniche MITRE ATT&CK® rappresentano azioni specifiche di comportamento dannoso

Da questa pagina puoi anche attivare o disattivare la regola e gli avvisi relativi. Puoi farlo per le regole generali o per quelle precise.

Apri la dashboard di rilevamento selezionato

La dashboard dei rilevamenti selezionati mostra informazioni su ogni rilevamento selezionato che ha prodotto un rilevamento in base ai dati dei log nel tuo account Google Security Operations. Le regole con rilevamenti sono raggruppate in base alla serie di regole.

Per aprire la dashboard dei rilevamenti selezionati:

1. Seleziona Regole dal menu principale. La scheda predefinita è Rilevamento selezionati e la visualizzazione predefinita è Insiemi di regole.

2. Fai clic su Dashboard.

   

   Figura 2: dashboard Rilevamento selezionati

3. La dashboard Rilevamento selezionati mostra ciascuno dei set di regole disponibili per il tuo account Google Security Operations. Ogni display include quanto segue:

   • Grafico che monitora l'attività corrente per ciascuna delle regole associate a un insieme di regole.

   • Ora dell'ultimo rilevamento.

   • Stato di ogni regola.

   • Gravità dei rilevamenti recenti.

   • Indica se la generazione degli avvisi è attivata o disattivata.

4. Puoi modificare le impostazioni delle regole facendo clic sull'icona del menu more_vert o sul nome del set di regole.

5. Fai clic su Set di regole per tornare alla visualizzazione dei set di regole. La visualizzazione degli insiemi di regole fornisce informazioni su ogni insieme di regole attivo per il tuo account Google Security Operations.

Visualizzare i dettagli di un set di regole

Puoi modificare le impostazioni di qualsiasi rilevamento selezionato facendo clic sull'icona del menu more_vert per l'insieme di regole e selezionando Visualizza e modifica le impostazioni delle regole.

Attiva o disattiva l'insieme di regole nella sezione Impostazioni. I pulsanti di attivazione/disattivazione Stato e Avvisi ti consentono di attivare o disattivare le regole precise e generali nell'insieme di regole. Puoi anche attivare o disattivare gli avvisi.

Puoi anche visualizzare tutte le esclusioni configurate per l'insieme di regole. Puoi modificare le esclusioni facendo clic su Visualizza. Per ulteriori informazioni, consulta Configurare le esclusioni delle regole.

Figura 3: Impostazioni regole

Modifica di tutte le regole in un set di regole

La sezione Impostazioni mostra le impostazioni per tutte le regole di un insieme di regole. Puoi modificare le impostazioni per creare rilevamenti selezionati specifici per l'utilizzo e le esigenze della tua organizzazione.

• Regole precise: rilevano comportamenti dannosi con un grado di affidabilità più elevato e meno falsi positivi grazie alla natura più specifica della regola.

• Regole generali: rilevano comportamenti potenzialmente dannosi o anomali, ma con un numero di falsi positivi tipicamente maggiore a causa della natura più generale della regola.

• Stato: attiva lo stato di una regola come preciso o generico impostando l'opzione corrispondente Stato su Attivata.

• Avvisi: attiva gli avvisi per ricevere i rilevamenti creati dalle regole precise o generali corrispondenti impostando l'opzione Avvisi su On.

Ridurre gli avvisi dagli insiemi di regole utilizzando gli elenchi di riferimento

A ogni insieme di regole sono associati degli elenchi di riferimento. Nella pagina Impostazioni regole, puoi aprire un elenco di riferimento associato a un insieme di regole specifico facendo clic su Apri accanto all'elenco. Puoi aggiungere altri elementi.

Di seguito è riportato un esempio della procedura da seguire per eliminare gli avvisi per un dominio specifico:

1. Stai ricevendo avvisi associati a un dominio denominato probablyokay.com e non vuoi più riceverli.

2. Fai clic su APRI accanto all'elenco di riferimento. Si apre la finestra Gestore elenchi.

3. Aggiungi probablyokay.com al campo Righe e fai clic su Salva modifiche.

Visualizzare i rilevamenti selezionati

Puoi visualizzare qualsiasi rilevamento selezionato nella visualizzazione Rilevamento selezionato. Questa visualizzazione ti consente di esaminare qualsiasi rilevamento associato alla regola e passare ad altre visualizzazioni, come la visualizzazione Asset, dalla cronologia.

Per aprire la visualizzazione Rilevamento selezionato:

1. Fai clic su Dashboard.

2. Fai clic sul link del nome della regola nella colonna Regola.

Passaggi successivi

• Eseguire accertamenti su un avviso GCTI
• Ottimizzare gli avvisi restituiti dagli insiemi di regole in questa categoria

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.