Utilizzare la pagina dei rilevamenti selezionati

Per i clienti di Chronicle, il team di Google Cloud Threat Intelligence (GCTI) offre analisi delle minacce pronte all'uso come parte del modello Security Shared Fate di Google Cloud. Nell'ambito di questi rilevamenti curati, GCTI fornisce e gestisce una serie di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda. Queste regole gestite da GCTI:

• Offri ai clienti informazioni immediatamente fruibili che possono essere utilizzate sui dati importati.

• Sfrutta l'intelligence sulle minacce di Google offrendo ai clienti un modo semplice per utilizzarla all'interno di Chronicle.

Il seguente documento descrive come utilizzare le pagine dei rilevamenti selezionati.

Prima di iniziare

Per informazioni sui criteri predefiniti per il rilevamento delle minacce, consulta quanto segue:

• Panoramica della categoria Minacce Cloud
• Panoramica della categoria Minacce Windows
• Panoramica della categoria Minacce Linux
• Panoramica dell'analisi del rischio per la categoria UEBA
• Panoramica della categoria Applied Threat Intelligence

Per verificare che i dati richiesti per ogni criterio siano nel formato corretto, consulta Verificare l'importazione dati di log utilizzando le regole di test.

Funzionalità di rilevamento selezionate

Di seguito sono riportate alcune delle principali funzionalità di rilevamento selezionate:

• Rilevamento selezionato: rilevamento curato creato e gestito da GCTI per i clienti di Chronicle.

• Serie di regole: raccolta di regole gestite da GCTI per i clienti di Chronicle. GCTI fornisce e gestisce più serie di regole. Il cliente ha la possibilità di attivare o disattivare queste regole nel proprio account Chronicle e di attivare o disattivare gli avvisi per queste regole. Nuove regole e serie di regole verranno periodicamente fornite da GCTI man mano che il panorama delle minacce cambia.

Aprire la pagina dei rilevamenti selezionati e le serie di regole

Per aprire la pagina dei rilevamenti selezionati, completa i seguenti passaggi:

1. Seleziona Regole nel menu principale.

2. Fai clic su Rilevamenti selezionati per aprire la visualizzazione delle serie di regole.

   

   Figura 1: visualizzazione delle serie di regole

La pagina Rilevamento selezionato fornisce informazioni su ciascuna serie di regole attiva per il tuo account Chronicle, tra cui:

• Ultimo aggiornamento: ora dell'ultimo aggiornamento della serie di regole da parte di GCTI.

• Regole attivate: indica quali regole Esatta e Generica sono attivate per ogni serie di regole. Regole precise individuano minacce dannose con un elevato grado di affidabilità. Le regole ampie cercano i comportamenti sospetti che potrebbero essere più comuni e produrre più falsi positivi. Per una serie di regole potrebbero essere disponibili sia le regole precise che quelle generiche.

• Avvisi: indica per quali delle regole Esatta e Generica sono stati abilitati gli avvisi per ogni serie di regole.

• Tattiche di Mitre: identificativo delle tattiche Mitre ATT&CK® coperte da ogni serie di regole. Le tattiche Mitre ATT&CK® rappresentano l’intento alla base di comportamenti dannosi.

• Tecniche per mitre: identificatore delle tecniche Mitre ATT&CK® coperte da ogni serie di regole. Le tecniche Mitre ATT&CK® rappresentano azioni specifiche di comportamenti dannosi

In questa pagina puoi anche abilitare o disabilitare la regola e gli avvisi per la regola. Puoi eseguire questa operazione per le regole generiche o di quelle precise.

Aprire la dashboard di rilevamento selezionata

La dashboard di rilevamento selezionato mostra informazioni su ogni rilevamento selezionato che ha generato un rilevamento in base ai dati di log nel tuo account Chronicle. Le regole con rilevamenti vengono raggruppate per serie di regole.

Per aprire la dashboard di rilevamento selezionato, completa i seguenti passaggi:

1. Seleziona Regole nel menu principale. La scheda predefinita riguarda rilevamenti selezionati e la visualizzazione predefinita mostra le serie di regole.

2. Fai clic su Dashboard.

   

   Figura 2: dashboard Rilevamenti selezionati

3. La dashboard Rilevamenti selezionati mostra ogni serie di regole disponibili per il tuo account Chronicle. Ogni visualizzazione include quanto segue:

   • Grafico che monitora l'attività corrente per ciascuna delle regole associate a una serie di regole.

   • Ora dell'ultimo rilevamento.

   • Lo stato di ogni regola.

   • Gravità dei rilevamenti recenti.

   • Indica se gli avvisi sono abilitati o disabilitati.

4. Per modificare le impostazioni delle regole, fai clic sull'icona del menu more_vert o sul nome della serie di regole.

5. Fai clic su Serie di regole per tornare alla visualizzazione delle serie di regole. La visualizzazione delle serie di regole fornisce informazioni su ogni serie di regole attiva per il tuo account Chronicle.

Visualizzare i dettagli di una serie di regole

Per modificare le impostazioni di un rilevamento selezionato, fai clic sull'icona del menu more_vert in corrispondenza del set di regole e seleziona Visualizza e modifica le impostazioni delle regole.

Puoi attivare o disattivare la serie di regole nella sezione Impostazioni. I pulsanti di attivazione/disattivazione Stato e Avvisi consentono di attivare o disattivare le regole precise e generiche presenti nella serie di regole. Puoi anche attivare o disattivare gli avvisi.

Puoi anche visualizzare tutte le esclusioni configurate per la serie di regole. Puoi modificare le esclusioni facendo clic su Visualizza. Per ulteriori informazioni, consulta Configurare le esclusioni di regole.

Figura 3: impostazioni delle regole

Modifica di tutte le regole di una serie

La sezione Impostazioni mostra le impostazioni per tutte le regole di una serie. Puoi modificare le impostazioni per creare rilevamenti selezionati specifici per l'utilizzo e le esigenze della tua organizzazione.

• Regole precise: individua comportamenti dannosi con un maggior grado di affidabilità e meno falsi positivi dovuti alla natura più specifica della regola.

• Regole generiche: trova comportamenti potenzialmente dannosi o anomali, ma generalmente con un numero maggiore di falsi positivi dovuti alla natura più generale della regola.

• Stato: attiva lo stato di una regola su generico o preciso impostando l'opzione Stato corrispondente su Attivata.

• Avvisi: attiva gli avvisi per ricevere rilevamenti creati da regole precise o generali corrispondenti impostando l'opzione Avvisi su On.

Riduci gli avvisi provenienti dalle serie di regole utilizzando gli elenchi di riferimento

A ogni serie di regole sono associati elenchi di riferimento. Nella pagina Impostazioni regole puoi aprire un elenco di riferimento associato a una serie di regole specifica facendo clic su Apri accanto all'elenco. Puoi aggiungere ulteriori elementi.

Di seguito è riportato un esempio della procedura da seguire per eliminare gli avvisi per un dominio specifico:

1. Stai ricevendo avvisi associati a un dominio chiamato probablyokay.com, ma non vuoi più ricevere questi avvisi.

2. Fai clic su APRI accanto all'elenco dei riferimenti. Viene visualizzata la finestra Gestore elenchi.

3. Aggiungi probablyokay.com al campo Righe e fai clic su Salva modifiche.

Visualizza rilevamenti selezionati

Puoi visualizzare qualsiasi rilevamento selezionato nella vista Rilevamento selezionato. Questa visualizzazione consente di esaminare tutti i rilevamenti associati alla regola e di eseguire il pivot ad altre visualizzazioni, ad esempio la vista degli asset dalla Timeline.

Per aprire la visualizzazione Rilevamento selezionato, completa i seguenti passaggi:

1. Fai clic su Dashboard.

2. Fai clic sul link del nome della regola nella colonna Regola.

   

   Figura 4: visualizzazione Rilevamento selezionato

Passaggi successivi

• Esaminare un avviso GCTI
• Ottimizza gli avvisi restituiti dalle serie di regole di questa categoria