Use a página de deteções organizadas

Este documento descreve como usar as páginas de deteções organizadas.

Para os clientes do Google Security Operations, Google Cloud a equipa de informações sobre ameaças (GCTI) está a oferecer estatísticas de ameaças prontas a usar como parte do Google Cloud modelo de destino partilhado de segurança. Como parte destas deteções organizadas, o GCTI fornece e gere um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à respetiva empresa. Estas regras geridas pela GCTI:

• Fornecer aos clientes informações acionáveis imediatas que podem ser usadas em relação aos respetivos dados carregados.

• Tira partido da inteligência sobre ameaças da Google, oferecendo aos clientes uma forma de a usar no Google SecOps.

Antes de começar

Para obter informações sobre as políticas de deteção de ameaças predefinidas, consulte o seguinte:

• Vista geral da categoria Ameaças na nuvem
• Vista geral da categoria Ameaças do Chrome Enterprise
• Vista geral da categoria Ameaças do Windows
• Vista geral da categoria Ameaças do Linux
• Vista geral da categoria Ameaças do macOS
• Vista geral da análise de riscos para a categoria UEBA
• Vista geral da categoria Inteligência sobre ameaças aplicada

Para verificar se os dados necessários para cada política estão no formato correto, consulte o artigo Verifique a ingestão de dados de registo através de regras de teste.

Funcionalidades de deteções organizadas

Seguem-se algumas das principais funcionalidades de deteções organizadas:

• Deteção organizada: deteção organizada criada e gerida pelo GCTI para clientes do Google SecOps.

• Conjuntos de regras: coleção de regras geridas pelo GCTI para clientes do Google SecOps. A GCTI fornece e mantém vários conjuntos de regras. O cliente tem a opção de ativar ou desativar estas regras na respetiva conta do Google SecOps e de ativar ou desativar alertas para estas regras. A GCTI fornece periodicamente novas regras e conjuntos de regras à medida que o panorama de ameaças muda.

Abra a página de deteções organizadas e os conjuntos de regras

Para abrir a página de deteções organizadas, conclua os seguintes passos:

1. Selecione Regras no menu principal.

2. Clique em Deteções organizadas para abrir a vista de conjuntos de regras.

A página Deteção organizada fornece informações sobre cada um dos conjuntos de regras ativos para a sua conta do Google SecOps, incluindo o seguinte:

• Última atualização: hora em que o GCTI atualizou o conjunto de regras pela última vez.

• Regras ativadas: indica quais das regras precisas e gerais estão ativadas para cada conjunto de regras. As regras precisas encontram ameaças maliciosas com um elevado grau de confiança. As regras amplas pesquisam comportamentos suspeitos que podem ser mais comuns e produzir mais falsos positivos. As regras precisas e amplas podem estar disponíveis para um conjunto de regras.

• Alertas: indica quais das regras precisas e amplas têm alertas ativados para cada conjunto de regras.

• Táticas da MITRE: identificador das táticas da MITRE ATT&CK® abrangidas por cada conjunto de regras. As táticas do MITRE ATT&CK® representam a intenção por detrás do comportamento malicioso.

• Técnicas da MITRE: identificador das técnicas da MITRE ATT&CK® abrangidas por cada conjunto de regras. As técnicas do MITRE ATT&CK® representam ações específicas de comportamento malicioso

Nesta página, também pode ativar ou desativar a regra e os alertas para a regra. Pode fazê-lo para as regras amplas ou precisas.

Abra o painel de controlo de deteção organizado

O painel de controlo de deteção organizado apresenta informações sobre cada deteção organizada que produziu uma deteção em relação aos dados de registo na sua conta do Google SecOps. As regras com deteções são agrupadas por conjunto de regras.

Para abrir o painel de controlo de deteção organizado, conclua os seguintes passos:

1. Selecione Regras no menu principal. O separador predefinido é o de deteções organizadas e a vista predefinida é a de conjuntos de regras.

2. Clique em Painel de controlo.

   

   Figura 2: painel de controlo Deteções organizadas

3. O painel de controlo de deteções organizadas apresenta cada um dos conjuntos de regras disponíveis para a sua conta do Google SecOps. Cada apresentação inclui o seguinte:

   • Gráfico que acompanha a atividade atual de cada uma das regras associadas a um conjunto de regras.

   • Hora da última deteção.

   • Estado de cada regra.

   • Gravidade das deteções recentes.

   • Se os alertas estão ativados ou desativados.

4. Pode editar as definições da regra clicando no ícone de menu more_vert ou no nome do conjunto de regras.

5. Clique em Conjuntos de regras para voltar à vista de conjuntos de regras. A vista Conjuntos de regras fornece informações sobre cada conjunto de regras ativo para a sua conta do Google SecOps.

Veja detalhes acerca de um conjunto de regras

Pode modificar as definições de qualquer deteção organizada clicando no ícone de menu more_vert para o conjunto de regras e, de seguida, selecionando Ver e editar definições de regras.

Ativa ou desativa o conjunto de regras na secção Definições. Os botões Estado e Alertas permitem-lhe ativar ou desativar as regras precisas e gerais no conjunto de regras. Também pode ativar ou desativar os alertas.

Também pode ver todas as exclusões configuradas para o conjunto de regras. Pode editar as exclusões clicando em Ver. Consulte o artigo Configure exclusões de regras para mais informações.

Figura 3: definições das regras

Modificação de todas as regras num conjunto de regras

A secção Definições apresenta as definições de todas as regras num conjunto de regras. Pode modificar as definições para criar deteções preparadas específicas para a sua utilização e necessidades organizacionais.

• Regras precisas: encontre comportamento malicioso com um grau de confiança mais elevado e menos falsos positivos devido à natureza mais específica da regra.

• Regras amplas: encontre comportamentos potencialmente maliciosos ou anómalos, mas normalmente com mais falsos positivos devido à natureza mais geral da regra.

• Estado: ative o estado de uma regra como preciso ou amplo definindo a opção Estado correspondente como Ativado.

• Alertas: ative os alertas para receber deteções criadas por regras precisas ou amplas correspondentes, definindo a opção Alertas como Ativado.

Configure exclusões de regras

Para gerir o volume de alertas de deteções preparadas do GCTI, pode configurar exclusões de regras. Para mais informações, consulte o artigo Configure exclusões de regras.

Veja deteções organizadas

Pode ver qualquer uma das deteções organizadas na vista Deteção organizada. Esta vista permite-lhe examinar qualquer uma das deteções associadas à regra e mudar para outras vistas, como a vista de recursos, a partir da cronologia.

Para abrir a vista Deteção organizada, conclua os seguintes passos:

1. Clique em Painel de controlo.

2. Clique no link do nome da regra na coluna Regra.

O que se segue?

• Investigue um alerta do GCTI
• Ajuste os alertas devolvidos por conjuntos de regras nesta categoria

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.