使用精选检测页面
对于 Chronicle 客户,Google Cloud 威胁情报 (GCTI) 团队将提供开箱即用的威胁分析功能,作为 Google Cloud 安全共享命运模型的一部分。在这些精选检测中,GCTI 提供和管理一组 YARA-L 规则,以帮助客户识别其企业面临的威胁。以下 GCTI 管理规则:
为客户提供可立即用于行动的情报,并根据其提取的数据加以运用。
利用 Google 的威胁情报,为客户提供在 Chronicle 中使用的简单方法。
以下文档介绍了如何使用精选检测页面。
准备工作
如需了解预定义的威胁检测政策,请参阅以下内容:
如需验证每项政策所需的数据格式是否正确,请参阅使用测试规则验证日志数据注入。
精选检测功能
以下是一些主要的精选检测功能:
精选检测:由 GCTI 为 Chronicle 客户创建和管理的精选检测。
规则集:由 GCTI 为 Chronicle 客户管理的规则集合。GCTI 提供并维护多个规则集。客户可以选择在其 Chronicle 帐号中启用或停用这些规则,还可以为这些规则启用或停用提醒。随着威胁形势的变化,GCTI 会定期提供新的规则和规则集。
打开精选检测页面和规则集
如需打开精选检测页面,请完成以下步骤:
从主菜单中选择规则。
点击精选检测以打开规则集视图。
图 1:规则集视图
“精选检测”页面提供有关您的 Chronicle 帐号的各个有效规则集的信息,其中包括:
上次更新时间:GCTI 上次更新规则集的时间。
启用的规则 :指明每个规则集启用了哪些精确规则和广泛规则。精准的规则可发现可信度较高的恶意威胁。宽泛的规则会搜索可能更常见且产生更多的误报的可疑行为。精确规则和宽泛规则可能都适用于一个规则集。
提醒:指明每个规则集分别针对哪些精确规则和广泛规则启用了提醒。
Mitre Tactics:每个规则集涵盖的 Mitre ATT&CK® 策略的标识符。Mitre ATT&CK® 策略代表了恶意行为背后的意图。
Mitre Techniques:每个规则集涵盖的 Mitre ATT&CK® 技术的标识符。Mitre ATT&CK® 技术代表了恶意行为的特定行动
在该页面中,您还可以启用或停用规则的规则和提醒。您可以对宽泛规则或精确规则执行此操作。
打开精选检测信息中心
精选检测信息中心会显示每个精选检测的相关信息,这些检测已针对 Chronicle 帐号中的日志数据生成了检测。检测到检测的规则按规则集分组。
如需打开精选检测信息中心,请完成以下步骤:
从主菜单中选择规则。默认标签页是精选检测,默认视图是规则集。
点击信息中心。
图 2:精选检测信息中心
“Curated Detections”信息中心显示了您的 Chronicle 帐号可用的每个规则集。每个显示屏都包含以下内容:
跟踪与规则集关联的每条规则的当前活动的图表。
上次检测到的时间。
每条规则的状态。
近期检测的严重性。
启用还是停用提醒。
您可以通过点击菜单图标
或规则集名称来修改规则设置。点击规则集可切换回规则集视图。规则集视图提供有关您的 Chronicle 帐号的每个有效规则集的信息。
查看规则集的详细信息
您可以修改任何精选检测的设置,方法是点击规则集的菜单图标
,然后选择查看和修改规则设置。您可以在设置部分下启用或停用规则集。通过状态和提醒切换开关,您可以在规则集中启用或停用精确规则和宽泛规则。您还可以开启或关闭提醒。
您还可以查看为规则集配置的所有排除对象。您可以点击查看来修改排除对象。如需了解详情,请参阅配置规则排除对象。
图 3:规则设置
修改规则集中的所有规则
设置部分显示规则集中所有规则的设置。您可以修改设置,以创建特定于您的组织使用情况和需求的精选检测。
精确规则:由于规则更加具体,因此可以找出置信度更高、误报更少的恶意行为。
宽泛的规则:查找可能恶意或异常的行为,但由于规则更宽泛的性质,误报通常较多。
状态:将相应的状态选项设置为已启用,以将规则的状态激活为精确或广泛。
提醒:将提醒选项设置为开启,即可启用提醒以接收根据相应的精确规则或宽泛规则创建的检测。
使用参考列表减少规则集发出的提醒
每个规则集都有关联的参考列表。在“规则设置”页面中,您可以打开与特定规则集关联的引用列表,只需点击列表旁边的打开即可。您可以向其中添加其他项。
以下是您为了针对特定域禁止提醒需遵循的流程示例:
您目前接收的是与名为
probablyokay.com
的网域相关的提醒,但您不希望再收到这些提醒。点击参考列表旁边的“打开”。系统随即会打开“列表管理器”窗口。
将
probablyokay.com
添加到“Rows”(行)字段,然后点击 Save Edits(保存修改)。
查看精选检测
您可以在“精选检测”视图中查看任何精选检测。在此视图中,您可以查看与规则相关的所有检测结果,并切换至时间轴中的其他视图,例如“素材资源”视图。
如需打开“Curated Detection”视图,请完成以下步骤:
点击信息中心。
点击“规则”列中的规则名称链接。
图 4:“精选检测”视图