使用精选检测页面

对于 Chronicle 客户，Google Cloud 威胁情报 (GCTI) 团队将提供开箱即用的威胁分析功能，作为 Google Cloud 安全共享命运模型的一部分。在这些精选检测中，GCTI 提供和管理一组 YARA-L 规则，以帮助客户识别其企业面临的威胁。以下 GCTI 管理规则：

• 为客户提供可立即用于行动的情报，并根据其提取的数据加以运用。

• 利用 Google 的威胁情报，为客户提供在 Chronicle 中使用的简单方法。

以下文档介绍了如何使用精选检测页面。

准备工作

如需了解预定义的威胁检测政策，请参阅以下内容：

• “云威胁”类别概览
• Windows 威胁概览
• “Linux 威胁”类别概览
• UEBA 类别风险分析概览
• 应用威胁情报类别概览

如需验证每项政策所需的数据格式是否正确，请参阅使用测试规则验证日志数据注入。

精选检测功能

以下是一些主要的精选检测功能：

• 精选检测：由 GCTI 为 Chronicle 客户创建和管理的精选检测。

• 规则集：由 GCTI 为 Chronicle 客户管理的规则集合。GCTI 提供并维护多个规则集。客户可以选择在其 Chronicle 帐号中启用或停用这些规则，还可以为这些规则启用或停用提醒。随着威胁形势的变化，GCTI 会定期提供新的规则和规则集。

打开精选检测页面和规则集

如需打开精选检测页面，请完成以下步骤：

1. 从主菜单中选择规则。

2. 点击精选检测以打开规则集视图。

   

   图 1：规则集视图

“精选检测”页面提供有关您的 Chronicle 帐号的各个有效规则集的信息，其中包括：

• 上次更新时间：GCTI 上次更新规则集的时间。

• 启用的规则 ：指明每个规则集启用了哪些精确规则和广泛规则。精准的规则可发现可信度较高的恶意威胁。宽泛的规则会搜索可能更常见且产生更多的误报的可疑行为。精确规则和宽泛规则可能都适用于一个规则集。

• 提醒：指明每个规则集分别针对哪些精确规则和广泛规则启用了提醒。

• Mitre Tactics：每个规则集涵盖的 Mitre ATT&CK® 策略的标识符。Mitre ATT&CK® 策略代表了恶意行为背后的意图。

• Mitre Techniques：每个规则集涵盖的 Mitre ATT&CK® 技术的标识符。Mitre ATT&CK® 技术代表了恶意行为的特定行动

在该页面中，您还可以启用或停用规则的规则和提醒。您可以对宽泛规则或精确规则执行此操作。

打开精选检测信息中心

精选检测信息中心会显示每个精选检测的相关信息，这些检测已针对 Chronicle 帐号中的日志数据生成了检测。检测到检测的规则按规则集分组。

如需打开精选检测信息中心，请完成以下步骤：

1. 从主菜单中选择规则。默认标签页是精选检测，默认视图是规则集。

2. 点击信息中心。

   

   图 2：精选检测信息中心

3. “Curated Detections”信息中心显示了您的 Chronicle 帐号可用的每个规则集。每个显示屏都包含以下内容：

   • 跟踪与规则集关联的每条规则的当前活动的图表。

   • 上次检测到的时间。

   • 每条规则的状态。

   • 近期检测的严重性。

   • 启用还是停用提醒。

4. 您可以通过点击菜单图标 more_vert 或规则集名称来修改规则设置。

5. 点击规则集可切换回规则集视图。规则集视图提供有关您的 Chronicle 帐号的每个有效规则集的信息。

查看规则集的详细信息

您可以修改任何精选检测的设置，方法是点击规则集的菜单图标 more_vert，然后选择查看和修改规则设置。

您可以在设置部分下启用或停用规则集。通过状态和提醒切换开关，您可以在规则集中启用或停用精确规则和宽泛规则。您还可以开启或关闭提醒。

您还可以查看为规则集配置的所有排除对象。您可以点击查看来修改排除对象。如需了解详情，请参阅配置规则排除对象。

图 3：规则设置

修改规则集中的所有规则

设置部分显示规则集中所有规则的设置。您可以修改设置，以创建特定于您的组织使用情况和需求的精选检测。

• 精确规则：由于规则更加具体，因此可以找出置信度更高、误报更少的恶意行为。

• 宽泛的规则：查找可能恶意或异常的行为，但由于规则更宽泛的性质，误报通常较多。

• 状态：将相应的状态选项设置为已启用，以将规则的状态激活为精确或广泛。

• 提醒：将提醒选项设置为开启，即可启用提醒以接收根据相应的精确规则或宽泛规则创建的检测。

使用参考列表减少规则集发出的提醒

每个规则集都有关联的参考列表。在“规则设置”页面中，您可以打开与特定规则集关联的引用列表，只需点击列表旁边的打开即可。您可以向其中添加其他项。

以下是您为了针对特定域禁止提醒需遵循的流程示例：

1. 您目前接收的是与名为 probablyokay.com 的网域相关的提醒，但您不希望再收到这些提醒。

2. 点击参考列表旁边的“打开”。系统随即会打开“列表管理器”窗口。

3. 将 probablyokay.com 添加到“Rows”（行）字段，然后点击 Save Edits（保存修改）。

查看精选检测

您可以在“精选检测”视图中查看任何精选检测。在此视图中，您可以查看与规则相关的所有检测结果，并切换至时间轴中的其他视图，例如“素材资源”视图。

如需打开“Curated Detection”视图，请完成以下步骤：

1. 点击信息中心。

2. 点击“规则”列中的规则名称链接。

   

   图 4：“精选检测”视图

后续步骤

• 调查 GCTI 提醒
• 调整此类别中的规则集返回的提醒