使用“精选检测”页面

对于 Google Security Operations 客户，Google Cloud Threat Intelligence (GCTI) 团队提供开箱即用的威胁分析，作为 Google Cloud 安全共享模型的一部分。作为这些精选检测的一部分，GCTI 提供并管理一组 YARA-L 规则，以帮助客户识别对其企业的威胁。 以下 GCTI 管理规则：

• 为客户提供可立即付诸行动的智能数据，以便他们对提取的数据进行分析。

• 通过为客户提供一种在 Google Security Operations 内使用的简单方法，利用 Google 的威胁情报。

以下文档介绍了如何使用精选检测页面。

准备工作

如需了解预定义的威胁检测政策，请参阅以下内容：

• 云威胁类别概览
• Windows 威胁类别概览
• Linux 威胁类别概览
• UEBA 类别风险分析概览
• 应用威胁情报类别概览

如需验证每项政策所需的数据是否采用了正确的格式，请参阅使用测试规则验证日志数据注入。

精选检测功能

以下是一些关键的精选检测功能：

• 精选检测：由 GCTI 为 Google Security Operations 客户创建和管理的精选检测。

• 规则集：由 GCTI 为 Google Security Operations 客户管理的规则集合。GCTI 提供并维护多个规则集。客户可以选择在其 Google Security Operations 账号中启用或停用这些规则，也可以为这些规则启用或停用提醒。随着威胁形势的变化，GCTI 会定期提供新的规则和规则集。

打开精选检测页面和规则集

如需打开精选检测页面，请完成以下步骤：

1. 从主菜单中选择规则。

2. 点击 Curated Detections 打开规则集视图。

“精选检测”页面提供了您的 Google Security Operations 账号下每个有效规则集的相关信息，其中包括：

• 上次更新时间：GCTI 上次更新规则集的时间。

• 已启用的规则 ：指示为每个规则集启用哪些“精确”规则和“广泛匹配”规则。精确的规则具有高置信度的恶意威胁。宽泛的规则会搜索可能更常见且产生更多误报的可疑行为。一个规则集可能同时包含精确规则和宽泛规则。

• 提醒：指示为每组规则启用了哪些精确规则和宽泛规则提醒。

• Mitre Tactics：每个规则集涵盖的 Mitre ATT&CK® 策略的标识符。Mitre ATT&CK® 策略体现了恶意行为背后的意图。

• Mitre 技术：每个规则集涵盖的 Mitre ATT&CK® 技术的标识符。Mitre ATT&CK® 技术代表恶意行为的具体操作

在此页面中，您还可以启用或停用规则以及为规则启用或停用提醒。您既可以对宽泛的规则进行这项操作，也可以对精确的规则执行此操作。

打开精选检测信息中心

精选检测信息中心会显示每个精选检测的相关信息，这些检测已针对您的 Google Security Operations 账号中的日志数据生成了检测。包含检测的规则按规则集分组。

如需打开精选检测信息中心，请完成以下步骤：

1. 从主菜单中选择规则。默认标签页为精选检测，默认视图为规则集。

2. 点击信息中心。

   

   图 2：精选检测信息中心

3. “精选检测”信息中心会显示您的 Google Security Operations 账号可用的每个规则集。每个屏幕均包含以下内容：

   • 图表，用于跟踪与规则集关联的每条规则的当前活动。

   • 上次检测的时间。

   • 每条规则的状态。

   • 最近检测到的严重级别。

   • 提醒功能是处于启用还是停用状态。

4. 您可以点击菜单图标 more_vert 或规则集名称修改规则设置。

5. 点击规则集可切换回规则集视图。“规则集”视图会提供有关 Google 安全运营账号中每个有效规则集的信息。

查看规则集的详细信息

您可以修改任何精选检测的设置，方法是点击规则集的菜单图标 more_vert，然后选择查看和修改规则设置。

您可以在设置部分下启用或停用规则集。 借助状态和提醒切换开关，您可以启用或停用规则集中的精确规则和宽泛规则。您也可以开启或关闭提醒。

您还可以查看为规则集配置的所有排除对象。您可以点击查看来修改排除对象。有关详情，请参阅配置规则排除对象。

图 3：规则设置

修改规则集中的所有规则

设置部分会显示规则中所有规则的设置 。您可以修改相关设置，以创建特定于您的 组织的使用和需求

• 精确规则：使用 由于该规则更为具体，因此误报率较低。

• 宽泛规则：用于查找可能具有恶意或异常行为的行为，但由于规则的一般性，通常会产生更多误报。

• 状态：通过设置 Status（状态）选项更改为 Enabled（已启用）。

• 提醒：启用提醒功能，以接收通过相应精确功能创建的检测 将提醒选项设置为开启。

使用参考列表减少来自规则集的提醒

每个规则集都有关联的参考列表。在“规则设置”页面中，您可以点击列表旁边的打开，打开与特定规则集关联的参考列表。您可以向其中添加其他内容。

以下是禁止特定域的提醒所要遵循的流程示例：

1. 您收到了与名为“probablyokay.com”的网域相关的提醒，而您不希望再收到这些提醒。

2. 点击参考列表旁边的“打开”。系统会打开“列表管理器”窗口。

3. 将 probablyokay.com 添加到“行”字段，然后点击保存修改。

查看精选检测

您可以在“精选检测”视图中查看任何精选检测。在此视图中，您可以检查与规则相关的任何检测结果，并从时间轴切换到其他视图，例如素材资源视图。

如需打开精选检测视图，请完成以下步骤：

1. 点击信息中心。

2. 点击 规则 列中的规则名称链接。

后续步骤

• 调查 GCTI 警报
• 调整此类别规则集返回的提醒