Menggunakan deteksi pilihan untuk mengidentifikasi ancaman

Tim Google Threat Intelligence (GCTI) menawarkan analisis ancaman standar. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola sekumpulan aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka.

Aturan yang dikelola GCTI melakukan hal berikut:

• Berikan kecerdasan yang dapat ditindaklanjuti secara langsung kepada pelanggan yang dapat digunakan terhadap data yang diserap.

• Memanfaatkan Google Threat Intelligence dengan memberikan cara kepada pelanggan untuk menggunakan informasi ini melalui deteksi yang diseleksi.

Dokumen ini merangkum langkah-langkah yang diperlukan untuk menggunakan deteksi pilihan untuk mengidentifikasi ancaman, termasuk cara mengaktifkan kumpulan aturan deteksi pilihan, melihat deteksi yang dihasilkan oleh kumpulan aturan, dan menyelidiki pemberitahuan.

Menyerap data yang diperlukan

Setiap kumpulan aturan telah dirancang untuk mengidentifikasi pola di sumber data tertentu dan mungkin memerlukan kumpulan data yang berbeda, termasuk hal berikut:

• Data peristiwa: menjelaskan aktivitas dan peristiwa yang terjadi terkait layanan.
• Data konteks: menjelaskan entitas, perangkat, layanan, atau pengguna yang ditentukan dalam data peristiwa. Data ini juga disebut data entity.

Dalam dokumentasi yang menjelaskan setiap kumpulan aturan, tinjau juga data yang diperlukan oleh kumpulan aturan.

Memverifikasi penyerapan data

Metode berikut tersedia untuk memverifikasi keberhasilan penyerapan data:

• Dasbor Penyerapan dan Kondisi Data: dasbor ini memungkinkan Anda memantau penyerapan dari semua sumber.
• Aturan pengujian Pengujian Deteksi Terkelola: Mengaktifkan aturan pengujian untuk memverifikasi data masuk yang diperlukan, baik yang ada maupun dalam format yang diperlukan oleh kumpulan aturan deteksi pilihan tertentu.

Menggunakan dasbor Penyerapan Data dan Kesehatan

Gunakan dasbor SIEM bawaan, yang disebut Penyerapan dan Kesehatan Data, yang memberikan informasi tentang jenis dan volume data yang diserap. Data yang baru ditransfer akan muncul di dasbor dalam waktu sekitar 30 menit. Untuk mengetahui informasi selengkapnya, lihat Menggunakan dasbor SIEM.

(Opsional) Menggunakan aturan pengujian Pengujian Deteksi Terkelola

Kategori tertentu juga disediakan sebagai kumpulan aturan pengujian yang dapat membantu Anda memverifikasi bahwa data yang diperlukan untuk setiap kumpulan aturan dalam format yang benar.

Aturan pengujian ini berada dalam kategori Pengujian Deteksi Terkelola. Setiap kumpulan aturan memvalidasi bahwa data yang diterima oleh perangkat pengujian dalam format yang diharapkan oleh aturan untuk kategori yang ditentukan tersebut.

Hal ini berguna jika Anda ingin memverifikasi penyiapan penyerapan atau jika Anda ingin memecahkan masalah. Untuk mengetahui langkah-langkah mendetail tentang cara menggunakan aturan pengujian ini, lihat Memverifikasi penyerapan data menggunakan aturan pengujian.

Mengaktifkan kumpulan aturan

Deteksi pilihan adalah analisis ancaman yang dikirimkan sebagai kumpulan aturan YARA-L yang membantu Anda mengidentifikasi ancaman terhadap perusahaan. Kumpulan aturan ini melakukan hal berikut:

• Memberikan intelijen yang dapat ditindaklanjuti dengan segera yang dapat digunakan terhadap data yang diserap.
• Menggunakan Google Threat Intelligence dengan memberi Anda cara untuk menggunakan informasi ini.

Setiap kumpulan aturan mengidentifikasi pola aktivitas mencurigakan tertentu. Untuk mengaktifkan dan melihat detail tentang kumpulan aturan, lakukan langkah berikut:

1. Pilih Detections > Rules & Detections dari menu utama. Tab default adalah Deteksi pilihan dan tampilan default adalah kumpulan aturan.
2. Klik Deteksi Terpilih untuk membuka tampilan Kumpulan Aturan.
3. Pilih kumpulan aturan di kategori Cloud Threats, seperti CDIR SCC Enhanced Exfiltration Alerts.
4. Tetapkan Status ke Enabled dan Alerting ke On untuk aturan Broad dan Precise. Aturan akan mengevaluasi data yang masuk untuk menemukan pola yang cocok dengan logika aturan. Dengan Status = Diaktifkan, aturan akan menghasilkan deteksi saat kecocokan pola ditemukan. Dengan Pemberitahuan = Aktif, aturan juga akan menghasilkan notifikasi saat kecocokan pola ditemukan.

Untuk informasi tentang cara menggunakan halaman deteksi pilihan, lihat artikel berikut:

• Halaman deteksi terseleksi dan kumpulan aturan
• Melihat detail tentang kumpulan aturan

Jika tidak menerima deteksi atau pemberitahuan setelah mengaktifkan kumpulan aturan, Anda dapat melakukan langkah-langkah untuk memicu satu atau beberapa aturan pengujian yang memverifikasi data yang diperlukan untuk kumpulan aturan yang diterima dan dalam format yang benar. Untuk informasi selengkapnya, lihat Memverifikasi penyerapan data log.

Mengidentifikasi deteksi yang dibuat oleh kumpulan aturan

Dasbor deteksi yang diseleksi menampilkan informasi tentang setiap aturan yang menghasilkan deteksi terhadap data Anda. Untuk membuka dasbor deteksi yang diseleksi, lakukan tindakan berikut:

1. Pilih Detections > Rules & Detections dari menu utama.
2. Klik Deteksi Terpilih > Dasbor untuk membuka tampilan Dasbor. Anda akan melihat daftar kumpulan aturan dan aturan individual yang menghasilkan deteksi. Aturan dikelompokkan menurut kumpulan aturan.
3. Buka kumpulan aturan yang diinginkan, seperti CDIR SCC Enhanced Exfiltration Alerts.
4. Untuk melihat deteksi yang dihasilkan oleh aturan tertentu, klik aturan tersebut. Tindakan ini akan membuka halaman Detections yang menampilkan deteksi, beserta data entitas atau peristiwa yang menghasilkan deteksi.
5. Anda dapat memfilter dan menelusuri data dalam tampilan ini.

Untuk informasi selengkapnya, lihat Melihat deteksi pilihan dan Membuka dasbor deteksi pilihan.

Menyesuaikan pemberitahuan yang ditampilkan oleh satu atau beberapa kumpulan aturan

Anda mungkin mendapati bahwa deteksi yang diseleksi menghasilkan terlalu banyak deteksi atau pemberitahuan. Anda dapat mengurangi jumlah deteksi yang dihasilkan aturan atau kumpulan aturan menggunakan pengecualian aturan. Pengecualian aturan hanya digunakan dengan deteksi pilihan, dan bukan dengan aturan kustom.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom Unified Data Model (UDM) berikut:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Menyelidiki pemberitahuan yang dibuat oleh kumpulan aturan

Halaman Pemberitahuan & IOC memberikan konteks tentang pemberitahuan dan entitas terkait. Anda dapat melihat detail tentang notifikasi, mengelola notifikasi, dan melihat hubungan dengan entitas.

1. Pilih Detections > Alerts & IOCs dari menu utama. Tampilan Notifikasi menampilkan daftar notifikasi yang dihasilkan oleh semua aturan.
2. Pilih rentang waktu untuk memfilter daftar pemberitahuan.
3. Filter daftar menurut nama kumpulan aturan, seperti CDIR SCC Enhanced Exfiltration. Anda juga dapat memfilter daftar menurut nama aturan, seperti SCC: Eksfiltrasi BigQuery ke Google Drive dengan Konteks DLP.
4. Klik notifikasi dalam daftar untuk membuka halaman Notifikasi & IOC.
5. Tab Peringatan & IOC > Ringkasan menampilkan detail tentang peringatan.

Mengumpulkan konteks investigasi menggunakan grafik entity

Tab Notifikasi & IOC > Grafik menampilkan grafik notifikasi yang secara visual mewakili hubungan antara notifikasi dan notifikasi lainnya, atau antara notifikasi dan entitas lainnya.

1. Pilih Detections > Alerts & IOCs dari menu utama. Tampilan Notifikasi menampilkan daftar notifikasi yang dihasilkan oleh semua aturan.
2. Pilih rentang waktu untuk memfilter daftar pemberitahuan.
3. Filter daftar menurut nama kumpulan aturan, seperti CDIR SCC Enhanced Exfiltration. Anda juga dapat memfilter daftar menurut nama aturan, seperti SCC: Eksfiltrasi BigQuery ke Google Drive dengan Konteks DLP.
4. Klik notifikasi dalam daftar untuk membuka halaman Notifikasi & IOC.
5. Tab Notifikasi & IOC > Grafik menampilkan grafik notifikasi.
6. Pilih node di grafik pemberitahuan untuk melihat detail tentang node.

Mengumpulkan konteks investigasi menggunakan Penelusuran UDM

Anda dapat menggunakan kemampuan penelusuran UDM selama investigasi untuk mengumpulkan konteks tambahan tentang peristiwa yang terkait dengan pemberitahuan asli. Penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan UDM yang dihasilkan oleh aturan. Penelusuran UDM menyertakan berbagai opsi penelusuran, sehingga Anda dapat menjelajahi data UDM. Anda dapat menelusuri setiap peristiwa UDM dan grup peristiwa UDM yang terkait dengan istilah penelusuran tertentu.

Pilih Telusuri dari menu utama untuk membuka halaman Penelusuran UDM.

Untuk mengetahui informasi tentang kueri Penelusuran UDM, lihat Memasukkan penelusuran UDM. Untuk panduan tentang cara menulis kueri Penelusuran UDM yang dioptimalkan untuk performa dan kemampuan fitur, lihat Praktik terbaik Penelusuran UDM.

Membuat respons dari pemberitahuan

Jika pemberitahuan atau deteksi memerlukan respons insiden, Anda dapat memulai respons menggunakan fitur SOAR. Untuk informasi selengkapnya, lihat Ringkasan kasus dan Ringkasan layar Playbook.

Langkah selanjutnya

• Tinjau kumpulan aturan dalam hal berikut:

  • Ringkasan kategori Cloud Threats
  • Ringkasan kategori Ancaman Windows
  • Ringkasan kategori Ancaman Linux
  • Ringkasan Analisis Risiko untuk kategori UEBA