Usa rilevamenti selezionati per identificare le minacce

Il team Google Cloud Threat Intelligence (GCTI) offre analisi delle minacce predefinite. Nell'ambito di questi rilevamenti curati, GCTI fornisce e gestisce una serie di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda.

Le regole gestite da GCTI:

  • Offri ai clienti informazioni immediatamente fruibili che possono essere usate contro i dati importati.

  • Sfrutta l'intelligence sulle minacce di Google offrendo ai clienti un modo semplice per utilizzare queste informazioni tramite rilevamenti selezionati.

Questo documento riassume i passaggi necessari per utilizzare rilevamenti selezionati per identificare le minacce, incluso come abilitare serie di regole di rilevamento selezionate, visualizzare i rilevamenti generati dalle serie di regole e analizzare gli avvisi.

Importa i dati richiesti

Ogni set di regole è stato progettato per identificare pattern in origini dati specifiche e può richiedere un set di dati diverso, tra cui:

  • Dati sugli eventi: descrive le attività e gli eventi che si sono verificati relativi ai servizi.
  • Dati di contesto: descrivono entità, dispositivi, servizi o utenti definiti nei dati sugli eventi. Questi dati vengono anche chiamati dati entità.

Nella documentazione che descrive ogni serie di regole, rivedi anche i dati richiesti dalla serie di regole.

Verificare l'importazione dei dati

Per verificare la corretta importazione dati, sono disponibili i seguenti metodi:

  • Dashboard per l'importazione dei dati e l'integrità: consente di monitorare l'importazione da tutte le origini.
  • Regole di test per i test di rilevamento gestiti: abilita le regole di test per verificare che i dati in arrivo richiesti esistano e siano nel formato richiesto dal set specifico di regole di rilevamento selezionate.

Utilizzo del pannello Importazione dati e integrità

Utilizza la dashboard SIEM predefinita, denominata Importazione e integrità dei dati, che fornisce informazioni sul tipo e sul volume dei dati importati. I dati appena importati dovrebbero essere visualizzati nella dashboard entro circa 30 minuti. Per informazioni, consulta l'articolo sull'utilizzo delle dashboard SIEM.

(Facoltativo) Utilizzare le regole di test dei test di rilevamento gestito

Alcune categorie sono fornite anche come insieme di regole di test che possono aiutarti a verificare che i dati richiesti per ogni serie di regole siano nel formato corretto.

Queste regole di test si trovano nella categoria Test di rilevamento gestito. Ogni set di regole verifica che i dati ricevuti dal dispositivo di test siano in un formato previsto dalle regole per la categoria specificata.

Questo è utile se vuoi verificare la configurazione dell'importazione o se vuoi risolvere un problema. Per la procedura dettagliata su come utilizzare queste regole di test, consulta Verificare l'importazione dati utilizzando le regole di test.

Abilita serie di regole

I rilevamenti selezionati sono analisi delle minacce fornite come set di regole YARA-L che consentono di identificare le minacce per l'azienda. Queste serie di regole svolgono le seguenti operazioni:

  • Fornirti informazioni immediatamente fruibili che possono essere utilizzate sui dati importati.
  • Usa l'intelligence sulle minacce di Google, offrendoti un modo semplice per usare queste informazioni.

Ogni serie di regole identifica uno specifico modello di attività sospette. Per attivare e visualizzare i dettagli delle serie di regole:

  1. Seleziona Rilevamenti > Regole e rilevamenti dal menu principale. La scheda predefinita è Rilevamenti selezionati e la visualizzazione predefinita è le serie di regole.
  2. Fai clic su Rilevamenti selezionati per aprire la vista Serie di regole.
  3. Seleziona una serie di regole nella categoria Minacce Cloud, come Avvisi di esfiltrazione avanzata SCC CDIR.
  4. Imposta Stato su Attivato e Avvisi su On per le regole Generica e Esatta. Le regole valuteranno i dati in entrata per trovare pattern che corrispondono alla logica della regola. Con Stato = Abilitata, le regole generano un rilevamento quando viene rilevata una corrispondenza di pattern. Con Avvisi = On, le regole generano anche un avviso quando viene rilevata una corrispondenza di pattern.

Per informazioni sull'utilizzo della pagina dei rilevamenti selezionati, consulta le seguenti risorse:

Se non ricevi rilevamenti o avvisi dopo aver attivato una serie di regole, puoi eseguire i passaggi per attivare una o più regole di test che verificano che i dati richiesti per la serie di regole siano ricevuti e siano nel formato corretto. Per ulteriori informazioni, consulta Verificare l'importazione dei dati di log.

Identificare i rilevamenti creati dalla serie di regole

La dashboard dei rilevamenti curati mostra informazioni su ogni regola che ha generato un rilevamento in base ai tuoi dati. Per aprire la dashboard di rilevamento selezionato, procedi nel seguente modo:

  1. Seleziona Rilevamenti > Regole e rilevamenti dal menu principale.
  2. Fai clic su Rilevamenti selezionati > Dashboard per aprire la visualizzazione Dashboard. Verrà visualizzato un elenco di serie di regole e di singole regole che hanno generato rilevamenti. Le regole vengono raggruppate per serie di regole.
  3. Vai alla serie di regole che ti interessa, ad esempio Avvisi di esfiltrazione avanzata SCC di CDIR.
  4. Per visualizzare i rilevamenti generati da una regola specifica, fai clic sulla regola. Viene aperta la pagina Rilevamenti, in cui vengono visualizzati i rilevamenti e i dati relativi all'entità o all'evento che ha generato il rilevamento.
  5. Puoi filtrare e cercare i dati in questa vista.

Per maggiori informazioni, vedi Visualizzare i rilevamenti selezionati e Aprire la dashboard di rilevamento selezionata.

Ottimizzare gli avvisi restituiti da una o più serie di regole

Potresti scoprire che i rilevamenti selezionati generano troppi rilevamenti o avvisi. Puoi ridurre il numero di rilevamenti generati da una regola o da una serie di regole utilizzando le esclusioni di regole. Le esclusioni di regole vengono utilizzate solo con rilevamenti selezionati e non con regole personalizzate.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte della serie di regole o di regole specifiche al suo interno. Crea una o più esclusioni di regole per ridurre il volume di rilevamenti. Ad esempio, potresti escludere gli eventi in base ai seguenti campi Unified Data Model (UDM):

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • target.resource.attribute.labels["Recipient Account Id"]
  • principal.ip
  • network.http.user_agent

Esaminare gli avvisi creati dalla serie di regole

La pagina Avvisi e IOC fornisce contesto sull'avviso e sulle entità correlate. Puoi visualizzare i dettagli di un avviso, gestirlo e vedere le relazioni con le entità.

  1. Seleziona Rilevamenti > Avvisi e IOC dal menu principale. La vista Avvisi mostra un elenco di avvisi generati da tutte le regole.
  2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
  3. Filtra l'elenco in base al nome del set di regole, ad esempio Esfiltrazione avanzata SCC CDIR. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: esfiltrazione BigQuery su Google Drive con contesto DLP.
  4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
  5. Nella scheda Avvisi e IOC > Panoramica vengono visualizzati i dettagli dell'avviso.

Raccolta di un contesto investigativo utilizzando il grafico delle entità

La scheda Avvisi e IOC > Grafico mostra un grafico degli avvisi che rappresenta visivamente le relazioni tra un avviso e altri avvisi o tra un avviso e altre entità.

  1. Seleziona Rilevamenti > Avvisi e IOC dal menu principale. La vista Avvisi mostra un elenco di avvisi generati da tutte le regole.
  2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
  3. Filtra l'elenco in base al nome della serie di regole, ad esempio Esfiltrazione avanzata SCC CDIR. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: esfiltrazione BigQuery su Google Drive con contesto DLP.
  4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
  5. La scheda Avvisi e IOC > Grafico mostra il grafico degli avvisi.
  6. Seleziona un nodo nel grafico degli avvisi per visualizzarne i dettagli.

Puoi utilizzare la funzionalità di ricerca UDM durante l'indagine per raccogliere contesto aggiuntivo sugli eventi relativi all'avviso originale. La ricerca UDM ti consente di trovare gli eventi e gli avvisi UDM generati dalle regole. La ricerca UDM include una serie di opzioni che consentono di esplorare i dati UDM. Puoi cercare singoli eventi UDM e gruppi di eventi UDM correlati a termini di ricerca specifici.

Seleziona Cerca dal menu principale per aprire la pagina Ricerca UDM.

Per informazioni sulle query di ricerca UDM, consulta l'articolo Inserire una ricerca UDM. Per indicazioni sulla scrittura di query di ricerca UDM ottimizzate per le prestazioni e le funzionalità della funzionalità, consulta le best practice per la ricerca UDM.

Creare una risposta da un avviso

Se un avviso o un rilevamento richiede una risposta a un incidente, è possibile avviare la risposta utilizzando le funzionalità SOAR. Per ulteriori informazioni, vedi Panoramica delle richieste e Panoramica della schermata dei playbook.

Passaggi successivi