Usar detecções selecionadas para identificar ameaças

A equipe do Google Threat Intelligence (GCTI) oferece análises de ameaças predefinidas. Como parte dessas detecções selecionadas, o GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa.

As regras gerenciadas pelo GCTI fazem o seguinte:

• Ofereça aos clientes informações úteis que podem ser usadas com os dados ingeridos.

• Aproveita a Inteligência de Ameaças do Google, oferecendo aos clientes uma maneira de usar essas informações com detecções selecionadas.

Este documento resume as etapas necessárias para usar detecções selecionadas para identificar ameaças, incluindo como ativar conjuntos de regras de detecção selecionadas, visualizar detecções geradas pelos conjuntos de regras e investigar alertas.

Ingerir os dados necessários

Cada conjunto de regras foi projetado para identificar padrões em origens de dados específicas e pode exigir um conjunto diferente de dados, incluindo:

• Dados de eventos: descreve atividades e eventos relacionados a serviços.
• Dados de contexto: descreve as entidades, dispositivos, serviços ou usuários definidos nos dados do evento. Isso também é chamado de dados de entidade.

Na documentação que descreve cada conjunto de regras, revise também os dados necessários para o conjunto de regras.

Verificar a ingestão de dados

Os seguintes métodos estão disponíveis para verificar se a ingestão de dados foi bem-sucedida:

• Painel de integridade e ingestão de dados: permite monitorar a ingestão de todas as origens.
• Regras de teste do Teste de detecção gerenciado: ative regras de teste para verificar se os dados de entrada necessários existem e estão em um formato exigido pelo conjunto de regras de detecção selecionado.

Usar o painel "Ingestão e integridade de dados"

Use o painel SIEM pré-criado, chamado "Ingestão e integridade de dados", que fornece informações sobre o tipo e o volume de dados ingeridos. Os dados recém-ingeridos vão aparecer no painel em aproximadamente 30 minutos. Para mais informações, consulte Como usar os painéis do SIEM.

(Opcional) Usar regras de teste de testes de detecção gerenciada

Algumas categorias também são fornecidas como um conjunto de regras de teste que podem ajudar a verificar se os dados necessários para cada conjunto de regras estão no formato correto.

Essas regras de teste estão na categoria Teste de detecção gerenciada. Cada conjunto de regras valida se os dados recebidos pelo dispositivo de teste estão em um formato esperado pelas regras da categoria especificada.

Isso é útil se você quiser verificar a configuração de transferência ou resolver um problema. Para conferir etapas detalhadas sobre como usar essas regras, consulte Verificar a ingestão de dados usando regras de teste.

Ativar conjuntos de regras

As detecções selecionadas são análises de ameaças enviadas como conjuntos de regras YARA-L que ajudam a identificar ameaças à empresa. Esses conjuntos de regras fazem o seguinte:

• Fornece informações acionáveis imediatamente que podem ser usadas com os dados ingeridos.
• Use o Google Threat Intelligence para acessar essas informações.

Cada conjunto de regras identifica um padrão específico de atividade suspeita. Para ativar e conferir detalhes sobre os conjuntos de regras, faça o seguinte:

1. Selecione Detections > Rules & Detections no menu principal. A guia padrão é Detecções selecionadas, e a visualização padrão é "Conjuntos de regras".
2. Clique em Detecções selecionadas para abrir a visualização Conjuntos de regras.
3. Selecione um conjunto de regras na categoria Ameaças na nuvem, como Alertas de exfiltração aprimorada do CDIR SCC.
4. Defina Status como Ativado e Alerta como Ativado para as regras Ampla e Precisa. As regras vão avaliar os dados recebidos em busca de padrões que correspondem à lógica da regra. Com Status = Ativado, as regras geram uma detecção quando uma correspondência de padrão é encontrada. Com Alerting = On, as regras também geram um alerta quando uma correspondência de padrão é encontrada.

Para saber como trabalhar com a página de detecções selecionadas, consulte:

• Página de detecções selecionadas e conjuntos de regras
• Conferir detalhes sobre um conjunto de regras

Se você não receber detecções ou alertas após ativar um conjunto de regras, poderá realizar etapas para acionar uma ou mais regras de teste que verifiquem se os dados necessários para o conjunto de regras estão sendo recebidos e estão no formato correto. Para mais informações, consulte Verificar a ingestão de dados de registro.

Identificar as detecções criadas pelo conjunto de regras

O painel de detecções selecionadas mostra informações sobre cada regra que gerou uma detecção nos seus dados. Para abrir o painel de detecção selecionada, faça o seguinte:

1. Selecione Detections > Rules & Detections no menu principal.
2. Clique em Curated Detections > Dashboard para abrir a visualização do painel. Você vai encontrar uma lista de conjuntos de regras e regras individuais que geraram detecções. As regras são agrupadas por conjunto.
3. Acesse o conjunto de regras de interesse, como Alertas de exfiltração aprimorada do CDIR SCC.
4. Para conferir as detecções geradas por uma regra específica, clique nela. Isso abre a página Detecções, que mostra as detecções, além dos dados de entidade ou evento que geraram a detecção.
5. É possível filtrar e pesquisar os dados nessa visualização.

Para mais informações, consulte Visualizar detecções selecionadas e Abrir o painel de detecções selecionadas.

Ajustar os alertas retornados por um ou mais conjuntos de regras

As detecções selecionadas podem gerar muitas detecções ou alertas. É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras. As exclusões de regras são usadas apenas com detecções selecionadas, e não com regras personalizadas.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais regras de exclusão para reduzir o volume de detecções. Por exemplo, você pode excluir eventos com base nos seguintes campos do modelo de dados unificado (UDM, na sigla em inglês):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Investigar alertas criados pelo conjunto de regras

A página Alertas e IOCs fornece contexto sobre o alerta e as entidades relacionadas. É possível conferir detalhes sobre um alerta, gerenciá-lo e ver as relações com entidades.

1. Selecione Detections > Alerts & IOCs no menu principal. A visualização Alertas mostra uma lista de alertas gerados por todas as regras.
2. Selecione o período para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também é possível filtrar a lista pelo nome da regra, como SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Clique em um alerta na lista para abrir a página Alertas e IOCs.
5. A guia Alertas e IOCs > Visão geral mostra detalhes sobre o alerta.

Coletar contexto de investigação usando o gráfico de entidades

A guia Alerts & IOCs > Graph mostra um gráfico de alerta que representa visualmente as relações entre um alerta e outros alertas ou entre um alerta e outras entidades.

1. Selecione Detections > Alerts & IOCs no menu principal. A visualização Alertas mostra uma lista de alertas gerados por todas as regras.
2. Selecione o período para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como Exfiltração aprimorada de SCC CDIR. Também é possível filtrar a lista pelo nome da regra, como SCC: Exfiltração do BigQuery para o Google Drive com o contexto do DLP.
4. Clique em um alerta na lista para abrir a página Alertas e IOCs.
5. A guia Alertas e IOCs > Gráfico mostra o gráfico de alertas.
6. Selecione um nó no gráfico de alertas para conferir os detalhes dele.

Coletar contexto de investigação usando a pesquisa do UDM

Você pode usar o recurso de pesquisa do UDM durante a investigação para coletar mais contexto sobre eventos relacionados ao alerta original. A pesquisa UDM permite encontrar eventos e alertas UDM gerados por regras. A pesquisa UDM inclui várias opções de pesquisa, permitindo que você navegue pelos dados do UDM. É possível pesquisar eventos individuais do UDM e grupos de eventos do UDM relacionados a termos de pesquisa específicos.

Selecione Pesquisar no menu principal para abrir a página Pesquisa de UDM.

Para informações sobre consultas de pesquisa da UDM, consulte Inserir uma pesquisa da UDM. Para orientações sobre como escrever consultas de pesquisa da UDM otimizadas para desempenho e recursos do recurso, consulte as práticas recomendadas de pesquisa da UDM.

Criar uma resposta a partir de um alerta

Se um alerta ou uma detecção exigir uma resposta a incidentes, você poderá iniciar a resposta usando os recursos de SOAR. Para mais informações, consulte Visão geral dos casos e Visão geral da tela "Playbooks".

A seguir

• Revise os conjuntos de regras nos seguintes locais:

  • Visão geral da categoria Ameaças à nuvem
  • Visão geral da categoria Ameaças do Windows
  • Visão geral da categoria "Ameaças do Linux"
  • Visão geral da análise de risco para a categoria de UEBA

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.