使用精选检测来识别威胁
Google Cloud 威胁情报 (GCTI) 团队提供预定义的威胁分析。在这些精选检测中,GCTI 提供和管理一组 YARA-L 规则,以帮助客户识别其企业面临的威胁。
GCTI 管理规则执行以下操作:
为客户提供可针对他们提取的数据立即采取行动的情报。
通过精选检测为客户提供简单的方法使用此类信息,从而利用 Google 威胁情报。
本文档总结了使用精选检测识别威胁所需的步骤,包括如何启用精选检测规则集、查看规则集生成的检测以及调查提醒。
注入所需的数据
每个规则集都旨在识别特定数据源中的模式,并且可能需要一组不同的数据,包括:
- 事件数据:描述与服务相关的发生的活动和事件。
- 上下文数据:描述事件数据中定义的实体、设备、服务或用户。这也称为实体数据。
在介绍每个规则集的文档中,您还应该查看规则集所需的必需数据。
验证数据的注入
以下方法可用于验证数据注入是否成功:
- 数据注入和运行状况信息中心:可让您监控所有来源的注入情况。
- 代管式检测测试测试规则:启用测试规则,以验证所需的传入数据是否存在,并且传入的数据是否采用特定精选检测规则集所需的格式。
使用“数据注入和运行状况”信息中心
使用预构建的 SIEM 信息中心(称为“数据提取和运行状况”),该信息中心提供有关所提取数据的类型和数量的信息。新提取的数据应该会在大约 30 分钟内显示在信息中心内。如需了解详情,请参阅使用 SIEM 信息中心。
(可选)使用代管式检测测试规则
某些类别还会以测试规则集的形式提供,可帮助您验证每个规则集所需的数据是否均采用正确的格式。
这些测试规则位于代管式检测测试类别下。每个规则集都会验证测试设备接收的数据是否采用指定类别的规则所要求的格式。
如果您想验证提取设置或排查问题,这会非常有用。如需详细了解如何使用这些测试规则,请参阅使用测试规则验证数据注入。
启用规则集
精选检测是以 YARA-L 规则集的形式提供的威胁分析,可帮助您识别对其企业的威胁。这些规则集执行以下操作:
- 为您提供可依据其提取的数据立即的可操作情报。
- Google 威胁情报为您提供了简单易用的信息使用方法,
每个规则集都标识了一种特定形式的可疑活动。如需启用规则集并查看有关规则集的详细信息,请执行以下操作:
- 从主菜单中依次选择检测 > 规则和检测。 默认标签页为 Curated Detections(精选检测),默认视图为规则集。
- 点击精选检测以打开规则集视图。
- 在“Cloud 威胁”类别中选择规则集,例如 CDIR SCC 增强型外泄提醒。
- 对于 Broad 和 Precise 规则,均将 Status 设置为 Enabled,并将 Alerting 设置为 On。这些规则将评估传入数据中是否存在与规则逻辑匹配的模式。如果 Status = Enabled,则规则会在发现模式匹配项时生成检测。如果 Alerting 设置为 On,则规则还会在发现模式匹配时生成提醒。
如需了解如何使用精选检测页面,请参阅以下内容:
如果您在启用规则集后没有收到检测或提醒,则可以执行步骤来触发一个或多个测试规则,以验证是否正在接收规则集所需的数据且数据格式是否正确。如需了解详情,请参阅验证日志数据注入。
确定由规则集创建的检测
精选检测信息中心会显示针对您的数据生成检测的每条规则的相关信息。如需打开精选检测信息中心,请执行以下操作:
- 从主菜单中依次选择检测 > 规则和检测。
- 点击精选检测 > 信息中心,打开“信息中心”视图。您将看到一个规则集列表以及生成检测结果的各个规则。规则按规则集分组。
- 前往感兴趣的规则集,例如 CDIR SCC 增强型渗漏提醒。
- 如需查看特定规则生成的检测结果,请点击相应规则。系统会打开检测页面,其中会显示检测结果,以及生成检测的实体或事件数据。
- 您可以过滤和搜索此数据视图中的数据。
如需了解详情,请参阅查看精选检测和打开精选检测信息中心。
调整由一个或多个规则集返回的提醒
您可能会发现精选检测生成了过多的检测或提醒。您可以使用规则排除来减少规则或规则集生成的检测次数。规则排除项只能用于精选检测,不能用于自定义规则。
规则排除定义用于排除事件的条件,使规则集或规则集中的特定规则不评估事件。请创建一个或多个规则排除项,以帮助减少检测量。例如,您可以根据以下统一数据模型 (UDM) 字段排除事件:
metadata.product_event_type
principal.user.userid
target.resource.name
target.resource.product_object_id
target.resource.attribute.labels["Recipient Account Id"]
principal.ip
network.http.user_agent
调查由规则集创建的提醒
提醒和 IOC 页面提供了有关提醒和相关实体的上下文。您可以查看有关提醒的详细信息、管理提醒,以及查看与实体的关系。
- 从主菜单中依次选择 Detections(检测)> Alerts & IOC(提醒和 IOC)。 提醒视图会显示所有规则生成的提醒列表。
- 选择时间范围以过滤提醒列表。
- 按规则集名称(例如 CDIR SCC 增强型渗漏)过滤列表。您还可以按规则名称过滤列表,例如 SCC:使用 DLP 上下文将 BigQuery 渗漏到 Google 云端硬盘。
- 点击列表中的提醒以打开 Alerts & IOC(提醒和 IOC)页面。
- 提醒和 IOC > 概览标签页会显示有关提醒的详细信息。
使用实体图收集调查背景信息
Alerts & IOC > Graph 标签页显示一个提醒图表,以直观方式表示提醒和其他提醒之间或提醒与其他实体之间的关系。
- 从主菜单中依次选择检测 > 提醒和 IOC。提醒视图会显示所有规则生成的提醒列表。
- 选择时间范围以过滤提醒列表。
- 按规则集名称过滤列表,例如 CDIR SCC 增强外泄。您还可以按规则名称过滤列表,例如 SCC:使用 DLP 上下文将 BigQuery 渗漏到 Google 云端硬盘。
- 点击列表中的提醒以打开 Alerts & IOC(提醒和 IOC)页面。
- Alerts & IOC(提醒和 IOC)> Graph 标签页将显示提醒图表。
- 在提醒图中选择一个节点以查看该节点的详细信息。
使用 UDM 搜索功能收集调查背景信息
在调查期间,您可以使用 UDM 搜索功能来收集与原始提醒相关的事件的其他背景信息。借助 UDM Search,您可以查找由规则生成的 UDM 事件和提醒。UDM Search 包含各种搜索选项,可让您浏览 UDM 数据。您可以搜索与特定搜索字词相关的单个 UDM 事件和 UDM 事件组。
从主菜单选择搜索,以打开 UDM 搜索页面。
如需了解 UDM 搜索查询,请参阅输入 UDM 搜索。 如需有关编写针对该功能的性能和功能进行优化的 UDM 搜索查询的指导,请参阅 UDM 搜索最佳实践。
根据提醒创建回复
如果警报或检测需要事故响应,您可以使用 SOAR 功能发起响应。如需了解详情,请参阅支持请求概览和 Playbook 屏幕概览。
后续步骤
查看以下规则集: