Bedrohungen mit ausgewählten Erkennungsmechanismen identifizieren

Das Google Threat Intelligence-Team (GCTI) bietet vordefinierte Bedrohungsanalysen. Im Rahmen dieser ausgewählten Erkennungen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet diese, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen.

Die von GCTI verwalteten Regeln haben folgende Auswirkungen:

• Kunden sofort umsetzbare Informationen zur Verfügung stellen, die sie auf ihre aufgenommenen Daten anwenden können.

• Nutzt die Google Threat Intelligence, indem Kunden die Möglichkeit geboten wird, diese Informationen über ausgewählte Erkennungen zu verwenden.

In diesem Dokument werden die Schritte zusammengefasst, die erforderlich sind, um mit ausgewählten Erkennungen Bedrohungen zu identifizieren. Dazu gehört auch, wie Sie Regelsätze für ausgewählte Erkennungen aktivieren, von den Regelsätzen generierte Erkennungen aufrufen und Benachrichtigungen untersuchen.

Erforderliche Daten aufnehmen

Jeder Regelsatz wurde entwickelt, um Muster in bestimmten Datenquellen zu identifizieren, und kann unterschiedliche Daten erfordern, darunter:

• Ereignisdaten: Beschreiben Aktivitäten und Ereignisse, die im Zusammenhang mit Diensten aufgetreten sind.
• Kontextdaten: Beschreiben die in den Ereignisdaten definierten Entitäten, Geräte, Dienste oder Nutzer. Diese werden auch als Entitätsdaten bezeichnet.

Lesen Sie in der Dokumentation zu den einzelnen Regelsätzen auch die erforderlichen Daten.

Datenaufnahme prüfen

Mit den folgenden Methoden können Sie prüfen, ob die Datenaufnahme erfolgreich war:

• Dashboard „Datenaufnahme und -zugriff“: Hier können Sie die Datenaufnahme aus allen Quellen beobachten.
• Testregeln für verwaltete Erkennung: Aktivieren Sie Testregeln, um zu prüfen, ob die erforderlichen eingehenden Daten vorhanden sind und sich in einem Format befinden, das für den jeweiligen ausgewählten Erkennungsregelsatz erforderlich ist.

Dashboard für Datenaufnahme und -integrität verwenden

Verwenden Sie das vordefinierte SIEM-Dashboard „Datenaufnahme und -integrität“, das Informationen zum Typ und Volumen der aufgenommenen Daten enthält. Neu aufgenommene Daten sollten innerhalb von etwa 30 Minuten im Dashboard angezeigt werden. Weitere Informationen finden Sie unter SIEM-Dashboards verwenden.

Optional: Testregeln für verwaltete Erkennungstests verwenden

Bestimmte Kategorien werden auch als Testregeln bereitgestellt, mit denen Sie prüfen können, ob die für jeden Regelsatz erforderlichen Daten im richtigen Format vorliegen.

Diese Testregeln finden Sie in der Kategorie Tests für die verwaltete Erkennung. Mit jedem Regelsatz wird geprüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das den Regeln für die angegebene Kategorie entspricht.

Das ist hilfreich, wenn Sie die Datenaufnahme überprüfen oder ein Problem beheben möchten. Eine ausführliche Anleitung zur Verwendung dieser Testregeln finden Sie unter Dateneinnahme mithilfe von Testregeln überprüfen.

Regelsätze aktivieren

Ausgewählte Erkennungen sind Bedrohungsanalysen, die als YARA-L-Regelsätze bereitgestellt werden und Ihnen helfen, Bedrohungen für Ihr Unternehmen zu erkennen. Diese Regelsätze haben folgende Funktionen:

• Sie erhalten sofort umsetzbare Informationen, die Sie auf Ihre aufgenommenen Daten anwenden können.
• Google Threat Intelligence bietet Ihnen eine Möglichkeit, diese Informationen zu verwenden.

Jeder Regelsatz identifiziert ein bestimmtes Muster verdächtiger Aktivitäten. So aktivieren Sie Regelsätze und rufen Details dazu auf:

1. Wählen Sie im Hauptmenü Erkannte Probleme > Regeln und erkannte Probleme aus. Der Standardtab ist Ausgewählte Erkennungen und die Standardansicht ist „Regelsätze“.
2. Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht Regelsätze zu öffnen.
3. Wählen Sie in der Kategorie „Cloud-Bedrohungen“ einen Regelsatz aus, z. B. CDIR SCC Enhanced Exfiltration Alerts.
4. Legen Sie für allgemeine und genaue Regeln den Status auf Aktiviert und Benachrichtigungen auf An fest. Die Regeln prüfen eingehende Daten auf Muster, die der Regellogik entsprechen. Wenn Status = Aktiviert ist, generieren die Regeln eine Erkennung, wenn eine Musterübereinstimmung gefunden wird. Wenn Benachrichtigungen = An festgelegt ist, wird bei einer Musterübereinstimmung auch eine Benachrichtigung generiert.

Weitere Informationen zur Seite mit ausgewählten Erkennungen finden Sie unter den folgenden Links:

• Seite „Ausgewählte Erkennungen“ und Regelsätze
• Details zu einem Regelsatz ansehen

Wenn Sie nach der Aktivierung eines Regelsatzes keine Erkennungen oder Benachrichtigungen erhalten, können Sie eine oder mehrere Testregeln ausführen, um zu prüfen, ob die für den Regelsatz erforderlichen Daten empfangen werden und im richtigen Format vorliegen. Weitere Informationen finden Sie unter Aufnahme von Logdaten prüfen.

Erkennungen identifizieren, die vom Regelsatz erstellt wurden

Auf dem Dashboard für ausgewählte Erkennungen werden Informationen zu jeder Regel angezeigt, die eine Erkennung in Ihren Daten generiert hat. So öffnen Sie das Dashboard für ausgewählte Erkennungen:

1. Wählen Sie im Hauptmenü Erkannte Probleme > Regeln und erkannte Probleme aus.
2. Klicken Sie auf Ausgewählte Erkennungen > Dashboard, um die Dashboardansicht zu öffnen. Sie sehen eine Liste der Regelsätze und einzelnen Regeln, die zu Erkennungen geführt haben. Regeln werden nach Regelsatz gruppiert.
3. Rufen Sie den gewünschten Regelsatz auf, z. B. CDIR SCC Enhanced Exfiltration Alerts.
4. Klicken Sie auf eine Regel, um die von ihr generierten Erkennungen aufzurufen. Daraufhin wird die Seite Erkannte Probleme geöffnet. Dort werden die erkannten Probleme sowie die Entitäts- oder Ereignisdaten angezeigt, die die Erkennung ausgelöst haben.
5. Sie können die Daten in dieser Ansicht filtern und nach ihnen suchen.

Weitere Informationen finden Sie unter Zusammengestellte Erkennungen ansehen und Dashboard für ausgewählte Erkennungen öffnen.

Benachrichtigungen anpassen, die von einem oder mehreren Regelsätzen zurückgegeben werden

Möglicherweise werden durch die ausgewählten Erkennungen zu viele Erkennungen oder Benachrichtigungen generiert. Mit Ausschlussregeln können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden. Regelausschlüsse werden nur für ausgewählte Erkennungen und nicht für benutzerdefinierte Regeln verwendet.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis von der Auswertung durch den Regelsatz oder durch bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie eine oder mehrere Regelausschlüsse, um die Anzahl der erkannten Probleme zu reduzieren. Sie können beispielsweise Ereignisse basierend auf den folgenden Feldern des einheitlichen Datenmodells (Unified Data Model, UDM) ausschließen:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Vom Regelsatz erstellte Benachrichtigungen untersuchen

Auf der Seite Benachrichtigungen und IOCs finden Sie Kontextinformationen zur Benachrichtigung und zu den zugehörigen Entitäten. Sie können sich Details zu einer Benachrichtigung ansehen, sie verwalten und sich Beziehungen zu Entitäten anzeigen lassen.

1. Wählen Sie im Hauptmenü Erkenntnisse > Benachrichtigungen und IOCs aus. In der Ansicht Benachrichtigungen wird eine Liste der Benachrichtigungen angezeigt, die von allen Regeln generiert wurden.
2. Wählen Sie den Zeitraum aus, um die Liste der Benachrichtigungen zu filtern.
3. Filtern Sie die Liste nach dem Namen des Regelsatzes, z. B. CDIR SCC Enhanced Exfiltration. Sie können die Liste auch nach dem Namen der Regel filtern, z. B. SCC: BigQuery-Exfiltration in Google Drive mit DLP-Kontext.
4. Klicken Sie in der Liste auf eine Benachrichtigung, um die Seite Benachrichtigungen und IOCs zu öffnen.
5. Auf dem Tab Benachrichtigungen und IOCs > Übersicht finden Sie Details zur Benachrichtigung.

Kontext für die Untersuchung mithilfe des Entitätsdiagramms erfassen

Auf dem Tab Benachrichtigungen und IOCs > Diagramm wird ein Benachrichtigungsdiagramm angezeigt, in dem Beziehungen zwischen einer Benachrichtigung und anderen Benachrichtigungen oder zwischen einer Benachrichtigung und anderen Entitäten visuell dargestellt werden.

1. Wählen Sie im Hauptmenü Erkenntnisse > Benachrichtigungen und IOCs aus. In der Ansicht Benachrichtigungen wird eine Liste der Benachrichtigungen angezeigt, die von allen Regeln generiert wurden.
2. Wählen Sie den Zeitraum aus, um die Liste der Benachrichtigungen zu filtern.
3. Filtern Sie die Liste nach dem Namen der Regelgruppe, z. B. CDIR SCC Enhanced Exfiltration. Sie können die Liste auch nach dem Namen der Regel filtern, z. B. SCC: BigQuery-Exfiltration in Google Drive mit DLP-Kontext.
4. Klicken Sie in der Liste auf eine Benachrichtigung, um die Seite Benachrichtigungen und IOCs zu öffnen.
5. Auf dem Tab Benachrichtigungen und IOCs > Diagramm wird das Benachrichtigungsdiagramm angezeigt.
6. Wählen Sie einen Knoten im Benachrichtigungsdiagramm aus, um Details zu diesem Knoten aufzurufen.

Kontext für die Untersuchung mit der UDM-Suche ermitteln

Sie können die UDM-Suchfunktion während der Untersuchung verwenden, um zusätzlichen Kontext zu Ereignissen im Zusammenhang mit der ursprünglichen Benachrichtigung zu erhalten. Mit der UDM-Suche können Sie nach UDM-Ereignissen und -Benachrichtigungen suchen, die durch Regeln generiert wurden. Die UDM-Suche bietet eine Vielzahl von Suchoptionen, mit denen Sie Ihre UDM-Daten durchsuchen können. Sie können sowohl nach einzelnen UDM-Ereignissen als auch nach Gruppen von UDM-Ereignissen suchen, die mit bestimmten Suchbegriffen in Verbindung stehen.

Wählen Sie im Hauptmenü Suchen aus, um die Seite UDM-Suche zu öffnen.

Informationen zu UDM-Suchanfragen finden Sie unter UDM-Suchanfrage eingeben. Informationen zum Erstellen von UDM-Suchanfragen, die auf Leistung und Funktionen der Funktion optimiert sind, finden Sie unter Best Practices für die UDM-Suche.

Antwort aus einer Benachrichtigung erstellen

Wenn eine Benachrichtigung oder Erkennung eine Reaktion auf einen Vorfall erfordert, können Sie diese mithilfe von SOAR-Funktionen initiieren. Weitere Informationen finden Sie unter Anfragen – Übersicht und Playbooks-Bildschirm – Übersicht.

Nächste Schritte

• Prüfen Sie die Regelsätze in den folgenden Bereichen:

  • Übersicht über die Kategorie „Cloud-Bedrohungen“
  • Übersicht über die Kategorie „Windows-Bedrohungen“
  • Übersicht über die Kategorie „Linux-Bedrohungen“
  • Übersicht über Risikoanalysen für die Kategorie „UEBA“

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten