Usa detecciones seleccionadas para identificar amenazas

Se admite en los siguientes países:

El equipo de Google Threat Intelligence (GCTI) ofrece análisis de amenazas predefinidos. Como parte de estas detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas para su empresa.

Las reglas administradas por GCTI hacen lo siguiente:

  • Proporciona a los clientes estadísticas prácticas que se puedan usar de inmediato con sus datos transferidos.

  • Aprovecha la información de amenazas de Google para proporcionar a los clientes una forma de usar esta información a través de detecciones seleccionadas.

En este documento, se resumen los pasos necesarios para usar detecciones seleccionadas para identificar amenazas, lo que incluye cómo habilitar conjuntos de reglas de detección seleccionadas, ver las detecciones que generan los conjuntos de reglas y cómo investigar las alertas.

Transfiere los datos obligatorios

Cada conjunto de reglas se diseñó para identificar patrones en fuentes de datos específicas y puede requerir un conjunto diferente de datos, incluidos los siguientes:

  • Datos de eventos: Describen las actividades y los eventos que se produjeron en relación con los servicios.
  • Datos de contexto: Describen las entidades, los dispositivos, los servicios o los usuarios definidos en los datos del evento. Esto también se denomina datos de entidad.

En la documentación que describe cada conjunto de reglas, revisa también los datos necesarios que requiere el conjunto de reglas.

Verifica la transferencia de datos

Los siguientes métodos están disponibles para verificar que la transferencia de datos se realizó correctamente:

  • Panel de transferencia de datos y estado: Te permite supervisar la transferencia desde todas las fuentes.
  • Reglas de prueba de la detección administrada: Habilita las reglas de prueba para verificar que los datos entrantes requeridos existan y estén en un formato que requiera el conjunto específico de reglas de detección seleccionadas.

Usa el panel de transferencia de datos y estado

Usa el panel de SIEM precompilado, llamado Estado y transferencia de datos, que proporciona información sobre el tipo y el volumen de datos que se transfieren. Los datos transferidos recientemente deberían aparecer en el panel en un plazo aproximado de 30 minutos. Para obtener información, consulta Cómo usar los paneles de SIEM.

Usa reglas de prueba de detección administrada (opcional)

Algunas categorías también se proporcionan como un conjunto de reglas de prueba que pueden ayudarte a verificar que los datos requeridos para cada conjunto de reglas estén en el formato correcto.

Estas reglas de prueba se encuentran en la categoría Pruebas de detección administrada. Cada conjunto de reglas valida que los datos que recibe el dispositivo de prueba estén en un formato que esperan las reglas para esa categoría especificada.

Esto es útil si deseas verificar la configuración de transferencia o si quieres solucionar un problema. Para obtener pasos detallados sobre cómo usar estas reglas de prueba, consulta Cómo verificar la transferencia de datos con reglas de prueba.

Habilita conjuntos de reglas

Las detecciones seleccionadas son estadísticas de amenazas que se entregan como conjuntos de reglas YARA-L que te ayudan a identificar amenazas para tu empresa. Estos conjuntos de reglas hacen lo siguiente:

  • Proporcionar información práctica inmediata que se puede usar en función de los datos transferidos
  • Usa Google Threat Intelligence, ya que te proporciona una forma de usar esta información.

Cada conjunto de reglas identifica un patrón específico de actividad sospechosa. Para habilitar y ver detalles sobre los conjuntos de reglas, haz lo siguiente:

  1. Selecciona Detecciones > Reglas y detecciones en el menú principal. La pestaña predeterminada es Detección seleccionada y la vista predeterminada es Conjuntos de reglas.
  2. Haz clic en Detección seleccionada para abrir la vista Conjuntos de reglas.
  3. Selecciona un conjunto de reglas en la categoría Amenazas en la nube, como Alertas de robo de datos mejoradas de SCC de CDIR.
  4. Establece Estado en Habilitado y Alertas en Activado para las reglas Generales y Precisas. Las reglas evaluarán los datos entrantes en busca de patrones que coincidan con la lógica de la regla. Con Estado = Habilitado, las reglas generan una detección cuando se encuentra una coincidencia de patrón. Si Alertas = Activado, las reglas también generan una alerta cuando se encuentra una coincidencia de patrón.

Para obtener información sobre cómo trabajar con la página de detecciones seleccionadas, consulta lo siguiente:

Si no recibes detecciones ni alertas después de habilitar un conjunto de reglas, puedes realizar pasos para activar una o más reglas de prueba que verifiquen que se reciban los datos necesarios para el conjunto de reglas y que tengan el formato correcto. Para obtener más información, consulta Cómo verificar la transferencia de datos de registro.

Identificar las detecciones creadas por el conjunto de reglas

En el panel de detecciones seleccionadas, se muestra información sobre cada regla que generó una detección en tus datos. Para abrir el panel de detección seleccionada, haz lo siguiente:

  1. Selecciona Detecciones > Reglas y detecciones en el menú principal.
  2. Haz clic en Detección seleccionada > Panel para abrir la vista del panel. Verás una lista de los conjuntos de reglas y las reglas individuales que generaron detecciones. Las reglas se agrupan por conjunto de reglas.
  3. Ve al conjunto de reglas de interés, como Alertas de robo de datos mejoradas de SCC de CDIR.
  4. Para ver las detecciones que genera una regla específica, haz clic en ella. Se abrirá la página Detección, que muestra las detecciones, además de los datos de la entidad o el evento que generaron la detección.
  5. Puedes filtrar y buscar los datos en esta vista.

Para obtener más información, consulta Cómo ver las detecciones seleccionadas y Cómo abrir el panel de detecciones seleccionadas.

Ajusta las alertas que muestran uno o más conjuntos de reglas

Es posible que las detecciones seleccionadas generen demasiadas detecciones o alertas. Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas. Las exclusiones de reglas solo se usan con detecciones seleccionadas, no con reglas personalizadas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Por ejemplo, puedes excluir eventos según los siguientes campos del modelo de datos unificados (UDM):

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • target.resource.attribute.labels["Recipient Account Id"]
  • principal.ip
  • network.http.user_agent

Investiga las alertas creadas por el conjunto de reglas

La página Alertas y IOC proporciona contexto sobre la alerta y las entidades relacionadas. Puedes ver los detalles de una alerta, administrarla y ver las relaciones con las entidades.

  1. En el menú principal, selecciona Detections > Alerts & IOCs. En la vista Alertas, se muestra una lista de las alertas generadas por todas las reglas.
  2. Selecciona el período para filtrar la lista de alertas.
  3. Filtra la lista por nombre del conjunto de reglas, como Robo de información mejorado de la SCC de CDIR. También puedes filtrar la lista por nombre de regla, como SCC: Robo de datos de BigQuery a Google Drive con contexto de DLP.
  4. Haz clic en una alerta de la lista para abrir la página Alertas y IOC.
  5. En la pestaña Alertas y IOC > Resumen, se muestran los detalles de la alerta.

Recopila contexto de investigación con el gráfico de entidades

La pestaña Alertas y IOC > Gráfico muestra un gráfico de alertas que representa visualmente las relaciones entre una alerta y otras alertas, o entre una alerta y otras entidades.

  1. Selecciona Detección > Alertas y IOC en el menú principal. En la vista Alertas, se muestra una lista de las alertas generadas por todas las reglas.
  2. Selecciona el período para filtrar la lista de alertas.
  3. Filtra la lista por el nombre del conjunto de reglas, como Robo mejorado de SCC de CDIR. También puedes filtrar la lista por el nombre de la regla, como SCC: Robo de datos de BigQuery a Google Drive con contexto de DLP.
  4. Haz clic en una alerta de la lista para abrir la página Alertas y IOC.
  5. En la pestaña Alertas y IOC > Gráfico, se muestra el gráfico de alertas.
  6. Selecciona un nodo en el gráfico de alertas para ver sus detalles.

Puedes usar la función de búsqueda de la AUA durante la investigación para recopilar contexto adicional sobre los eventos relacionados con la alerta original. La búsqueda de UDM te permite encontrar eventos y alertas de UDM generados por reglas. La Búsqueda de UDM incluye una variedad de opciones de búsqueda, lo que te permite navegar por tus datos de UDM. Puedes buscar eventos de la AUA individuales y grupos de eventos de la AUA relacionados con términos de búsqueda específicos.

Selecciona Búsqueda en el menú principal para abrir la página Búsqueda de la AUA.

Para obtener información sobre las consultas de búsqueda de la AUA, consulta Cómo ingresar una búsqueda de la AUA. Si deseas obtener orientación para escribir consultas de búsqueda de la AUA optimizadas para el rendimiento y las capacidades de la función, consulta Prácticas recomendadas de la búsqueda de la AUA.

Crea una respuesta a partir de una alerta

Si una alerta o detección requiere una respuesta ante incidentes, puedes iniciarla con las funciones de SOAR. Para obtener más información, consulta Descripción general de los casos y Descripción general de la pantalla de las guías de acción.

¿Qué sigue?