Ausgewählte Erkennungsfunktionen zur Identifizierung von Bedrohungen

Das Google Cloud Threat Intelligence (GCTI)-Team bietet vordefinierte Bedrohungsanalysen. Im Rahmen dieser ausgewählten Erkennungen bietet und verwaltet GCTI eine Reihe von YARA-L-Regeln, mit denen Kunden Bedrohungen für ihr Unternehmen identifizieren können.

Die GCTI-verwalteten Regeln haben folgende Aufgaben:

• Um Kunden unmittelbar umsetzbare Informationen zur Verfügung zu stellen, die mit ihren aufgenommenen Daten verwendet werden können

• Nutzt Bedrohungsdaten von Google und bietet Kunden eine einfache Möglichkeit, diese Informationen durch sorgfältig ausgewählte Erkennungsvorgänge zu nutzen.

In diesem Dokument werden die Schritte zusammengefasst, die zur Verwendung ausgewählter Erkennungsmechanismen zum Identifizieren von Bedrohungen erforderlich sind. Unter anderem erfahren Sie, wie Sie ausgewählte Erkennungsregelsätze aktivieren, von den Regelsätzen generierte Erkennungen aufrufen und Benachrichtigungen untersuchen.

Erforderliche Daten aufnehmen

Jeder Regelsatz wurde entwickelt, um Muster in bestimmten Datenquellen zu identifizieren. Unter Umständen sind andere Datensätze erforderlich, darunter:

• Ereignisdaten: Beschreibt Aktivitäten und Ereignisse, die im Zusammenhang mit Diensten aufgetreten sind.
• Kontextdaten: Beschreibt die Entitäten, Geräte, Dienste oder Nutzer, die in den Ereignisdaten definiert sind. Dies wird auch als Entitätsdaten bezeichnet.

Sehen Sie sich in der Dokumentation, in der die einzelnen Regelsätze beschrieben werden, auch die für den Regelsatz erforderlichen Daten an.

Datenaufnahme prüfen

Mit den folgenden Methoden lässt sich die erfolgreiche Datenaufnahme überprüfen:

• Dashboard für Datenaufnahme und Zustand: Hiermit können Sie die Aufnahme aus allen Quellen überwachen.
• Testregeln für verwaltete Erkennungstests: Aktivieren Sie Testregeln, um zu prüfen, ob die erforderlichen eingehenden Daten sowohl vorhanden als auch in einem Format sind, das vom jeweiligen ausgewählten Erkennungsregelsatz gefordert wird.

Dashboard für Datenaufnahme und Datenzustand verwenden

Das vordefinierte SIEM-Dashboard namens „Data Ingestion and Health“, das Informationen über die Art und das Volumen der aufgenommenen Daten liefert. Neu aufgenommene Daten sollten innerhalb von etwa 30 Minuten im Dashboard angezeigt werden. Weitere Informationen finden Sie unter SIEM-Dashboards verwenden.

(Optional) Testregeln für Managed Detection Testing verwenden

Bestimmte Kategorien werden auch als Satz von Testregeln bereitgestellt, mit denen Sie prüfen können, ob die für jeden Regelsatz erforderlichen Daten im richtigen Format vorliegen.

Diese Testregeln befinden sich in der Kategorie Verwalteter Erkennungstest. Jeder Regelsatz validiert, dass die vom Testgerät empfangenen Daten in einem Format vorliegen, das von den Regeln für diese angegebene Kategorie erwartet wird.

Das ist nützlich, wenn Sie die Einrichtung der Aufnahme überprüfen oder ein Problem beheben möchten. Ausführliche Schritte zur Verwendung dieser Testregeln finden Sie unter Datenaufnahme mit Testregeln prüfen.

Regelsätze aktivieren

Ausgewählte Erkennungen sind Bedrohungsanalysen, die als YARA-L-Regelsätze bereitgestellt werden, mit denen Sie Bedrohungen für das Unternehmen identifizieren können. Diese Regelsätze haben folgende Aufgaben:

• Ihnen stehen sofort umsetzbare Informationen zur Verfügung, die Sie anhand der aufgenommenen Daten verwenden können.
• Nutzen Sie die Bedrohungsdaten von Google, um diese Informationen auf einfache Weise zu nutzen.

Jeder Regelsatz identifiziert ein bestimmtes Muster verdächtiger Aktivitäten. So aktivieren Sie Regelsätze und sehen Details dazu:

1. Wählen Sie im Hauptmenü Erkennungen > Regeln und Erkennungen aus. Der Standard-Tab ist Ausgewählte Erkennungen und die Standardansicht sind Regelsätze.
2. Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht Regelsätze zu öffnen.
3. Wählen Sie einen Regelsatz in der Kategorie „Cloudbedrohungen“ aus, z. B. CDIR SCC Erweiterte Exfiltrationsbenachrichtigungen.
4. Setzen Sie den Status für die Regeln Weitgehend passend und Genau auf Aktiviert und Benachrichtigungen auf Ein. Die Regeln werten eingehende Daten auf Muster aus, die der Regellogik entsprechen. Ist Status = Enabled, generieren die Regeln eine Erkennung, wenn eine Musterübereinstimmung gefunden wird. Ist für Benachrichtigungen = Ein festgelegt, wird durch die Regeln auch eine Benachrichtigung generiert, wenn eine Musterübereinstimmung gefunden wird.

Informationen zum Arbeiten mit der Seite „Ausgewählte Erkennungen“ finden Sie hier:

• Seite mit ausgewählten Erkennungsfunktionen und Regelsätze
• Details zu einem Regelsatz ansehen

Wenn Sie nach dem Aktivieren eines Regelsatzes keine Erkennungen oder Benachrichtigungen erhalten, können Sie Schritte ausführen, um eine oder mehrere Testregeln auszulösen, mit denen geprüft wird, ob für den Regelsatz erforderliche Daten empfangen werden und im richtigen Format vorliegen. Weitere Informationen finden Sie unter Aufnahme von Logdaten prüfen.

Erkennungen identifizieren, die vom Regelsatz erstellt wurden

Das Dashboard für ausgewählte Erkennungen enthält Informationen zu jeder Regel, die eine Erkennung für Ihre Daten generiert hat. So öffnen Sie das Dashboard für die ausgewählte Erkennung:

1. Wählen Sie im Hauptmenü Erkennungen > Regeln und Erkennungen aus.
2. Klicken Sie auf Ausgewählte Erkennungen > Dashboard, um die Dashboard-Ansicht zu öffnen. Sie sehen dann eine Liste mit Regelsätzen und einzelnen Regeln, die Erkennungen generiert haben. Regeln sind nach Regelsatz gruppiert.
3. Rufen Sie den gewünschten Regelsatz auf, z. B. Erweiterte CDIR-SCC-Exfiltrationsbenachrichtigungen.
4. Klicken Sie auf die Regel, um die durch eine bestimmte Regel generierten Erkennungen aufzurufen. Daraufhin wird die Seite Erkennungen geöffnet. Dort werden die Erkennungen sowie die Entitäts- oder Ereignisdaten angezeigt, die die Erkennung generiert haben.
5. In dieser Ansicht können Sie die Daten filtern und durchsuchen.

Weitere Informationen finden Sie unter Ausgewählte Erkennungen ansehen und Dashboard für ausgewählte Erkennungsfunktionen öffnen.

Von einem oder mehreren Regelsätzen zurückgegebene Benachrichtigungen abstimmen

Es kann vorkommen, dass die ausgewählten Erkennungen zu viele Erkennungen oder Benachrichtigungen generieren. Mithilfe von Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die eine Regel oder ein Regelsatz generiert. Regelausschlüsse werden nur für ausgewählte Erkennungen und nicht für benutzerdefinierte Regeln verwendet.

Ein Regelausschluss definiert die Kriterien, nach denen ein Ereignis von der Auswertung durch den Regelsatz oder durch bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der Erkennungen zu reduzieren. Beispielsweise können Sie Ereignisse basierend auf den folgenden Feldern für das Unified Data Model (UDM) ausschließen:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• target.resource.attribute.labels["Recipient Account Id"]
• principal.ip
• network.http.user_agent

Benachrichtigungen prüfen, die vom Regelsatz erstellt wurden

Auf der Seite Benachrichtigungen und Bedrohungsindikatoren finden Sie Kontext zur Benachrichtigung und den zugehörigen Entitäten. Sie können Details zu einer Benachrichtigung ansehen, die Benachrichtigung verwalten und Beziehungen zu Entitäten ansehen.

1. Wählen Sie im Hauptmenü Detections > Alerts & IOCs (Erkennungen > Warnmeldungen & Bedrohungserkennung) aus. In der Ansicht Benachrichtigungen sehen Sie eine Liste der Benachrichtigungen, die von allen Regeln generiert wurden.
2. Wählen Sie den Zeitraum aus, um die Liste der Benachrichtigungen zu filtern.
3. Filtern Sie die Liste nach dem Namen des Regelsatzes, z. B. CDIR SCC Enhanced Exfiltration. Sie können die Liste auch nach Regelnamen filtern, z. B. SCC: BigQuery-Exfiltration zu Google Drive mit DLP-Kontext.
4. Klicken Sie auf eine Benachrichtigung in der Liste, um die Seite Benachrichtigungen und Bedrohungsindikatoren zu öffnen.
5. Auf dem Tab Benachrichtigungen und Bedrohungsindikatoren > Übersicht werden Details zur Benachrichtigung angezeigt.

Ermitteln Sie den Untersuchungskontext mithilfe des Entitätsdiagramms.

Auf dem Tab Benachrichtigungen und IOCs > Grafik wird ein Benachrichtigungsdiagramm angezeigt, das die Beziehungen zwischen einer Benachrichtigung und anderen Benachrichtigungen oder zwischen einer Benachrichtigung und anderen Entitäten visuell darstellt.

1. Wählen Sie im Hauptmenü Detections > Alerts & IOCs (Erkennungen > Warnmeldungen und IOCs) aus. In der Ansicht Benachrichtigungen sehen Sie eine Liste der Benachrichtigungen, die von allen Regeln generiert wurden.
2. Wählen Sie den Zeitraum aus, um die Liste der Benachrichtigungen zu filtern.
3. Filtern Sie die Liste nach dem Namen des Regelsatzes, z. B. CDIR SCC Enhanced Exfiltration. Sie können die Liste auch nach dem Regelnamen filtern, z. B. SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Klicken Sie auf eine Benachrichtigung in der Liste, um die Seite Benachrichtigungen und Bedrohungsindikatoren zu öffnen.
5. Auf dem Tab Benachrichtigungen und Bedrohungsindikatoren > Grafik wird die Benachrichtigungsgrafik angezeigt.
6. Wählen Sie einen Knoten im Benachrichtigungsdiagramm aus, um Details zum Knoten anzusehen.

Untersuchungskontext mit UDM Search ermitteln

Sie können die UDM-Suchfunktion während der Untersuchung verwenden, um zusätzlichen Kontext zu Ereignissen im Zusammenhang mit der ursprünglichen Benachrichtigung zu erhalten. Mit UDM Search können Sie UDM-Ereignisse und -Benachrichtigungen finden, die von Regeln generiert werden. UDM Search bietet eine Vielzahl von Suchoptionen, mit denen Sie durch Ihre UDM-Daten navigieren können. Sie können sowohl nach einzelnen UDM-Ereignissen als auch nach Gruppen von UDM-Ereignissen suchen, die sich auf bestimmte Suchbegriffe beziehen.

Wählen Sie im Hauptmenü die Option Search aus, um die UDM-Suchseite zu öffnen.

Informationen zu UDM-Suchanfragen finden Sie unter UDM-Suche eingeben. Eine Anleitung zum Schreiben von UDM-Suchanfragen, die im Hinblick auf Leistung und Funktionen der Funktion optimiert sind, finden Sie unter Best Practices für die UDM-Suche.

Antwort aus einer Benachrichtigung erstellen

Wenn für eine Warnung oder Erkennung eine Reaktion auf Vorfälle erforderlich ist, können Sie die Reaktion mithilfe der SOAR-Funktionen einleiten. Weitere Informationen finden Sie in der Übersicht über Fälle und in der Übersicht über den Playbooks-Bildschirm.

Nächste Schritte

• Überprüfen Sie Regelsätze in den folgenden Bereichen:

  • Übersicht über die Kategorie „Cloud-Bedrohungen“
  • Übersicht über die Kategorie „Windows-Bedrohungen“
  • Übersicht über die Kategorie „Linux-Bedrohungen“
  • Übersicht über die Risikoanalyse für die UEBA-Kategorie