Usar detecciones seleccionadas para identificar amenazas

Disponible en:

El equipo de Google Threat Intelligence (GCTI) ofrece analíticas de amenazas predefinidas. Como parte de estas detecciones seleccionadas, GCTI proporciona y gestiona un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas para su empresa.

Las reglas gestionadas por la GCTI hacen lo siguiente:

  • Proporcionar a los clientes información valiosa que puedan usar inmediatamente con los datos que han insertado.

  • Aprovecha la inteligencia de amenazas de Google proporcionando a los clientes una forma de usar esta información a través de detecciones seleccionadas.

En este documento se resumen los pasos necesarios para usar detecciones seleccionadas con el fin de identificar amenazas, incluido cómo habilitar conjuntos de reglas de detección seleccionadas, ver las detecciones generadas por los conjuntos de reglas e investigar las alertas.

Ingiere los datos necesarios

Cada conjunto de reglas se ha diseñado para identificar patrones en fuentes de datos específicas y puede requerir un conjunto de datos diferente, incluidos los siguientes:

  • Datos de eventos: describen las actividades y los eventos que se han producido en relación con los servicios.
  • Datos de contexto: describen las entidades, los dispositivos, los servicios o los usuarios definidos en los datos del evento. También se denominan datos de entidad.

En la documentación que describe cada conjunto de reglas, también debe consultar los datos necesarios para el conjunto de reglas.

Verificar la ingestión de datos

Puede usar los siguientes métodos para verificar que los datos se han insertado correctamente:

  • Ingestión de datos y panel de control de estado: le permite monitorizar la ingestión de todas las fuentes.
  • Reglas de prueba de pruebas de detección gestionadas: habilita las reglas de prueba para verificar que los datos entrantes necesarios existen y tienen el formato que requiere el conjunto de reglas de detección específicas.

Usar el panel de control Ingesta de datos y estado

Usa el panel de control SIEM precompilado, llamado "Ingestión de datos y estado", que proporciona información sobre el tipo y el volumen de datos que se están ingiriendo. Los datos recién ingeridos deberían aparecer en el panel de control en un plazo de 30 minutos. Para obtener más información, consulta Usar paneles de SIEM.

(Opcional) Usar reglas de prueba de pruebas de detección gestionadas

También se proporcionan determinadas categorías como conjunto de reglas de prueba que pueden ayudarle a verificar que los datos necesarios para cada conjunto de reglas tienen el formato correcto.

Estas reglas de prueba se encuentran en la categoría Pruebas de detección gestionadas. Cada conjunto de reglas valida que los datos recibidos por el dispositivo de prueba tengan el formato esperado por las reglas de esa categoría específica.

Esto resulta útil si quiere verificar la configuración de la ingesta o solucionar un problema. Para ver los pasos detallados sobre cómo usar estas reglas de prueba, consulta el artículo Verificar la ingesta de datos con reglas de prueba.

Habilitar conjuntos de reglas

Las detecciones seleccionadas son analíticas de amenazas que se ofrecen como conjuntos de reglas YARA-L y que te ayudan a identificar amenazas para tu empresa. Estos conjuntos de reglas hacen lo siguiente:

  • Proporcionarte información valiosa que se puede usar inmediatamente con sus datos ingeridos.
  • Usar Google Threat Intelligence proporcionándote una forma de usar esta información.

Cada conjunto de reglas identifica un patrón específico de actividad sospechosa. Para habilitar conjuntos de reglas y ver detalles sobre ellos, sigue estos pasos:

  1. En el menú principal, selecciona Detecciones > Reglas y detecciones. La pestaña predeterminada es Detecciones seleccionadas y la vista predeterminada es la de conjuntos de reglas.
  2. Haz clic en Detecciones seleccionadas para abrir la vista Conjuntos de reglas.
  3. Selecciona un conjunto de reglas de la categoría Amenazas de Cloud, como Alertas de exfiltración mejoradas de CDIR SCC.
  4. Define Estado como Habilitado y Alertas como Activado en las reglas Generales y Precisas. Las reglas evaluarán los datos entrantes para detectar patrones que coincidan con la lógica de las reglas. Si Estado = Habilitado, las reglas generan una detección cuando se encuentra una coincidencia de patrón. Si Alertas = Activadas, las reglas también generan una alerta cuando se encuentra una coincidencia de patrón.

Para obtener información sobre cómo trabajar con la página Detecciones seleccionadas, consulta lo siguiente:

Si no recibes detecciones ni alertas después de habilitar un conjunto de reglas, puedes seguir los pasos para activar una o varias reglas de prueba que verifiquen que se reciben los datos necesarios para el conjunto de reglas y que tienen el formato correcto. Para obtener más información, consulta Verificar la ingestión de datos de registro.

Identificar las detecciones creadas por el conjunto de reglas

El panel de control de detecciones seleccionadas muestra información sobre cada regla que ha generado una detección en tus datos. Para abrir el panel de control de detecciones seleccionadas, haga lo siguiente:

  1. En el menú principal, selecciona Detecciones > Reglas y detecciones.
  2. Haz clic en Detecciones seleccionadas > Panel de control para abrir la vista Panel de control. Verá una lista de conjuntos de reglas y reglas individuales que han generado detecciones. Las reglas se agrupan por conjunto de reglas.
  3. Ve al conjunto de reglas que te interese, como CDIR SCC Enhanced Exfiltration Alerts.
  4. Para ver las detecciones generadas por una regla específica, haz clic en ella. Se abrirá la página Detecciones, donde se muestran las detecciones y los datos de la entidad o del evento que las han generado.
  5. Puede filtrar y buscar datos en esta vista.

Para obtener más información, consulta Ver detecciones seleccionadas y Abrir el panel de detecciones seleccionadas.

Ajustar las alertas devueltas por uno o varios conjuntos de reglas

Puede que las detecciones seleccionadas generen demasiadas detecciones o alertas. Puedes reducir el número de detecciones que genera una regla o un conjunto de reglas mediante exclusiones de reglas. Las exclusiones de reglas solo se usan con detecciones seleccionadas, no con reglas personalizadas.

Una exclusión de regla define los criterios que se utilizan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto. Crea una o varias exclusiones de reglas para reducir el volumen de detecciones. Por ejemplo, puede excluir eventos en función de los siguientes campos del modelo de datos unificado (UDM):

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • additional.fields["recipientAccountId"]
  • principal.ip
  • network.http.user_agent

Investigar las alertas creadas por el conjunto de reglas

La página Alertas e IOCs proporciona contexto sobre la alerta y las entidades relacionadas. Puedes ver los detalles de una alerta, gestionarla y consultar las relaciones con las entidades.

  1. En el menú principal, selecciona Detecciones > Alertas e IOCs. En la vista Alertas se muestra una lista de las alertas generadas por todas las reglas.
  2. Seleccione el periodo para filtrar la lista de alertas.
  3. Filtra la lista por nombre de conjunto de reglas, como CDIR SCC Enhanced Exfiltration. También puedes filtrar la lista por nombre de regla, como SCC: BigQuery Exfiltration to Google Drive with DLP Context (SCC: exfiltración de BigQuery a Google Drive con contexto de DLP).
  4. Haz clic en una alerta de la lista para abrir la página Alertas e IOCs.
  5. En la pestaña Alertas e indicadores de compromiso > Resumen se muestran los detalles de la alerta.

Recopilar contexto de investigación mediante el gráfico de entidades

En la pestaña Alertas e IOCs > Gráfico se muestra un gráfico de alertas que representa visualmente las relaciones entre una alerta y otras alertas, o entre una alerta y otras entidades.

  1. Selecciona Detecciones > Alertas e IOCs en el menú principal. En la vista Alertas se muestra una lista de las alertas generadas por todas las reglas.
  2. Seleccione el periodo para filtrar la lista de alertas.
  3. Filtra la lista por el nombre del conjunto de reglas, como CDIR SCC Enhanced Exfiltration. También puedes filtrar la lista por el nombre de la regla, como SCC: BigQuery Exfiltration to Google Drive with DLP Context (SCC: exfiltración de BigQuery a Google Drive con contexto de DLP).
  4. Haz clic en una alerta de la lista para abrir la página Alertas e IOCs.
  5. En la pestaña Alertas e IOCs > Gráfico se muestra el gráfico de alertas.
  6. Selecciona un nodo del gráfico de alertas para ver los detalles sobre él.

Puedes usar la función de búsqueda de UDM durante tu investigación para obtener más contexto sobre los eventos relacionados con la alerta original. La búsqueda de UDM te permite encontrar eventos de UDM y alertas generadas por reglas. La búsqueda de UDM incluye varias opciones de búsqueda que te permiten desplazarte por tus datos de UDM. Puedes buscar eventos de gestión de derechos de música individuales y grupos de eventos de gestión de derechos de música relacionados con términos de búsqueda específicos.

Selecciona Buscar en el menú principal para abrir la página Búsqueda de UDM.

Para obtener información sobre las consultas de búsqueda de UDM, consulta Introducir una búsqueda de UDM. Para obtener directrices sobre cómo escribir consultas de búsqueda de UDM optimizadas para el rendimiento y las funciones, consulta las prácticas recomendadas de la búsqueda de UDM.

Crear una respuesta a partir de una alerta

Si una alerta o una detección requiere una respuesta ante incidentes, puedes iniciarla con las funciones de SOAR. Para obtener más información, consulta Introducción a los casos y Introducción a la pantalla de guías.

Siguientes pasos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.