Utilice detecciones seleccionadas para identificar amenazas

El equipo de Google Cloud Threat Intelligence (GCTI) ofrece análisis de amenazas predefinidos. Como parte de estas detecciones seleccionadas, GCTI proporciona y administra un conjunto de reglas YARA-L para ayudar a los clientes a identificar amenazas a su empresa.

Las reglas administradas por GCTI hacen lo siguiente:

  • Proporciona a los clientes inteligencia procesable de inmediato que pueda usarse en los datos transferidos.

  • Aprovecha la inteligencia de amenazas de Google, ya que les brinda a los clientes una forma sencilla de usar esta información a través de detecciones seleccionadas.

En este documento, se resumen los pasos necesarios para usar las detecciones seleccionadas a fin de identificar amenazas, incluido cómo habilitar los conjuntos de reglas de detección seleccionados, ver las detecciones generadas por los conjuntos de reglas y, además, investigar las alertas.

Transfiere los datos necesarios

Cada conjunto de reglas se diseñó para identificar patrones en fuentes de datos específicas y puede requerir un conjunto de datos diferente, incluidos los siguientes:

  • Datos de eventos: Describen las actividades y los eventos que ocurrieron en relación con los servicios.
  • Datos de contexto: Describen las entidades, los dispositivos, los servicios o los usuarios definidos en los datos del evento. También se los llama datos de la entidad.

En la documentación en la que se describe cada conjunto de reglas, también revisa los datos requeridos que necesita el conjunto de reglas.

Verifica la transferencia de datos

Los siguientes métodos están disponibles para verificar la correcta transferencia de datos:

  • Panel de estado y transferencia de datos: te permite supervisar la transferencia desde todas las fuentes.
  • Reglas de prueba de la prueba de detección administrada: habilita las reglas de prueba para verificar que los datos entrantes necesarios existan y estén en un formato requerido por el conjunto de reglas de detección seleccionadas específicas.

Usa el panel Transferencia de datos y estado

Usar el panel de SIEM precompilado, llamado Transferencia y estado de datos, que proporciona información sobre el tipo y el volumen de datos que se transfieren. Los datos transferidos recientemente deberían aparecer en el panel en un plazo aproximado de 30 minutos. Para obtener más información, consulta Usa paneles de SIEM.

Usa las reglas de prueba de Managed Detection Testing (opcional)

Ciertas categorías también se proporcionan como un conjunto de reglas de prueba que pueden ayudarte a verificar que los datos necesarios para cada conjunto de reglas estén en el formato correcto.

Estas reglas se encuentran en la categoría Prueba de detección administrada. Cada conjunto de reglas valida que los datos que recibe el dispositivo de prueba estén en el formato que esperan las reglas de esa categoría especificada.

Esto es útil si quieres verificar la configuración de la transferencia o si deseas solucionar un problema. Si quieres obtener pasos detallados para usar estas reglas de prueba, consulta Cómo verificar la transferencia de datos con reglas de prueba.

Habilitar conjuntos de reglas

Las detecciones seleccionadas son estadísticas de amenazas que se entregan como conjuntos de reglas YARA-L que te ayudan a identificar las amenazas a su empresa. Estos conjuntos de reglas hacen lo siguiente:

  • Te proporcionan inteligencia procesable de inmediato que se puede usar contra los datos transferidos.
  • Usar la inteligencia de amenazas de Google mediante una forma sencilla de usar esta información

Cada conjunto de reglas identifica un patrón específico de actividad sospechosa. Para habilitar y ver detalles sobre los conjuntos de reglas, haz lo siguiente:

  1. Selecciona Detectaciones > Reglas y detecciones en el menú principal. La pestaña predeterminada es Detecciones seleccionadas y la vista predeterminada son los conjuntos de reglas.
  2. Haga clic en Detecciones seleccionadas para abrir la vista Conjuntos de reglas.
  3. Selecciona un conjunto de reglas en la categoría Cloud Threats, como Alertas de robo de datos mejorada de CIR SCC.
  4. Establece el Estado en Habilitado y Alertas en Activado para las reglas Broad y Precise. Las reglas evaluarán los datos entrantes en busca de patrones que coincidan con la lógica de las reglas. Con Estado = Habilitado, las reglas generan una detección cuando se encuentra una coincidencia de patrón. Con Alertas = Activado, las reglas también generan una alerta cuando se encuentra una coincidencia de patrón.

Para obtener más información sobre cómo trabajar con la página de detecciones seleccionadas, consulta lo siguiente:

Si no recibes detecciones o alertas después de habilitar un conjunto de reglas, puedes realizar pasos para activar una o más reglas de prueba que verifiquen que los datos necesarios para que el conjunto de reglas se reciban y tengan el formato correcto. Para obtener más información, consulta Cómo verificar la transferencia de datos de registro.

Identificar las detecciones creadas por el conjunto de reglas

El panel de detecciones seleccionadas muestra información sobre cada regla que generó una detección en tus datos. Para abrir el panel de detección seleccionada, haz lo siguiente:

  1. Selecciona Detectaciones > Reglas y detecciones en el menú principal.
  2. Haz clic en Detectaciones seleccionadas > Panel para abrir la vista del panel. Verás una lista de los conjuntos de reglas y las reglas individuales que generaron detecciones. Las reglas se agrupan por conjunto de reglas.
  3. Dirígete al conjunto de reglas que te interesan, como Alertas de robo de contenido mejorada de CIR SCC.
  4. Para ver las detecciones generadas por una regla específica, haga clic en la regla. Esto abre la página Detectaciones que muestra las detecciones, además de los datos de la entidad o el evento que generaron la detección.
  5. Puedes filtrar y buscar datos en esta vista.

Para obtener más información, consulta Ver detecciones seleccionadas y Abrir el panel de detección seleccionada.

Ajusta las alertas que muestran uno o más conjuntos de reglas

Es posible que descubras que las detecciones seleccionadas generan demasiadas detecciones o alertas. Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas mediante las exclusiones de reglas. Las exclusiones de reglas se usan solo con detecciones seleccionadas, no con reglas personalizadas.

Una exclusión de reglas define los criterios que se usan para excluir un evento de modo que el conjunto de reglas o reglas específicas del conjunto de reglas no lo evalúen. Crea una o más exclusiones de reglas para ayudar a reducir el volumen de detecciones. Por ejemplo, puedes excluir eventos según los siguientes campos del Modelo de datos unificado (UDM):

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • target.resource.attribute.labels["Recipient Account Id"]
  • principal.ip
  • network.http.user_agent

Investiga las alertas creadas por el conjunto de reglas

La página Alertas e IOC proporciona contexto sobre la alerta y las entidades relacionadas. Puedes consultar los detalles de una alerta, administrarla y ver las relaciones con las entidades.

  1. Selecciona Detectiones > Alertas e IOC en el menú principal. En la vista Alertas, se muestra una lista de alertas generadas por todas las reglas.
  2. Selecciona el intervalo de tiempo para filtrar la lista de alertas.
  3. Filtra la lista por nombre del conjunto de reglas, como Exfiltración mejorada de CDIR SCC. También puedes filtrar la lista por nombre de la regla, como SCC: Exfiltración de BigQuery a Google Drive con DLP.
  4. Haz clic en una alerta de la lista para abrir la página Alertas e IOC.
  5. La pestaña Alertas e IOC > Descripción general muestra detalles sobre la alerta.

Reunir contexto de la investigación con el gráfico de entidades

La pestaña Alertas e IOC > Gráfico muestra un gráfico de alertas que representa de forma visual las relaciones entre una alerta y otras alertas, o entre una alerta y otras entidades.

  1. Selecciona Detectiones > Alertas e IOC en el menú principal. En la vista Alertas, se muestra una lista de alertas generadas por todas las reglas.
  2. Selecciona el intervalo de tiempo para filtrar la lista de alertas.
  3. Filtra la lista por el nombre del conjunto de reglas, como Exfiltración mejorada de CDIR SCC. También puedes filtrar la lista por el nombre de la regla, como SCC: Robo de BigQuery en Google Drive con DLP Context.
  4. Haz clic en una alerta de la lista para abrir la página Alertas e IOC.
  5. La pestaña Alertas e IOC > Gráfico muestra el gráfico de alertas.
  6. Selecciona un nodo en el gráfico de alertas para ver sus detalles.

Puedes usar la función de búsqueda de UDM durante tu investigación para recopilar contexto adicional sobre eventos relacionados con la alerta original. La búsqueda de UDM te permite encontrar eventos y alertas de UDM generados por reglas. UDM Search incluye una variedad de opciones de búsqueda, lo que te permite navegar por tus datos de UDM. Puedes buscar eventos de UDM individuales y grupos de eventos de UDM relacionados con términos de búsqueda específicos.

Selecciona Search en el menú principal para abrir la página UDM Search.

Para obtener información sobre las búsquedas de UDM, consulta Cómo ingresar una búsqueda de UDM. Si quieres obtener orientación para escribir consultas de búsqueda de UDM optimizadas para el rendimiento y las capacidades de la función, consulta las prácticas recomendadas para la búsqueda de UDM.

Crea una respuesta a partir de una alerta

Si una alerta o detección requiere una respuesta ante incidentes, puede iniciar la respuesta con las funciones de SOAR. Para obtener más información, consulta Descripción general de casos y Descripción general de la pantalla de guías.

¿Qué sigue?