Menggunakan deteksi pilihan untuk mengidentifikasi ancaman

Tim Google Cloud Threat Intelligence (GCTI) menawarkan analisis ancaman yang telah ditetapkan. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka.

Aturan yang dikelola GCTI melakukan hal berikut:

• Memberikan informasi yang dapat ditindaklanjuti secara langsung kepada pelanggan, yang dapat digunakan untuk menangani data yang diserap.

• Memanfaatkan kecerdasan ancaman Google dengan memberi pelanggan cara mudah untuk menggunakan informasi ini melalui deteksi pilihan.

Dokumen ini merangkum langkah-langkah yang diperlukan untuk menggunakan deteksi pilihan guna mengidentifikasi ancaman, termasuk cara mengaktifkan kumpulan aturan deteksi yang diseleksi, deteksi tampilan yang dihasilkan oleh kumpulan aturan, dan menyelidiki pemberitahuan.

Serap data yang diperlukan

Setiap kumpulan aturan telah dirancang untuk mengidentifikasi pola dalam sumber data tertentu dan mungkin memerlukan kumpulan data yang berbeda, termasuk hal berikut:

• Data peristiwa: mendeskripsikan aktivitas dan peristiwa yang terjadi terkait dengan layanan.
• Data konteks: menjelaskan entity, perangkat, layanan, atau pengguna yang ditentukan dalam data peristiwa. Data ini disebut juga data entity.

Dalam dokumentasi yang menjelaskan setiap kumpulan aturan, tinjau juga data wajib yang diperlukan oleh kumpulan aturan.

Memverifikasi penyerapan data

Metode berikut tersedia untuk memverifikasi penyerapan data yang berhasil:

• Dasbor Kesehatan dan Penyerapan Data: hal ini memungkinkan Anda memantau penyerapan dari semua sumber.
• Aturan pengujian Pengujian Deteksi Terkelola: Aktifkan aturan pengujian untuk memverifikasi bahwa data masuk yang diperlukan memang ada dan dalam format yang diperlukan oleh kumpulan aturan deteksi tertentu yang diseleksi.

Menggunakan dasbor Kesehatan dan Penyerapan Data

Gunakan dasbor SIEM bawaan, yang disebut Penyerapan Data dan Kesehatan, yang memberikan informasi tentang jenis dan volume data yang diserap. Data yang baru diserap akan muncul di dasbor dalam waktu sekitar 30 menit. Untuk informasi, lihat Menggunakan dasbor SIEM.

(Opsional) Menggunakan aturan pengujian Pengujian Deteksi Terkelola

Kategori tertentu juga disediakan sebagai serangkaian aturan pengujian yang dapat membantu Anda memverifikasi bahwa data yang diperlukan untuk setiap kumpulan aturan sudah dalam format yang benar.

Aturan pengujian ini berada dalam kategori Pengujian Deteksi Terkelola. Setiap kumpulan aturan memvalidasi bahwa data yang diterima perangkat pengujian dalam format yang diharapkan oleh aturan untuk kategori yang ditentukan.

Hal ini berguna jika Anda ingin memverifikasi penyiapan penyerapan atau jika Anda ingin memecahkan masalah. Untuk mengetahui langkah-langkah mendetail tentang cara menggunakan aturan pengujian ini, lihat Memverifikasi penyerapan data menggunakan aturan pengujian.

Mengaktifkan kumpulan aturan

Deteksi pilihan adalah analisis ancaman yang dikirimkan sebagai kumpulan aturan YARA-L yang membantu Anda mengidentifikasi ancaman terhadap perusahaan mereka. Kumpulan aturan ini melakukan hal berikut:

• Memberi Anda informasi yang dapat langsung ditindaklanjuti dan dapat digunakan terhadap data yang diserap.
• Gunakan kecerdasan ancaman Google dengan menyediakan cara mudah untuk menggunakan informasi ini.

Setiap kumpulan aturan mengidentifikasi pola tertentu dari aktivitas yang mencurigakan. Untuk mengaktifkan dan melihat detail tentang kumpulan aturan, lakukan hal berikut:

1. Pilih Deteksi > Aturan & Deteksi dari menu utama. Tab default-nya adalah Deteksi yang diseleksi dan tampilan default-nya adalah kumpulan aturan.
2. Klik Deteksi yang Diseleksi untuk membuka tampilan Kumpulan Aturan.
3. Pilih aturan yang ditetapkan dalam kategori Ancaman Cloud, seperti Peringatan Pemindahan Tidak Sah yang Ditingkatkan CDIR SCC.
4. Setel Status ke Enabled dan Alerting ke On untuk aturan Broad dan Precise. Aturan akan mengevaluasi data yang masuk untuk pola yang cocok dengan logika aturan. Dengan Status = Diaktifkan, aturan menghasilkan deteksi jika kecocokan pola ditemukan. Dengan Alerting = On, aturan juga menghasilkan pemberitahuan jika kecocokan pola ditemukan.

Untuk mengetahui informasi tentang cara menggunakan halaman deteksi pilihan, lihat artikel berikut:

• Halaman deteksi yang diseleksi dan kumpulan aturan
• Melihat detail tentang kumpulan aturan

Jika tidak menerima deteksi atau pemberitahuan setelah mengaktifkan kumpulan aturan, Anda dapat melakukan langkah-langkah untuk memicu satu atau beberapa aturan pengujian yang memverifikasi bahwa data yang diperlukan untuk kumpulan aturan diterima dan dalam format yang benar. Untuk mengetahui informasi selengkapnya, lihat Memverifikasi penyerapan data log.

Mengidentifikasi deteksi yang dibuat oleh kumpulan aturan

Dasbor deteksi yang diseleksi menampilkan informasi tentang setiap aturan yang menghasilkan deteksi terhadap data Anda. Untuk membuka dasbor deteksi yang diseleksi, lakukan langkah berikut:

1. Pilih Deteksi > Aturan & Deteksi dari menu utama.
2. Klik Deteksi yang Diseleksi > Dasbor untuk membuka tampilan Dasbor. Anda akan melihat daftar kumpulan aturan dan aturan individual yang menghasilkan deteksi. Aturan dikelompokkan berdasarkan kumpulan aturan.
3. Buka kumpulan aturan yang diinginkan, seperti Pemberitahuan Pemindahan Tidak Sah yang Ditingkatkan CDIR SCC.
4. Untuk melihat deteksi yang dihasilkan oleh aturan tertentu, klik aturan tersebut. Tindakan ini akan membuka halaman Deteksi yang menampilkan deteksi, serta data entitas atau peristiwa yang menghasilkan deteksi.
5. Anda dapat memfilter dan menelusuri data di tampilan ini.

Untuk mengetahui informasi selengkapnya, lihat Melihat deteksi yang diseleksi dan Membuka dasbor deteksi yang diseleksi.

Menyesuaikan notifikasi yang ditampilkan oleh satu atau beberapa kumpulan aturan

Anda mungkin menemukan bahwa deteksi hasil seleksi menghasilkan terlalu banyak deteksi atau pemberitahuan. Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh suatu aturan atau kumpulan aturan menggunakan pengecualian aturan. Pengecualian aturan hanya digunakan dengan deteksi yang diseleksi, bukan dengan aturan kustom.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh kumpulan aturan, atau oleh aturan tertentu dalam kumpulan aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom Model Data Terpadu (UDM) berikut:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• target.resource.attribute.labels["Recipient Account Id"]
• principal.ip
• network.http.user_agent

Menyelidiki pemberitahuan yang dibuat oleh kumpulan aturan

Halaman Alerts & IOCs, memberikan konteks tentang peringatan dan entity terkait. Anda dapat melihat detail tentang pemberitahuan, mengelola pemberitahuan, dan melihat hubungan dengan entity.

1. Pilih Deteksi > Peringatan & IOC dari menu utama. Tampilan Alerts menampilkan daftar pemberitahuan yang dihasilkan oleh semua aturan.
2. Pilih rentang waktu untuk memfilter daftar notifikasi.
3. Filter daftar berdasarkan nama set aturan, seperti CDIR SCC Enhanced Exfilfiltrasi. Anda juga dapat memfilter daftar berdasarkan nama aturan, seperti SCC: Pemindahan Tidak Sah BigQuery ke Google Drive dengan Konteks DLP.
4. Klik peringatan dalam daftar untuk membuka halaman Alerts & IOCs.
5. Tab Peringatan & IOC > Ringkasan menampilkan detail tentang peringatan tersebut.

Mengumpulkan konteks investigasi menggunakan grafik entity

Tab Alerts & IOCs > Graph menampilkan grafik peringatan yang secara visual merepresentasikan hubungan antara pemberitahuan dan pemberitahuan lainnya, atau antara pemberitahuan dan entity lainnya.

1. Pilih Deteksi > Alerts & IOCs dari menu utama. Tampilan Alerts menampilkan daftar pemberitahuan yang dihasilkan oleh semua aturan.
2. Pilih rentang waktu untuk memfilter daftar notifikasi.
3. Filter daftar menurut nama kumpulan aturan, seperti CDIR SCC Enhanced Exfilfiltrasi. Anda juga dapat memfilter daftar berdasarkan nama aturan, seperti SCC: Pemindahan Tidak Sah BigQuery ke Google Drive dengan Konteks DLP.
4. Klik peringatan dalam daftar untuk membuka halaman Alerts & IOCs.
5. Tab Peringatan & IOC > Grafik menampilkan grafik pemberitahuan.
6. Pilih satu node di grafik pemberitahuan untuk melihat detail tentang node tersebut.

Mengumpulkan konteks investigasi menggunakan Penelusuran UDM

Anda dapat menggunakan kemampuan penelusuran UDM selama investigasi untuk mengumpulkan konteks tambahan tentang peristiwa yang terkait dengan pemberitahuan awal. Penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan UDM yang dihasilkan oleh aturan. Penelusuran UDM menyertakan berbagai opsi penelusuran, yang memungkinkan Anda menavigasi data UDM. Anda dapat menelusuri peristiwa UDM individual dan grup peristiwa UDM yang terkait dengan istilah penelusuran tertentu.

Pilih Search dari menu utama untuk membuka halaman UDM Search.

Untuk mengetahui informasi tentang kueri Penelusuran UDM, lihat Memasukkan penelusuran UDM. Untuk panduan tentang cara menulis kueri Penelusuran UDM yang dioptimalkan untuk performa dan kemampuan fitur, lihat Praktik terbaik Penelusuran UDM.

Membuat respons dari pemberitahuan

Jika peringatan atau deteksi memerlukan respons insiden, Anda dapat memulai respons menggunakan fitur SOAR. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kasus dan Ringkasan layar Playbook.

Langkah selanjutnya

• Tinjau kumpulan aturan berikut:

  • Ringkasan kategori Ancaman Cloud
  • Ringkasan kategori Ancaman di Windows
  • Ringkasan kategori Ancaman Linux
  • Ringkasan Analisis Risiko untuk kategori UEBA