Use deteções organizadas para identificar ameaças

A equipa do Google Threat Intelligence (GCTI) oferece estatísticas de ameaças predefinidas. Como parte destas deteções organizadas, o GCTI fornece e gere um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à respetiva empresa.

As regras geridas pela GCTI fazem o seguinte:

• Fornecer aos clientes informações imediatamente acionáveis que podem ser usadas em relação aos respetivos dados carregados.

• Tira partido da inteligência contra ameaças da Google, oferecendo aos clientes uma forma de usar estas informações através de deteções preparadas.

Este documento resume os passos necessários para usar deteções preparadas para identificar ameaças, incluindo como ativar conjuntos de regras de deteção preparadas, ver deteções geradas pelos conjuntos de regras e investigar alertas.

Carregue os dados necessários

Cada conjunto de regras foi concebido para identificar padrões em origens de dados específicas e pode exigir um conjunto de dados diferente, incluindo o seguinte:

• Dados de eventos: descrevem as atividades e os eventos que ocorreram relacionados com os serviços.
• Dados de contexto: descrevem as entidades, os dispositivos, os serviços ou os utilizadores definidos nos dados do evento. Também se denomina dados de entidades.

Na documentação que descreve cada conjunto de regras, reveja também os dados necessários para o conjunto de regras.

Valide o carregamento de dados

Estão disponíveis os seguintes métodos para validar a ingestão de dados bem-sucedida:

• Carregamento de dados e painel de controlo de saúde: isto permite-lhe monitorizar o carregamento de todas as origens.
• Regras de teste de testes de deteção geridos: ative as regras de teste para verificar se os dados recebidos necessários existem e estão num formato exigido pelo conjunto de regras de deteção específico preparado.

Use o painel de controlo de carregamento de dados e estado

Use o painel de controlo SIEM predefinido, denominado Carregamento e estado dos dados, que fornece informações sobre o tipo e o volume de dados que estão a ser carregados. Os dados carregados recentemente devem aparecer no painel de controlo no prazo de aproximadamente 30 minutos. Para mais informações, consulte o artigo Usar painéis de controlo do SIEM.

(Opcional) Use regras de teste de testes de deteção geridos

Determinadas categorias também são fornecidas como um conjunto de regras de teste que podem ajudar a validar se os dados necessários para cada conjunto de regras estão no formato correto.

Estas regras de teste encontram-se na categoria Testes de deteção geridos. Cada conjunto de regras valida se os dados recebidos pelo dispositivo de teste estão num formato esperado pelas regras para essa categoria especificada.

Isto é útil se quiser validar a configuração do carregamento ou se quiser resolver um problema. Para ver passos detalhados sobre como usar estas regras de teste, consulte o artigo Valide a carregamento de dados através de regras de teste.

Ative conjuntos de regras

As deteções organizadas são estatísticas de ameaças fornecidas como conjuntos de regras YARA-L que ajudam a identificar ameaças à respetiva empresa. Estes conjuntos de regras fazem o seguinte:

• Fornecer-lhe informações acionáveis imediatas que podem ser usadas em função dos dados carregados.
• Usar a inteligência contra ameaças da Google, oferecendo-lhe uma forma de usar estas informações.

Cada conjunto de regras identifica um padrão específico de atividade suspeita. Para ativar e ver detalhes sobre conjuntos de regras, faça o seguinte:

1. Selecione Deteções > Regras e deteções no menu principal. O separador predefinido é Deteções organizadas e a vista predefinida são os conjuntos de regras.
2. Clique em Deteções organizadas para abrir a vista Conjuntos de regras.
3. Selecione um conjunto de regras na categoria Ameaças na nuvem, como CDIR SCC Enhanced Exfiltration Alerts.
4. Defina o Estado como Ativado e os Alertas como Ativados para as regras Abrangentes e Precisas. As regras avaliam os dados recebidos quanto a padrões que correspondam à lógica das regras. Com Status = Enabled, as regras geram uma deteção quando é encontrada uma correspondência de padrão. Com Alerting = On, as regras também geram um alerta quando é encontrada uma correspondência de padrão.

Para obter informações sobre como trabalhar com a página de deteções organizadas, consulte o seguinte:

• Página de deteções organizadas e conjuntos de regras
• Veja detalhes sobre um conjunto de regras

Se não receber deteções nem alertas depois de ativar um conjunto de regras, pode executar passos para acionar uma ou mais regras de teste que validam se os dados necessários para o conjunto de regras estão a ser recebidos e estão no formato correto. Para mais informações, consulte o artigo Valide o carregamento de dados de registo.

Identifique deteções criadas pelo conjunto de regras

O painel de controlo de deteções organizadas apresenta informações sobre cada regra que gerou uma deteção em relação aos seus dados. Para abrir o painel de controlo de deteção organizado, faça o seguinte:

1. Selecione Deteções > Regras e deteções no menu principal.
2. Clique em Deteções organizadas > Painel de controlo para abrir a vista Painel de controlo. É apresentada uma lista de conjuntos de regras e regras individuais que geraram deteções. As regras são agrupadas por conjunto de regras.
3. Aceda ao conjunto de regras de interesse, como CDIR SCC Enhanced Exfiltration Alerts.
4. Para ver as deteções geradas por uma regra específica, clique na regra. Esta ação abre a página Deteções, que apresenta as deteções, bem como os dados de entidades ou eventos que geraram a deteção.
5. Pode filtrar e pesquisar os dados nesta vista.

Para mais informações, consulte os artigos Veja deteções organizadas e Abra o painel de controlo de deteções organizadas.

Ajuste os alertas devolvidos por um ou mais conjuntos de regras

Pode verificar que as deteções organizadas geram demasiadas deteções ou alertas. Pode reduzir o número de deteções que uma regra ou um conjunto de regras gera através de exclusões de regras. As exclusões de regras são usadas apenas com deteções organizadas e não com regras personalizadas.

Uma exclusão de regra define os critérios usados para excluir um evento da avaliação pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regras para ajudar a reduzir o volume de deteções. Por exemplo, pode excluir eventos com base nos seguintes campos do modelo de dados unificado (UDM):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Investigue os alertas criados pelo conjunto de regras

A página Alertas e IOCs fornece contexto acerca do alerta e das entidades relacionadas. Pode ver detalhes sobre um alerta, gerir o alerta e ver relações com entidades.

1. Selecione Deteções > Alertas e IOCs no menu principal. A vista Alertas apresenta uma lista de alertas gerados por todas as regras.
2. Selecione o intervalo de tempo para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também pode filtrar a lista por nome da regra, como SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Clique num alerta na lista para abrir a página Alertas e IOCs.
5. O separador Alertas e IOCs > Vista geral apresenta detalhes sobre o alerta.

Reúna contexto de investigação com o gráfico de entidades

O separador Alertas e IOCs > Gráfico apresenta um gráfico de alertas que representa visualmente as relações entre um alerta e outros alertas, ou entre um alerta e outras entidades.

1. Selecione Deteções > Alertas e IOCs no menu principal. A vista Alertas apresenta uma lista de alertas gerados por todas as regras.
2. Selecione o intervalo de tempo para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também pode filtrar a lista pelo nome da regra, como SCC: roubo de dados do BigQuery para o Google Drive com contexto de DLP.
4. Clique num alerta na lista para abrir a página Alertas e IOCs.
5. O separador Alertas e IOCs > Gráfico apresenta o gráfico de alertas.
6. Selecione um nó no gráfico de alertas para ver detalhes sobre o nó.

Recolha contexto de investigação através da Pesquisa UDM

Pode usar a capacidade de pesquisa da UDM durante a investigação para recolher contexto adicional sobre eventos relacionados com o alerta original. A pesquisa UDM permite-lhe encontrar eventos e alertas UDM gerados por regras. A pesquisa da UDM inclui várias opções de pesquisa, que lhe permitem navegar pelos seus dados da UDM. Pode pesquisar eventos UDM individuais e grupos de eventos UDM relacionados com termos de pesquisa específicos.

Selecione Pesquisar no menu principal para abrir a página Pesquisa de UDM.

Para informações sobre consultas de pesquisa de UDM, consulte o artigo Introduza uma pesquisa de UDM. Para orientações sobre como escrever consultas de pesquisa UDM otimizadas para o desempenho e as capacidades da funcionalidade, consulte as práticas recomendadas de pesquisa UDM.

Crie uma resposta a partir de um alerta

Se um alerta ou uma deteção exigir uma resposta a incidentes, pode iniciar a resposta através das funcionalidades SOAR. Para mais informações, consulte o artigo Vista geral dos registos e o artigo Vista geral do ecrã Playbooks.

O que se segue?

• Reveja os conjuntos de regras no seguinte:

  • Vista geral da categoria Ameaças na nuvem
  • Vista geral da categoria Ameaças do Windows
  • Vista geral da categoria Ameaças do Linux
  • Vista geral da análise de riscos para a categoria UEBA

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.