Use detecções selecionadas para identificar ameaças

A equipe do Google Cloud Threat Intelligence (GCTI) oferece análises predefinidas. Como parte dessas detecções selecionadas, a GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa.

As regras gerenciadas por GCTI fazem o seguinte:

• Fornecer aos clientes informações imediatamente acionáveis que podem ser usadas nos dados ingeridos.

• Aproveita a inteligência contra ameaças do Google oferecendo aos clientes uma maneira simples de usar essas informações por meio de detecções selecionadas.

Neste documento, resumimos as etapas necessárias para usar detecções selecionadas e identificar ameaças, incluindo como ativar conjuntos de regras de detecção selecionados, visualizar detecções geradas pelos conjuntos de regras e investigar alertas.

ingerir os dados necessários

Cada conjunto de regras foi projetado para identificar padrões em fontes de dados específicas e pode exigir um conjunto diferente de dados, incluindo o seguinte:

• Dados de eventos: descreve atividades e eventos que ocorreram relacionados aos serviços.
• Dados de contexto: descreve as entidades, dispositivos, serviços ou usuários definidos nos dados do evento. Isso também é chamado de dados da entidade.

Na documentação que descreve cada conjunto de regras, revise também os dados necessários de que ele precisa.

Verificar a ingestão de dados

Os seguintes métodos estão disponíveis para verificar a ingestão de dados bem-sucedida:

• Painel de ingestão de dados e integridade: permite monitorar a ingestão de todas as fontes.
• Regras de teste de teste de detecção gerenciada: ative as regras de teste para verificar se os dados de entrada necessários existem e estão em um formato exigido pelo conjunto de regras de detecção selecionado específico.

Usar o painel de Ingestão de dados e integridade

Use o painel pré-criado do SIEM, chamado "Data Ingestion and Health", que fornece informações sobre o tipo e o volume de dados que estão sendo ingeridos. Os dados recém-ingeridos devem aparecer no painel em aproximadamente 30 minutos. Para mais informações, consulte Como usar painéis do SIEM.

(Opcional) Usar regras de teste do Teste de detecção gerenciada

Algumas categorias também são fornecidas como um conjunto de regras de teste que podem ajudar você a verificar se os dados exigidos para cada conjunto de regras estão no formato correto.

Essas regras estão na categoria Teste de detecção gerenciada. Cada conjunto de regras valida que os dados recebidos pelo dispositivo de teste estão em um formato esperado pelas regras da categoria especificada.

Isso é útil se você quer verificar a configuração de ingestão ou resolver um problema. Para ver etapas detalhadas de como usar essas regras de teste, consulte Verificar a ingestão de dados usando regras de teste.

Ativar grupos de regras

As detecções selecionadas são análises de ameaças fornecidas como conjuntos de regras YARA-L que ajudam a identificar ameaças à empresa. Esses grupos de regras fazem o seguinte:

• Fornecer inteligência decisiva imediatamente que pode ser usada com os dados ingeridos.
• Use a inteligência contra ameaças do Google fornecendo uma maneira simples de usar essas informações.

Cada conjunto de regras identifica um padrão específico de atividade suspeita. Para ativar e visualizar detalhes sobre grupos de regras, faça o seguinte:

1. Selecione Detecção > Regras e detecções no menu principal. A guia padrão é Detecções selecionadas e a visualização padrão são os grupos de regras.
2. Clique em Detecções selecionadas para abrir a visualização Conjuntos de regras.
3. Selecione um conjunto de regras na categoria "Ameaças do Cloud", como Alertas de exfiltração avançada de SCC CDIR (em inglês).
4. Defina Status como Ativado e Alertas como Ativado nas regras Broad e Precise. As regras avaliarão os dados recebidos em busca de padrões que correspondam à lógica das regras. Se o status for Ativado, as regras vão gerar uma detecção quando uma correspondência de padrão for encontrada. Com Alerting = On, as regras também geram um alerta quando uma correspondência de padrão é encontrada.

Para informações sobre como trabalhar com a página de detecções selecionadas, consulte:

• Página de detecções selecionadas e conjuntos de regras
• Visualizar detalhes sobre um grupo de regras

Se você não receber detecções ou alertas depois de ativar um conjunto de regras, execute etapas para acionar uma ou mais regras de teste que verificam se os dados necessários para o conjunto de regras estão sendo recebidos e estão no formato correto. Para saber mais, consulte Verificar a ingestão de dados de registro.

Identificar detecções criadas pelo grupo de regras

O painel de detecções selecionado exibe informações sobre cada regra que gerou uma detecção nos seus dados. Para abrir o painel de detecção selecionado, faça o seguinte:

1. Selecione Detecção > Regras e detecções no menu principal.
2. Clique em Detecções selecionadas > Painel para abrir a visualização do painel. Você verá uma lista de grupos de regras e regras individuais que geraram detecções. As regras são agrupadas por grupo.
3. Acesse o conjunto de regras de interesse, como CDIR SCC Enhanced Exfiltration Alerts.
4. Para conferir as detecções geradas por uma regra específica, clique nela. Isso abre a página Detecção, que mostra as detecções, além dos dados da entidade ou do evento que as geraram.
5. É possível filtrar e pesquisar os dados nessa visualização.

Para mais informações, consulte Ver detecções selecionadas e Abrir o painel de detecção selecionada.

Ajuste os alertas retornados por um ou mais grupos de regras

Talvez você descubra que as detecções selecionadas geram muitas detecções ou alertas. É possível reduzir o número de detecções geradas por uma regra ou um grupo de regras usando exclusões de regras. As exclusões de regras são usadas apenas com detecções selecionadas, não com regras personalizadas.

Uma exclusão de regra define os critérios usados para excluir um evento de ser avaliado pelo conjunto de regras ou por regras específicas no conjunto de regras. Crie uma ou mais exclusões de regra para reduzir o volume de detecções. Por exemplo, é possível excluir eventos com base nos seguintes campos do Modelo de dados unificado (UDM, na sigla em inglês):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• target.resource.attribute.labels["Recipient Account Id"]
• principal.ip
• network.http.user_agent

Investigar alertas criados pelo conjunto de regras

A página Alertas e IOCs contextualiza o alerta e as entidades relacionadas. É possível ver detalhes sobre um alerta, gerenciá-lo e visualizar os relacionamentos com as entidades.

1. Selecione Detecção > Alertas e indicadores de comprometimento no menu principal. A visualização Alertas exibe uma lista de alertas gerados por todas as regras.
2. Selecione o período para filtrar a lista de alertas.
3. Filtre a lista por nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também é possível filtrar a lista por nome de regra, como SCC: exfiltração do BigQuery para o Google Drive com o contexto da DLP.
4. Clique em um alerta na lista para abrir a página Alertas e IOCs.
5. A guia Alertas e IOCs > Visão geral exibe detalhes sobre o alerta.

Coletar contexto investigativo usando gráfico de entidades

A guia Alertas e IOCs > Gráfico mostra um gráfico de alerta que representa visualmente as relações entre um alerta e outros alertas ou entre um alerta e outras entidades.

1. Selecione Detecção > Alertas e IOCs no menu principal. A visualização Alertas exibe uma lista de alertas gerados por todas as regras.
2. Selecione o período para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também é possível filtrar a lista pelo nome da regra, como SCC: exfiltração do BigQuery para o Google Drive com o contexto da DLP.
4. Clique em um alerta na lista para abrir a página Alertas e IOCs.
5. A guia Alertas e IOCs > Gráfico mostra o gráfico de alertas.
6. Selecione um nó no gráfico de alertas para conferir os detalhes dele.

Coletar contexto investigativo usando a Pesquisa do UDM

Use o recurso de pesquisa de UDM durante a investigação para ter mais contexto sobre os eventos relacionados ao alerta original. Com a pesquisa do UDM, é possível encontrar eventos e alertas do UDM gerados por regras. A pesquisa do UDM inclui várias opções de pesquisa, permitindo que você navegue pelos dados do UDM. É possível pesquisar eventos individuais do UDM e grupos de eventos desse tipo relacionados a termos de pesquisa específicos.

Selecione Pesquisa no menu principal para abrir a página Pesquisa do UDM.

Para informações sobre consultas de pesquisa de UDM, consulte Inserir uma pesquisa de UDM. Para saber como escrever consultas de pesquisa do UDM otimizadas para o desempenho e os recursos do recurso, consulte as Práticas recomendadas de pesquisa do UDM.

Criar uma resposta com base em um alerta

Se um alerta ou detecção exigir uma resposta a incidentes, você pode iniciar a resposta usando recursos SOAR. Para mais informações, consulte Visão geral dos casos e Visão geral da tela de manuais.

A seguir

• Analise os grupos de regras do seguinte:

  • Informações gerais da categoria "Ameaças na nuvem"
  • Visão geral da categoria de ameaças do Windows
  • Visão geral da categoria de ameaças do Linux
  • Visão geral da análise de risco para a categoria do UEBA