Investigar um alerta da GCTI

Os alertas do Google Cloud Threat Intelligence (GCTI) são derivados da infraestrutura interna de detecção de ameaças do Google e de pesquisas fornecidas por analistas de segurança do GCTI.

Para clientes do SIEM das Operações de segurança do Google, os alertas de GCTI são exibidos na página Alertas e IOCs. Elas ficam na coluna Origem. Os alertas gerados pelo GCTI são marcados como detecções selecionadas.

Ver um alerta GCTI

Para ver seus alertas do GCTI, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Alertas e IOCs.
  2. Na guia Origem, os alertas do GCTI são marcados como Detecções selecionadas. Clique em Origem para que todos os alertas com a tag Detecções selecionadas sejam movidos para o topo.
  3. Clique no link na coluna Nome do alerta que você quer investigar.

Quando você clica no texto da coluna Nome, uma página é aberta com três guias: Visão geral, Gráfico e Histórico de alertas. Graph é um gráfico interativo que permite expandir a pesquisa. Histórico do alerta: mostra informações importantes sobre o alerta.

Para aprender a usar o gráfico e o histórico de alertas, siga as etapas em Investigar um alerta.

O painel Detecções selecionadas é onde todas as regras relacionadas ao GCTI estão localizadas.

Para acessar o painel Detecções selecionadas, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Regras e detecções.
  2. Há quatro guias: Painel de regras, Editor de regras e Detecções curadas e Exclusões. Clique em Detecções selecionadas. As detecções selecionadas são onde todas as regras do GCTI e os alertas gerados por elas são localizados.

Investigar as regras do GCTI

Acima da tabela, há duas guias: Conjuntos de regras e Painel.

Em Conjuntos de regras, há uma tabela que mostra todas as regras e os grupos de regras (grupos de regras usados juntos). Nessa guia, você pode fazer o seguinte:

  • Recolher ou expandir seções diferentes
  • ativar ou desativar Alertas e Status;
  • Use as caixas no canto esquerdo da tabela para aplicar alterações a um único conjunto de regras ou a todos os grupos de regras.

Detecções selecionadas

A seção Painel exibe as regras separadas por categoria.

Painel de regras

Se você clicar em um alerta na seção Painel, será aberta uma página que mostra uma linha do tempo das detecções recentes desse alerta.

Como usar regras amplas e precisas

Há dois tipos de regras em Conjuntos de regras: Exatas e Amplas. É possível ativar ou desativar as regras Precise ou Broad separadamente, dependendo do tipo de pesquisa que você está fazendo.

  • Regras precisas são aquelas que encontram comportamentos maliciosos com um grau de confiança maior e menos falsos positivos devido à natureza mais específica da regra.
  • Regras amplas encontram comportamentos que podem ser potencialmente maliciosos ou anômalos. Como essas regras são mais gerais do que as Exatas, há uma chance maior de falsos positivos.