GCTI-Benachrichtigung prüfen

Unterstützt in:

Google Cloud Threat Intelligence-Benachrichtigungen (GCTI) basieren sowohl auf der internen Infrastruktur zur Bedrohungserkennung von Google als auch auf den Recherchen der GCTI-Sicherheitsanalysten.

Für Google Security Operations SIEM-Kunden werden GCTI-Benachrichtigungen auf der Seite Benachrichtigungen und IOCs angezeigt. Sie finden sie in der Spalte Quelle. Benachrichtigungen, die von GCTI generiert wurden, sind als Ausgewählte Erkennungen gekennzeichnet.

GCTI-Benachrichtigung ansehen

So rufen Sie Ihre GCTI-Benachrichtigungen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung > Benachrichtigungen und IOCs.
  2. Auf dem Tab Quelle sind GCTI-Benachrichtigungen als Ausgewählte Erkennungen gekennzeichnet. Klicken Sie auf Quelle, damit alle Benachrichtigungen mit dem Tag Ausgewählte Erkennungen nach oben verschoben werden.
  3. Klicken Sie in der Spalte Name der Benachrichtigung, die Sie untersuchen möchten, auf den Link.

Wenn Sie auf den Text in der Spalte Name klicken, wird eine Seite mit drei Tabs geöffnet: Übersicht, Diagramm und Benachrichtigungsverlauf. Graph ist ein interaktives Diagramm, mit dem Sie Ihre Suche erweitern können. Im Benachrichtigungsverlauf finden Sie wichtige Informationen zur Benachrichtigung.

Weitere Informationen zur Verwendung des Diagramms und des Benachrichtigungsverlaufs finden Sie unter Benachrichtigungen untersuchen.

Im Dashboard Abgestimmte Erkennungen finden Sie alle GCTI-bezogenen Regeln.

So rufen Sie das Dashboard Ausgewählte Erkennungen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung > Regeln und Erkennungen.
  2. Es gibt vier Tabs: Dashboard für Regeln, Regeln-Editor, Ausgewählte Erkennungen und Ausschlüsse. Klicken Sie auf Ausgewählte Erkennungen. Unter Ausgewählte Erkennungen finden Sie alle GCTI-Regeln und die von ihnen generierten Benachrichtigungen.

GCTI-Regeln prüfen

Über der Tabelle befinden sich zwei Tabs: Regelnsätze und Dashboard.

Unter Regeln-Sets finden Sie eine Tabelle mit allen Regeln und Regelsätzen (Gruppen von Regeln, die gemeinsam verwendet werden). Auf diesem Tab haben Sie folgende Möglichkeiten:

  • Bereiche minimieren oder maximieren
  • Benachrichtigungen und Status aktivieren oder deaktivieren
  • Über die Kästchen in der linken Ecke der Tabelle können Sie Änderungen auf einen einzelnen oder alle Regelsätze anwenden.

Ausgewählte Erkennungen

Im Bereich Dashboard werden die Regeln nach Kategorie getrennt angezeigt.

Regeldashboard

Wenn Sie im Bereich Dashboard auf eine Benachrichtigung klicken, wird eine Seite mit einem Zeitplan der letzten Erkennungen für diese Benachrichtigung geöffnet.

Genaue und allgemeine Regeln verwenden

Es gibt zwei Arten von Regeln in Regeln-Sets: Präzise und Weitgehend. Je nach Art der Suche können Sie präzise oder weite Regeln separat aktivieren oder deaktivieren.

  • Genaue Regeln erkennen schädliches Verhalten mit höherer Wahrscheinlichkeit und weniger falsch positiven Ergebnissen, da sie spezifischer sind.
  • Mit ungefähren Regeln können Sie Verhalten erkennen, das potenziell schädlich oder anomal ist. Da diese Regeln allgemeiner sind als die Genauen, ist die Wahrscheinlichkeit für falsch positive Ergebnisse höher.