Menyelidiki pemberitahuan GCTI

Didukung di:

Notifikasi Google Cloud Threat Intelligence (GCTI) berasal dari infrastruktur deteksi ancaman internal Google dan riset yang disediakan oleh analis keamanan GCTI.

Untuk pelanggan SIEM Google Security Operations, pemberitahuan GCTI ditampilkan di halaman Pemberitahuan dan IOC. Kolom ini terletak di bawah kolom Sumber. Notifikasi yang telah dibuat oleh GCTI diberi label sebagai Deteksi pilihan.

Melihat Notifikasi GCTI

Untuk melihat pemberitahuan GCTI, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, klik Detection > Alerts and IOCs.
  2. Di tab Sumber, pemberitahuan GCTI diberi label sebagai Deteksi pilihan. Klik Sumber agar semua Notifikasi dengan tag Deteksi yang diseleksi dipindahkan ke bagian atas.
  3. Klik link di kolom Name pada pemberitahuan yang ingin Anda selidiki.

Saat Anda mengklik teks di kolom Name, halaman akan terbuka dengan tiga tab: Overview, Graph, dan Alert history. Grafik adalah grafik interaktif yang memungkinkan Anda memperluas penelusuran. Histori pemberitahuan menampilkan informasi penting tentang pemberitahuan.

Untuk mempelajari cara menggunakan Grafik dan Histori pemberitahuan, ikuti langkah-langkah di bagian Menyelidiki Pemberitahuan.

Dasbor Deteksi terseleksi adalah tempat semua aturan terkait GCTI berada.

Untuk membuka dasbor Deteksi pilihan, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, klik Detection > Rules & detections.
  2. Ada empat tab: Dasbor aturan, Editor aturan, dan Deteksi yang diseleksi serta Pengecualian. Klik Deteksi pilihan. Deteksi yang diseleksi adalah tempat semua aturan GCTI dan pemberitahuan yang dihasilkannya berada.

Menyelidiki aturan GCTI

Di atas tabel terdapat dua tab: Kumpulan aturan dan Dasbor.

Di Kumpulan aturan, terdapat tabel yang menampilkan semua aturan dan kumpulan aturan (grup aturan yang digunakan bersama). Di tab ini, Anda dapat melakukan hal berikut:

  • Menciutkan atau meluaskan berbagai bagian
  • Mengaktifkan atau menonaktifkan Notifikasi dan Status
  • Gunakan kotak di sudut kiri tabel untuk menerapkan perubahan pada satu kumpulan aturan atau semua kumpulan aturan

Deteksi pilihan

Bagian Dasbor menampilkan aturan yang dipisahkan menurut kategori.

Dasbor aturan

Jika Anda mengklik pemberitahuan di bagian Dasbor, halaman akan terbuka yang menampilkan linimasa deteksi terbaru untuk pemberitahuan tersebut.

Menggunakan aturan Presisi dan Luas

Ada dua jenis aturan di Kumpulan aturan: Teliti dan Luar biasa. Anda dapat mengaktifkan atau menonaktifkan aturan Presisi atau Luas secara terpisah, bergantung pada jenis penelusuran yang Anda lakukan.

  • Aturan akurat adalah aturan yang menemukan perilaku berbahaya dengan tingkat keyakinan yang lebih tinggi dan lebih sedikit positif palsu (PP) karena sifatnya yang lebih spesifik.
  • Aturan luas menemukan perilaku yang berpotensi berbahaya atau tidak normal. Karena aturan ini lebih umum daripada aturan Presisi, kemungkinan positif palsu akan lebih tinggi.