Investigar um alerta da GCTI

Compatível com:

Os alertas do Google Cloud Threat Intelligence (GCTI) são derivados da infraestrutura de detecção de ameaças interna do Google e da pesquisa fornecida por analistas de segurança do GCTI.

Para clientes do Google Security Operations SIEM, os alertas GCTI são exibidos na página Alerts e IOCs. Eles estão localizados na coluna Origem. Os alertas gerados pelo GCTI são rotulados como Deteções selecionadas.

Conferir um alerta da GCTI

Para conferir seus alertas de GCTI, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Alertas e IOCs.
  2. Na guia Origem, os alertas do GCTI são rotulados como Detecções selecionadas. Clique em Origem para que todos os alertas com a tag Curated detections sejam movidos para a parte de cima.
  3. Clique no link na coluna Nome do alerta que você quer investigar.

Quando você clica no texto na coluna Nome, uma página é aberta com três guias: Visão geral, Gráfico e Histórico de alertas. Gráfico é um gráfico interativo que permite expandir sua pesquisa. O Histórico de alertas mostra informações importantes sobre o alerta.

Para saber como usar o Gráfico e o Histórico de alertas, siga as etapas em Investigar um alerta.

O painel Detecções selecionadas é onde estão todas as regras relacionadas ao GCTI.

Para acessar o painel Deteções selecionadas, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Regras e detecções.
  2. Há quatro guias: Painel de regras, Editor de regras, Detecções selecionadas e Exclusões. Clique em Deteções selecionadas. As detecções selecionadas são onde todas as regras do GCTI e os alertas gerados por elas estão localizados.

Investigar regras da GCTI

Acima da tabela, há duas guias: Conjuntos de regras e Painel.

Em Regras e conjuntos de regras, há uma tabela que mostra todas as regras e conjuntos de regras (grupos de regras usados juntos). Nela, você pode:

  • Recolher ou expandir diferentes seções
  • Ativar ou desativar Alerta e Status
  • Use as caixas no canto esquerdo da tabela para aplicar as mudanças a um conjunto de regras ou a todos os conjuntos de regras.

Detecções selecionadas

A seção Painel mostra as regras separadas por categoria.

Painel de regras

Se você clicar em um alerta na seção Painel, uma página será aberta mostrando uma linha do tempo das detecções recentes desse alerta.

Usar regras amplas e precisas

Há dois tipos de regras nos conjuntos de regras: precisas e amplas. Você pode ativar ou desativar as regras Precisa ou Ampla separadamente, dependendo do tipo de pesquisa que você está fazendo.

  • As regras precisas detectam comportamentos maliciosos com um grau de confiança maior e menos falsos positivos devido à natureza mais específica da regra.
  • As regras amplas encontram comportamentos que podem ser potencialmente maliciosos ou anormais. Como essas regras são mais gerais do que as precisas, há uma chance maior de falsos positivos.