调查 GCTI 提醒

Google Cloud 威胁情报 (GCTI) 警报源自 Google 的内部威胁检测基础架构和 GCTI 安全分析师提供的研究。

对于 Google Security Operations SIEM 客户，GCTI 提醒会显示在提醒和 IOC 页面上。它们位于来源列下。由 GCTI 生成的提醒会被标记为“精选检测”。

查看 GCTI 警报

要查看您的 GCTI 警报，请按以下步骤操作：

1. 在导航栏中，依次点击检测 > 提醒和 IOC。
2. 在来源标签页下，GCTI 提醒会带有精选检测标签。点击来源，将带有 Curated detection 标记的所有提醒移至顶部。
3. 点击您要调查的提醒的名称列中的链接。

当您点击名称列中的文字时，将打开一个页面，其中包含三个标签页：概览、图表和提醒历史记录。Graph 是一种交互式图表，用于扩展搜索。提醒历史记录会显示有关提醒的重要信息。

如需了解如何使用图表和提醒历史记录，请按照调查提醒中的步骤操作。

导航到 GCTI 规则信息中心

精选检测信息中心位于所有与 GCTI 相关的规则所在的位置。

如需进入精选检测信息中心，请按以下步骤操作：

1. 在导航栏中，依次点击检测 > 规则和检测。
2. 有四个标签页：规则信息中心、规则编辑器、精选检测和排除项。点击精选检测。精选检测：所有 GCTI 规则及其生成的提醒都位于其中。

调查 GCTI 规则

表格上方有两个标签页：规则集和信息中心。

规则集中有一个表格，其中显示了所有规则和规则集（一起使用的规则组）。在此标签页中，您可以执行以下操作：

• 收起或展开不同部分
• 启用或停用提醒和状态
• 使用表格左上角的复选框将更改应用于单个规则集或所有规则集

信息中心部分按类别显示规则。

如果您点击信息中心部分中的提醒，系统会打开一个页面，显示最近检测到的该提醒的时间轴。

使用“精确”和“广泛匹配”规则

规则集中有两种类型的规则：精确和广泛匹配。您可以分别启用或停用 Precise 或 Broad 规则，具体取决于您所执行的搜索类型。

• 精确规则是指可以发现由于规则更为具体而引起的恶意行为，该规则的置信度较高，假正例较少。
• 宽泛规则会发现潜在的恶意或异常行为。由于这些规则比精确规则更宽泛，因此出现假正例的几率更高。