調查 GCTI 快訊

Google Cloud 威脅情報 (GCTI) 快訊的來源包括 Google 內部威脅偵測基礎架構，以及 GCTI 安全分析師提供的研究資料。

Google Security Operations 客戶可以在「快訊和 IOC」頁面查看 GCTI 快訊。這些項目位於「來源」欄下方。由 GCTI 產生的快訊會標示為「精選偵測項目」。

查看 GCTI 快訊

如要查看 GCTI 快訊，請按照下列步驟操作：

1. 在導覽列中，依序點選「偵測」>「快訊和 IOC」。
2. 在「來源」分頁中，GCTI 快訊會標示為「精選偵測結果」。 按一下「來源」，將所有標有「精選偵測」標籤的快訊移至頂端。
3. 在要調查的快訊「名稱」欄中，按一下連結。

按一下「名稱」欄中的文字，即可開啟包含「總覽」、「圖表」和「快訊記錄」三個分頁的頁面。圖表：互動式圖表，可擴大搜尋範圍。「快訊記錄」會顯示快訊的重要資訊。

如要瞭解如何使用「圖表」和「快訊記錄」，請按照「調查快訊」一文中的步驟操作。

前往 GCTI 規則資訊主頁

所有與 GCTI 相關的規則都位於「精選偵測」資訊主頁。

如要前往「精選偵測」資訊主頁，請按照下列步驟操作：

1. 按一下導覽列中的「偵測」>「規則和偵測」。
2. 共有四個分頁：「規則資訊主頁」、「規則編輯器」、「精選偵測」和「排除項目」。按一下「精選偵測項目」。 「精選偵測項目」會列出所有 GCTI 規則和產生的快訊。

調查 GCTI 規則

表格上方有兩個分頁：「規則集」和「資訊主頁」。

「規則集」表格會顯示所有規則和規則集 (一起使用的規則群組)。您可以在這個分頁中執行下列操作：

• 收合或展開不同區段
• 啟用或停用「快訊」和「狀態」
• 使用表格左上角的方塊，將變更套用至單一或所有規則集

「資訊主頁」部分會依類別顯示規則。

如果您按一下「資訊主頁」部分中的快訊，系統會開啟頁面，顯示該快訊近期偵測到的時間軸。

使用精確和廣泛規則

規則集有兩種規則：「精確」和「廣泛」。您可以根據搜尋類型，分別啟用或停用「精確」或「廣泛」規則。

• 精確規則會找出惡意行為，且可信度高，誤判的情形較少，這是因為規則的性質較為具體。
• 廣泛規則會找出可能具有惡意的行為或異常狀況。由於這些規則比「精確」規則更一般，因此偽陽性的機率較高。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。