调查 GCTI 提醒
Google Cloud 威胁情报 (GCTI) 提醒来自 Google 内部威胁检测基础架构以及由 GCTI 安全分析师提供的研究成果。
对于 Google Security Operations SIEM 客户,GCTI 提醒会显示在提醒和 IOC 页面上。这些信息位于来源列下方。包含以下内容的提醒: 则被标记为“精选检测”。
查看 GCTI 提醒
要查看您的 GCTI 警报,请按以下步骤操作:
- 在导航栏中,依次点击检测 > 提醒和入侵检测对象。
- 在来源标签页下,GCTI 警报被标记为精选检测。 点击来源,将带有精选检测标记的所有提醒移至顶部。
- 点击您要调查的提醒的名称列中的链接。
当您点击名称列中的文字时,系统会打开包含以下三个标签的页面: 概览、图表和提醒历史记录。图表是一种交互式图表,可让您扩大搜索范围。提醒历史记录会显示有关提醒的重要信息。
如需了解如何使用图表和提醒历史记录,请按照 调查提醒。
导航到 GCTI 规则信息中心
精选检测信息中心包含所有与 GCTI 相关的规则。
如需前往精选检测信息中心,请按以下步骤操作:
- 在导航栏中,依次点击检测 > 规则和检测。
- 该页面包含四个标签页:规则信息中心、规则编辑器、精选检测和排除对象。点击精选检测。精选检测页面包含所有 GCTI 规则及其生成的提醒。
调查 GCTI 规则
表格上方有两个标签页:规则集和信息中心。
在规则集中,有一个表格会显示所有规则和规则集(一组要一起使用的规则)。在此标签页中,您可以执行以下操作:
- 收起或展开不同部分
- 启用或停用提醒和状态
- 使用表格左上角的方框将更改应用到 单个规则集或所有规则集
信息中心部分会按类别显示规则。
如果您点击信息中心部分中的提醒,系统会打开一个页面 近期检测到的该提醒的时间轴。
使用精确规则和广泛规则
规则集中有两种类型的规则:精确和广泛匹配。您可以根据所进行的搜索类型,单独启用或停用精确或广泛规则。
- 精确规则是指由于规则的性质更具体,因此可更高置信度地发现恶意行为,同时减少假正例。
- 宽泛规则可发现可能具有恶意或异常的行为。由于这些规则比精确规则更宽泛, 那么出现假正例的几率也就越高。