GCTI 알림 조사

Google Cloud 위협 인텔리전스(GCTI) 알림은 Google의 내부 위협 감지 인프라와 GCTI 보안 애널리스트의 연구에서 모두 도출됩니다.

Google Security Operations SIEM 고객의 경우 GCTI 알림이 알림 및 IOC 페이지에 표시됩니다. 소스 열 아래에 있습니다. GCTI에서 생성된 알림은 선별된 감지 라벨로 표시됩니다.

GCTI 알림 보기

GCTI 알림을 보려면 다음 단계를 수행합니다.

  1. 탐색 메뉴에서 감지 > 알림 및 IOC를 클릭합니다.
  2. 소스 탭에서 GCTI 알림은 선별된 감지 라벨로 표시됩니다. 소스를 클릭하여 선별된 감지 태그가 있는 모든 알림을 맨 위로 이동합니다.
  3. 알림의 이름 열에서 조사하려는 링크를 클릭합니다.

이름 열에서 텍스트를 클릭하면 개요, 그래프, 알림 기록의 3개 탭이 있는 페이지가 열립니다. 그래프는 검색을 확장할 수 있는 대화형 그래프입니다. 알림 기록에는 알림에 대한 중요한 정보가 표시됩니다.

그래프알림 기록을 사용하는 방법은 알림 조사의 단계를 참조하세요.

선별된 감지 대시보드에는 모든 GCTI 관련 규칙이 있습니다.

선별된 감지 대시보드로 이동하려면 다음 단계를 수행합니다.

  1. 탐색 메뉴에서 감지 > 규칙 및 감지를 클릭합니다.
  2. 규칙 대시보드, 규칙 편집기, 선별된 감지, 제외의 4개 탭이 표시됩니다. 선별된 감지를 클릭합니다. 선별된 감지는 모든 GCTI 규칙과 규칙이 생성하는 알림이 있는 위치입니다.

GCTI 규칙 조사

표 위에는 규칙 세트대시보드의 2개 탭이 있습니다.

규칙 세트에는 모든 규칙과 규칙 세트(함께 사용되는 규칙 그룹)가 표시된 표가 있습니다. 이 탭에서는 다음을 수행할 수 있습니다.

  • 다른 섹션 접기 또는 펼치기
  • 알림상태 사용 설정 또는 사용 중지
  • 테이블 왼쪽 모서리에 있는 상자를 사용하여 단일 규칙 세트 또는 모든 규칙 세트에 변경사항 적용

선별된 감지

대시보드 섹션에는 카테고리별로 구분된 규칙이 표시됩니다.

규칙 대시보드

대시보드 섹션에서 알림을 클릭하면 해당 알림의 최근 감지를 시간 순으로 볼 수 있는 페이지가 열립니다.

정확한 규칙 및 광범위한 규칙 사용

규칙 집합에는 정확한 규칙과 광범위한 규칙의 두 가지 규칙 유형이 있습니다. 수행하는 검색 유형에 따라 정확한 규칙 또는 광범위한 규칙을 개별적으로 사용 설정하거나 사용 중지할 수 있습니다.

  • 정확한 규칙은 더 구체적인 규칙 특성으로 인해 신뢰도가 높고 거짓양성이 더 적은 악의적인 동작을 찾는 규칙입니다.
  • 광범위한 규칙은 잠재적으로 악의적이거나 이상할 수 있는 동작을 찾습니다. 이러한 규칙은 정확한 규칙보다 일반적이기 때문에 거짓양성 가능성이 높습니다.