Indagine su un avviso GCTI

Supportato in:

Gli avvisi di Google Cloud Threat Intelligence (GCTI) derivano sia dall'infrastruttura di rilevamento delle minacce interna di Google sia dalla ricerca fornita dagli analisti della sicurezza di GCTI.

Per i clienti di Google Security Operations SIEM, gli avvisi GCTI vengono visualizzati nella pagina Avvisi e indicatori di compromissione. Si trovano nella colonna Origine. Gli avvisi che sono stati generati da GCTI sono etichettati come Rilevamento selezionati.

Visualizzare un avviso GCTI

Per visualizzare gli avvisi GCTI:

  1. Nella barra di navigazione, fai clic su Rilevamento > Avvisi e indicatori di compromissione.
  2. Nella scheda Origine, gli avvisi GCTI sono etichettati come Rilevamenti selezionati. Fai clic su Origine per spostare in alto tutti gli avvisi con il tag Rilevamento selezionato.
  3. Fai clic sul link nella colonna Nome dell'avviso che vuoi esaminare.

Quando fai clic sul testo nella colonna Nome, si apre una pagina con tre schede: Panoramica, Grafico e Cronologia avvisi. Grafico è un grafico interattivo che ti consente di espandere la ricerca. La cronologia degli avvisi mostra informazioni importanti sull'avviso.

Per scoprire come utilizzare Graph e la Cronologia avvisi, segui i passaggi descritti in Esaminare un avviso.

Nella dashboard Rilevamenti selezionati sono situate tutte le regole relative ai GCTI.

Per accedere alla dashboard Rilevamento selezionati:

  1. Nella barra di navigazione, fai clic su Rilevamento > Regole e rilevamenti.
  2. Sono disponibili quattro schede: Dashboard delle regole, Editor delle regole, Rilevamento selezionato ed Esclusioni. Fai clic su Rilevamento selezionati. In Rilevamento selezionati si trovano tutte le regole GCTI e gli avvisi che generano.

Esaminare le regole GCTI

Sopra la tabella sono presenti due schede: Set di regole e Dashboard.

In Set di regole è presente una tabella che mostra tutte le regole e i set di regole (gruppi di regole utilizzati insieme). In questa scheda puoi:

  • Comprimi o espandi sezioni diverse
  • Attivare o disattivare Allerte e Stato
  • Utilizza le caselle nell'angolo a sinistra della tabella per applicare le modifiche a un singolo insieme di regole o a tutti gli insiemi di regole.

Rilevamenti selezionati

La sezione Dashboard mostra le regole separate per categoria.

Dashboard regole

Se fai clic su un avviso nella sezione Dashboard, si apre una pagina che mostra una sequenza temporale dei rilevamenti recenti relativi all'avviso.

Utilizzo di regole precise e generali

In Set di regole sono disponibili due tipi di regole: Precise e Generali. Puoi attivare o disattivare le regole Precise o Generiche separatamente, a seconda del tipo di ricerca che stai eseguendo.

  • Le regole precise rilevano comportamenti dannosi con un grado di affidabilità superiore e con meno falsi positivi a causa della natura più specifica della regola.
  • Le regole generali rilevano comportamenti potenzialmente dannosi o anomali. Poiché queste regole sono più generali di quelle Precise, esiste una maggiore probabilità di falsi positivi.