Indagine su un avviso GCTI

Gli avvisi di Google Cloud Threat Intelligence (GCTI) derivano sia dalle soluzioni infrastruttura di rilevamento delle minacce interna e ricerca fornita dalla sicurezza di GCTI analisti.

Per i clienti SIEM di Google Security Operations, gli avvisi GCTI sono visualizzati nella scheda Avvisi e IOC. Si trovano nella colonna Origine. Avvisi con generati da GCTI sono etichettati come rilevamenti selezionati.

Visualizza un avviso GCTI

Per visualizzare gli avvisi GCTI, procedi nel seguente modo:

  1. Dalla barra di navigazione, fai clic su Rilevamento > Avvisi e IOC.
  2. Nella scheda Origine, gli avvisi GCTI sono etichettati come Rilevamenti selezionati. Fai clic su Sorgente per vedere tutti gli avvisi con Il tag dei rilevamenti selezionati viene spostato in alto.
  3. Fai clic sul link nella colonna Nome dell'avviso che vuoi esaminare.

Quando fai clic sul testo nella colonna Nome, si apre una pagina con tre schede: Panoramica, Grafico e Cronologia avvisi. Graph è un grafico interattivo che ti consente di espandere la ricerca. La cronologia degli avvisi mostra informazioni importanti informazioni sull'avviso.

Per scoprire come utilizzare Grafico e Cronologia avvisi, segui i passaggi in Esaminare un avviso.

Nella dashboard Rilevamenti selezionati vengono visualizzate tutte le regole correlate a GCTI. individuarlo.

Per accedere alla dashboard Rilevamenti selezionati, segui questi passaggi:

  1. Dalla barra di navigazione, fai clic su Rilevamento > Regole e rilevamenti.
  2. Sono presenti quattro schede: Dashboard delle regole, Editor regole e Curato rilevamenti ed Esclusioni. Fai clic su Rilevamenti selezionati. Contenuti selezionati rilevamenti è la fase in cui tutte le regole GCTI e gli avvisi che generano individuarlo.

Esamina le regole GCTI

Sopra la tabella sono presenti due schede: Set di regole e Dashboard.

In Set di regole è disponibile una tabella che mostra tutte le regole e le serie di regole. (gruppi di regole usate insieme). In questa scheda puoi:

  • Comprimi o espandi sezioni diverse
  • Attiva o disattiva Avvisi e Stato
  • Utilizza le caselle nell'angolo a sinistra della tabella per applicare le modifiche a una una singola serie di regole o tutte le serie di regole

Rilevamenti selezionati

La sezione Dashboard mostra le regole separate per categoria.

Dashboard regole

Se fai clic su un avviso nella sezione Dashboard, si apre una pagina che mostra una cronologia dei recenti rilevamenti dell'avviso.

Utilizzo di regole di precisione e generica

In Set di regole esistono due tipi di regole: Esatta e Generica. Tu puoi attivare o disattivare separatamente le regole Esatta o Generica a seconda del tipo di ricerca che stai eseguendo.

  • Le regole precise sono regole che individuano comportamenti dannosi con un grado di confidenza con meno falsi positivi a causa della più specifica natura della regola.
  • Le regole generiche individuano comportamenti che potrebbero essere potenzialmente dannosi o in modo anomalo. Poiché queste regole sono più generali di quelle Esatte, c'è una maggiore probabilità di falsi positivi.