Se usó la API de Cloud Translation para traducir esta página.

Investigar una alerta de GCTI

Las alertas de Google Cloud Threat Intelligence (GCTI) derivan de la infraestructura la infraestructura de detección de amenazas interna y la investigación proporcionada por la seguridad de GCTI para los analistas de datos en la nube.

Para los clientes de SIEM de Google Security Operations, las alertas de GCTI se muestran en el campo Alerts e IOC. Se encuentran en la columna Fuente. Alertas que tienen que generó GCTI se etiquetan como detecciones seleccionadas.

Ver una alerta de GCTI

Para ver tus alertas de GCTI, sigue estos pasos:

Desde la barra de navegación, haga clic en Detección > IOC y alertas.
En la pestaña Fuente, las alertas de GCTI están etiquetadas como Detecciones seleccionadas. Haz clic en Fuente para ver todas las alertas que contienen La etiqueta de detecciones seleccionadas se mueve a la parte superior.
Haz clic en el vínculo de la columna Nombre de la alerta que quieres investigar.

Cuando hagas clic en el texto de la columna Name, se abrirá una página con tres pestañas: Descripción general, Historial de alertas y Gráfico. El gráfico es un gráfico interactivo. que te permite expandir la búsqueda. En el Historial de alertas información adicional sobre la alerta.

Para aprender a usar el Gráfico y el Historial de alertas, sigue los pasos que se indican en Investigar una alerta.

Navegar al panel de reglas de GCTI

En el panel Detecciones seleccionadas, se encuentran todas las reglas relacionadas con GCTI ubicado.

Para acceder al panel Detecciones seleccionadas, sigue estos pasos:

Desde la barra de navegación, haga clic en Detección > Reglas y detecciones del consumidor.
Hay cuatro pestañas: Panel de reglas, Editor de reglas y Seleccionado. detecciones y Exclusiones. Haz clic en Detecciones seleccionadas. Seleccionado detecciones es donde todas las reglas de GCTI y las alertas que generan ubicado.

Investiga las reglas de GCTI

Sobre la tabla, hay dos pestañas: Conjuntos de reglas y Panel.

En Conjuntos de reglas, hay una tabla que muestra todos los conjuntos de reglas y de reglas. (grupos de reglas que se usan en conjunto). En esta pestaña, puedes hacer lo siguiente:

Contraer o expandir diferentes secciones
Habilita o inhabilita las Alertas y el Estado
Utiliza los cuadros en la esquina izquierda de la tabla para aplicar los cambios a una un solo conjunto de reglas o a todos los conjuntos de reglas

Detecciones seleccionadas

La sección Panel muestra las reglas separadas por categoría.

Panel de reglas

Si haces clic en una alerta de la sección Panel, se abre una página que muestra una línea de tiempo de las detecciones recientes de esa alerta.

Usar reglas precisas y generales

Existen dos tipos de reglas en Conjuntos de reglas: Precisa y Amplia. Tú puedes habilitar o inhabilitar las reglas Precisas o Amplias por separado según la tipo de búsqueda que haces.

Las reglas precisas son reglas que detectan comportamientos maliciosos con un grado de confianza con menos falsos positivos debido al grado de la naturaleza de la regla.
Las reglas amplias identifican comportamientos que podrían ser maliciosos anómalos. Dado que estas reglas son más generales que las Precisas, hay más posibilidades de obtener falsos positivos.