Se usó la API de Cloud Translation para traducir esta página.

Investigar una alerta de GCTI

Se admite en los siguientes países:

Google SecOps SIEM

Las alertas de Google Cloud Threat Intelligence (GCTI) provienen de la infraestructura interna de detección de amenazas de Google y de la investigación que proporcionan los analistas de seguridad de GCTI.

En el caso de los clientes de Google Security Operations SIEM, las alertas de GCTI se muestran en la página Alertas y IOC. Se encuentran en la columna Fuente. Las alertas que generó GCTI se etiquetan como Detecciones seleccionadas.

Cómo ver una alerta de GCTI

Para ver tus alertas de GCTI, sigue estos pasos:

En la barra de navegación, haz clic en Detección > Alertas y IOC.
En la pestaña Fuente, las alertas de GCTI se etiquetan como Detección seleccionada. Haz clic en Fuente para que todas las alertas con la etiqueta Detección seleccionada se muevan a la parte superior.
Haz clic en el vínculo de la columna Nombre de la alerta que deseas investigar.

Cuando haces clic en el texto de la columna Nombre, se abre una página con tres pestañas: Descripción general, Gráfico y Historial de alertas. Gráfico es un gráfico interactivo que te permite expandir tu búsqueda. En el historial de alertas, se muestra información importante sobre la alerta.

Para obtener información sobre cómo usar el gráfico y el historial de alertas, sigue los pasos que se indican en Cómo investigar una alerta.

Navega al panel de reglas de GCTI

En el panel Detección seleccionada, se encuentran todas las reglas relacionadas con la GCTI.

Para acceder al panel Detección seleccionada, sigue estos pasos:

En la barra de navegación, haz clic en Detección > Reglas y detecciones.
Hay cuatro pestañas: Panel de reglas, Editor de reglas, Detección seleccionadas y Exclusiones. Haz clic en Detecciones seleccionadas. En Detecciones seleccionadas, se encuentran todas las reglas de GCTI y las alertas que generan.

Investiga las reglas de GCTI

Sobre la tabla, hay dos pestañas: Conjuntos de reglas y Panel.

En Conjuntos de reglas, hay una tabla que muestra todas las reglas y los conjuntos de reglas (grupos de reglas que se usan juntos). En esta pestaña, puedes hacer lo siguiente:

Contrae o expande diferentes secciones
Habilita o inhabilita Alertas y Estado
Usa las casillas de la esquina izquierda de la tabla para aplicar cambios a un conjunto de reglas o a todos los conjuntos de reglas.

Detecciones seleccionadas

En la sección Panel, se muestran las reglas separadas por categoría.

Panel de reglas

Si haces clic en una alerta en la sección Panel, se abrirá una página que te mostrará un cronograma de las detecciones recientes de esa alerta.

Usa reglas precisas y generales

Existen dos tipos de reglas en los conjuntos de reglas: precisas y generales. Puedes habilitar o inhabilitar las reglas precisas o amplias por separado según el tipo de búsqueda que realices.

Las reglas precisas detectan comportamientos maliciosos con un mayor grado de confianza y menos falsos positivos debido a la naturaleza más específica de la regla.
Las reglas generales detectan comportamientos que podrían ser maliciosos o anómalos. Dado que estas reglas son más generales que las precisas, es más probable que se produzcan falsos positivos.