Investigar um alerta da GCTI

Os alertas do Google Cloud Threat Intelligence (GCTI) são derivados dos alertas infraestrutura interna de detecção de ameaças e pesquisas fornecidas pela segurança do GCTI analistas de dados.

Para clientes do SIEM do Google Security Operations, os alertas de GCTI são exibidos na página Alertas e IOCs (em inglês). Elas ficam na coluna Origem. Alertas que têm geradas pelo GCTI são marcadas como Detecções selecionadas.

Ver um alerta GCTI

Para ver seus alertas do GCTI, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Alertas e IOCs (em inglês).
  2. Na guia Origem, os alertas do GCTI são marcados como Detecções selecionadas. Clique em Origem para ver todos os alertas com as A tag Detecções selecionadas foi movida para o topo.
  3. Clique no link na coluna Nome do alerta que você quer investigar.

Quando você clica no texto na coluna Nome, uma página é aberta com três guias: Visão geral, Gráfico e Histórico de alertas. Graph é um gráfico interativo que permite expandir sua pesquisa. O histórico de alertas mostra informações importantes informações sobre o alerta.

Para aprender a usar o gráfico e o histórico de alertas, siga as etapas em Investigar um alerta.

O painel Detecções selecionadas é onde todas as regras relacionadas ao GCTI são localizado.

Para acessar o painel Detecções selecionadas, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Regras e de detecção.
  2. Há quatro guias: Painel de regras, Editor de regras e Curadoria detecções e Exclusões. Clique em Detecções selecionadas. Curadoria detecções é onde ficam todas as regras do GCTI e os alertas gerados por elas localizado.

Investigar as regras do GCTI

Acima da tabela, há duas guias: Conjuntos de regras e Painel.

Em Conjuntos de regras, há uma tabela que mostra todas as regras e grupos de regras (grupos de regras que são usados juntos). Nessa guia, você pode fazer o seguinte:

  • Recolher ou expandir seções diferentes
  • ativar ou desativar Alertas e Status;
  • Use as caixas no canto esquerdo da tabela para aplicar as alterações a uma único grupo de regras ou a todos os grupos de regras

Detecções selecionadas

A seção Painel exibe as regras separadas por categoria.

Painel de regras

Se você clicar em um alerta na seção Painel, será aberta uma página que mostra uma linha do tempo das detecções recentes desse alerta.

Como usar regras amplas e precisas

Há dois tipos de regras em Conjuntos de regras: Exatas e Amplas. Você pode ativar ou desativar as regras Precisa ou Ampla separadamente, dependendo do o tipo de pesquisa que você está fazendo.

  • Regras precisas são aquelas que detectam comportamentos maliciosos com uma de confiança com menos falsos positivos devido à abordagem natureza da regra.
  • Regras amplas encontram comportamentos que podem ser maliciosos ou anômala. Como essas regras são mais gerais que as Exatas, há uma chance maior de falsos positivos.