GCTI-Benachrichtigung prüfen

Benachrichtigungen von Google Cloud Threat Intelligence (GCTI) werden sowohl aus der internen Infrastruktur zur Bedrohungserkennung von Google als auch aus der Forschung von GCTI-Sicherheitsanalysten abgeleitet.

Chronicle SIEM-Kunden werden GCTI-Benachrichtigungen auf der Seite Alerts and IOCs (Benachrichtigungen und IOCs) angezeigt. Sie befinden sich in der Spalte Quelle. Von GCTI generierte Benachrichtigungen sind als Ausgewählte Erkennungen gekennzeichnet.

GCTI-Warnung ansehen

So rufen Sie Ihre GCTI-Benachrichtigungen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung > Warnungen und Bedrohungsindikatoren.
  2. Auf dem Tab Quelle sind GCTI-Benachrichtigungen als Ausgewählte Erkennungen gekennzeichnet. Klicken Sie auf Quelle, damit alle Benachrichtigungen mit dem Tag Ausgewählte Erkennungen nach oben verschoben werden.
  3. Klicken Sie auf den Link in der Spalte Name der Benachrichtigung, die Sie sich genauer ansehen möchten.

Wenn Sie auf den Text in der Spalte Name klicken, wird eine Seite mit drei Tabs geöffnet: Übersicht, Grafik und Benachrichtigungsverlauf. Graph ist eine interaktive Grafik, mit der Sie Ihre Suche erweitern können. Im Benachrichtigungsverlauf finden Sie wichtige Informationen zur Benachrichtigung.

Weitere Informationen zur Verwendung der Grafik und des Benachrichtigungsverlaufs finden Sie unter Benachrichtigungen untersuchen.

Im Dashboard Ausgewählte Erkennungen finden Sie alle GCTI-bezogenen Regeln.

So rufen Sie das Dashboard Ausgewählte Erkennungen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung > Regeln und Erkennungen.
  2. Es gibt vier Tabs: Regel-Dashboard, Regeleditor und Ausgewählte Erkennungen und Ausschlüsse. Klicken Sie auf Ausgewählte Erkennungen. Bei der ausgewählten Erkennung befinden sich alle GCTI-Regeln und die von ihnen generierten Benachrichtigungen.

GCTI-Regeln untersuchen

Über der Tabelle befinden sich zwei Tabs: Regelsätze und Dashboard.

Unter Regelsätze gibt es eine Tabelle mit allen Regeln und Regelsätzen (Gruppen von Regeln, die zusammen verwendet werden). Auf diesem Tab haben Sie folgende Möglichkeiten:

  • Verschiedene Bereiche minimieren oder maximieren
  • Aktivieren oder deaktivieren Sie Benachrichtigungen und Status.
  • Verwenden Sie die Felder in der linken Ecke der Tabelle, um Änderungen auf einen einzelnen Regelsatz oder auf alle Regelsätze anzuwenden.

Ausgewählte Erkennungsfunktionen

Im Bereich Dashboard werden die Regeln nach Kategorie getrennt angezeigt.

Dashboard mit Chronicle-Regeln

Wenn Sie im Bereich Dashboard auf eine Benachrichtigung klicken, wird eine Seite mit einer Zeitachse der letzten Erkennungen für diese Benachrichtigung geöffnet.

Seite zur Regelerkennung

Regeln vom Typ „Genaue“ und „Weitgehend passend“ verwenden

Es gibt zwei Arten von Regeln in Regelsätzen: Genau und Weitgehend passend. Sie können Regeln vom Typ Genau oder Weitgehend passend abhängig von der Art der Suche separat aktivieren oder deaktivieren.

  • Präzise Regeln sind Regeln, die böswilliges Verhalten aufgrund des spezifischeren Aufbaus der Regel mit größerer Sicherheit und weniger falsch positive Ergebnisse erkennen.
  • Weitgehend passende Regeln erkennen potenziell schädliches oder ungewöhnliches Verhalten. Da diese Regeln allgemeiner als die Genauen Regeln sind, besteht eine höhere Wahrscheinlichkeit für falsch positive Ergebnisse.