Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Investigar una alerta de GCTI

Para los clientes de Google Chronicle que también son clientes de Google Cloud Threat Intelligence (GCTI), las alertas de GCTI se muestran en la página de Enterprise Insights, como se muestra a continuación. Estas alertas se derivan de la infraestructura de detección de amenazas interna de Google y de la investigación proporcionada por los analistas de seguridad de GCTI.

Vista de alerta de GCTI

Complete los siguientes pasos para navegar a la vista Alerta de inteligencia de amenazas de Google Cloud:

  1. Coloca el cursor sobre la columna VERDICT para abrir ALERT SUMMARY y mostrar información adicional sobre la alerta.

    Resumen de alertas de GCTI RESUMEN DE LA ALERTA

  2. Haga clic en VER ALERTA para abrir la vista de alertas de GCTI.

    Vista de alerta de GCTI Vista de ALERTA de GCTI

    La vista de alertas de GCTI proporciona información adicional de Google sobre la alerta, incluido un análisis de GCTI sobre la amenaza y su gravedad. En esta vista, también se muestran los registros de actualización del analista, que incluyen todos los comentarios que agregaron tus analistas de seguridad.

Envía comentarios sobre las alertas

Puedes proporcionar comentarios sobre las alertas que GCTI proporcionó para tu empresa. Estos comentarios son visibles para el equipo de GCTI y tu propio equipo de seguridad, ya que se incorporan a tu cuenta de Chronicle y se puede acceder a ellos desde la vista de Enterprise Insights y GCTI Alert.

Para enviar comentarios sobre las alertas:

  1. Haga clic en UPDATE en la vista de alertas de GCTI.

    Actualizar clasificación de alertas

    Ventana emergente de clasificación de alertas

  2. Ajusta los valores en el campo Veredicto.

    Entre los valores posibles, se incluyen los siguientes:

    • Verdadero positivo: Resultado de seguridad correcto.
    • Falso positivo: Resultado de seguridad incorrecto.
    • Ninguno: No hay comentarios para proporcionar.
  3. Ajusta el valor del campo Utility.

    Entre los valores posibles, se incluyen los siguientes:

    • Útil: El resultado de seguridad era útil y debería volver a generarse (implícito por un Verdadero positivo).
    • Poco útil: El resultado de seguridad no fue útil y no se debe volver a enviar.
    • Ninguno: No hay comentarios para proporcionar.
  4. Ajusta la Gravedad con el control deslizante. Puedes establecer un valor entre 1 (informativo) en 100 (crítico).

  5. Puedes agregar comentarios en el campo Comentarios a fin de explicar los motivos de tus selecciones para Veredicto, Utilidad y Gravedad. Tu equipo de seguridad y Chronicle pueden ver estos comentarios.

  6. Cuando hayas terminado de ingresar tus comentarios de alerta, haz clic en GUARDAR.

Cómo cerrar una alerta

Cuando una alerta ya no es útil, puedes hacer clic en CERRAR para abrir una ventana emergente similar a la que aparece cuando haces clic en ACTUALIZAR.

Seleccionar valores para:

  • Veredicto
  • Utilidad
  • Gravedad

También puedes agregar información adicional en el campo Comentarios.

La opción CLOSE oculta la alerta en la vista predeterminada de Enterprise Insights y evita que agregues actualizaciones.