Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Investigar una alerta de GCTI

Para los clientes de Chronicle que también son clientes de Google Cloud Threat Intelligence (GCTI), las alertas de GCTI se muestran en la página de Enterprise Insights, como se muestra a continuación. Estas alertas se derivan de la infraestructura de detección de amenazas interna de Google y de la investigación que proporcionan los analistas de seguridad de GCTI.

Vista de alerta de GCTI

Completa los siguientes pasos para navegar a la vista de alerta de inteligencia de amenazas de Google Cloud:

  1. Coloca el cursor sobre la columna VERDICTO para abrir el Resumen de la alerta, que muestra información adicional sobre la alerta.

    Resumen de alertas de GCTI RESUMEN DE LA ALERTA

  2. Haga clic en VER ALERTA para abrir la vista de alertas de GCTI.

    Vista de alerta de GCTI Vista de ALERTA de GCTI

    La vista de alertas de GCTI proporciona información adicional de Google sobre la alerta, incluido un análisis de GCTI sobre la amenaza y su gravedad. Esta vista también muestra los registros de actualización del analista, que incluyen todos los comentarios que agregaron tus analistas de seguridad.

Enviando comentarios de alerta

Puedes proporcionar comentarios sobre las alertas que GCTI proporcionó para tu empresa. Estos comentarios son visibles tanto para el equipo de GCTI como para tu propio equipo de seguridad, ya que están incorporados en tu cuenta de Chronicle y puedes acceder a ellos desde la vista de Enterprise Insights y GCTI Alert.

Para enviar comentarios sobre alertas, haz lo siguiente:

  1. Haga clic en ACTUALIZAR en la vista de alerta de GCTI.

    Actualizar clasificación de alertas

    Ventana emergente de clasificación de alertas actualizada

  2. Ajusta los valores en el campo Veredicto.

    Entre los valores posibles, se incluyen los siguientes:

    • Verdadero positivo: Resultado de seguridad correcto.
    • Falso positivo: Resultado de seguridad incorrecto.
    • Ninguno: No hay comentarios para proporcionar.

  3. Ajusta el valor del campo Utilidad.

    Entre los valores posibles, se incluyen los siguientes:

    • Útil: El resultado de seguridad fue útil y debería elevarse de nuevo (implícito por un Verdadero positivo).
    • Poco útil: El resultado de seguridad no fue útil y no se debe volver a generar.
    • Ninguno: No hay comentarios para proporcionar.

  4. Ajusta la Gravedad con el control deslizante. Puedes establecer un valor entre 1 (informativo) en 100 (crítico).

  5. Puedes agregar comentarios al campo Comentarios y explicar los motivos de tus selecciones para Veredicto, Utilidad y Gravedad. Estos comentarios son visibles para tu propio equipo de seguridad y Chronicle.

  6. Cuando hayas terminado de ingresar los comentarios de la alerta, haz clic en GUARDAR.

Cómo cerrar una alerta

Cuando una alerta ya no es útil, puedes hacer clic en CERRAR para abrir una ventana emergente similar a la que aparece cuando haces clic en ACTUALIZAR.

Seleccionar valores para:

  • Veredicto
  • Utilidad
  • Gravedad

También puedes agregar información adicional en el campo Comentarios.

La opción CLOSE oculta la alerta en la vista predeterminada de Enterprise Insights y evita que agregues actualizaciones.