Investigar una alerta de GCTI

Para los clientes de Google Chronicle que también son clientes de Google Cloud Threat Intelligence (GCTI), se muestran las alertas de GCTI en la página de estadísticas de empresas, como se muestra a continuación. Estas alertas se generan a partir de la infraestructura de detección de amenazas interna de Google y la investigación que proporcionan los analistas de seguridad de GCTI.

Vista de alerta de GCTI

Completa los siguientes pasos para navegar a la vista de la Alerta de inteligencia de amenazas de Google Cloud:

  1. Coloca el cursor sobre la columna VERDICTO para abrir el RESUMEN DE ALERTA, que muestra información adicional sobre la alerta.

    Resumen de alertas de GCTI RESUMEN DE ALERTAS

  2. Haga clic en VER ALERTA para abrir la vista de alerta de GCTI.

    Vista de alerta de GCTI Vista de ALERT de GCTI

    La vista de alertas de GCTI proporciona información adicional de Google sobre la alerta, incluido un análisis de GCTI sobre la amenaza y su gravedad. En esta vista, también se muestran los registros de actualización del analista que incluyen todos los comentarios que agregan los analistas de seguridad.

Envía comentarios de alerta

Puedes proporcionar comentarios sobre las alertas que GCTI te proporcionó a tu empresa. El equipo de GCTI y tu equipo de seguridad pueden ver estos comentarios, ya que se incorporan en tu cuenta de Chronicle y se puede acceder a ellos desde la vista de Estadísticas de Enterprise y GCTI Alert.

Sigue estos pasos para enviar comentarios sobre una alerta:

  1. En la vista de alertas de GCTI, haga clic en UPDATE.

    Actualizar clasificación de alertas

    Ventana emergente para actualizar la clasificación de alertas

  2. Ajusta los valores en el campo Veredicto.

    Entre los valores posibles, se incluyen los siguientes:

    • Verdadero positivo: Resultado de seguridad correcto.
    • Falso positivo: Resultado de seguridad incorrecto.
    • Ninguna: No hay comentarios para proporcionar.
  3. Ajusta el valor para el campo Utilidad.

    Entre los valores posibles, se incluyen los siguientes:

    • Usefultil: El resultado de seguridad fue útil y se debe volver a generar (implícito por un verdadero positivo).
    • No útil: El resultado de seguridad no fue útil y no se debe volver a generar.
    • Ninguna: No hay comentarios para proporcionar.
  4. Ajuste la Gravedad con el control deslizante. Puedes establecer un valor entre 1 (informativo) y 100 (crítico).

  5. Puedes agregar comentarios al campo Comentarios a fin de explicar los motivos de tus selecciones de Veredicto, Utilidad y Gravedad. Estos comentarios son visibles para tu propio equipo de seguridad y Chronicle.

  6. Cuando hayas terminado de ingresar los comentarios de tu alerta, haz clic en GUARDAR.

Cómo cerrar una alerta

Cuando una alerta ya no sea útil, puedes hacer clic en CERRAR para abrir una ventana emergente similar a la que aparece cuando haces clic en ACTUALIZAR.

Seleccione valores para:

  • Veredicto
  • Utilidad
  • Gravedad

También puedes agregar información adicional en el campo Comentarios.

La opción CERRAR oculta la alerta en la vista predeterminada de Enterprise Insights y evita que agregues actualizaciones a la alerta.