Investigar una alerta de GCTI

Las alertas de Google Cloud Threat Intelligence (GCTI) provienen de la infraestructura de detección de amenazas interna de Google y de la investigación proporcionada por los analistas de seguridad de GCTI.

Para los clientes de Chronicle SIEM, las alertas de GCTI se muestran en la página IOC y alertas. Se encuentran en la columna Fuente. Las alertas que generó GCTI se etiquetan como Detecciones seleccionadas.

Ver una alerta de GCTI

Para ver las alertas de GCTI, sigue estos pasos:

  1. En la barra de navegación, haz clic en Detección > Alertas e IOC.
  2. En la pestaña Fuente, las alertas de GCTI están etiquetadas como Detectaciones seleccionadas. Haz clic en Fuente para que todas las alertas con la etiqueta Detecciones seleccionadas se muevan a la parte superior.
  3. Haz clic en el vínculo que aparece en la columna Nombre de la alerta que deseas investigar.

Cuando hagas clic en el texto en la columna Nombre, se abrirá una página con tres pestañas: Descripción general, Gráfico e Historial de alertas. El gráfico es un gráfico interactivo que te permite expandir la búsqueda. En Historial de alertas, se muestra información importante sobre la alerta.

Para obtener información sobre cómo usar el Historial de alertas y el Grafo, sigue los pasos que se indican en Cómo investigar una alerta.

En el panel Detecciones seleccionadas, se encuentran todas las reglas relacionadas con GCTI.

Para acceder al panel Detecciones seleccionadas, sigue estos pasos:

  1. Desde la barra de navegación, haz clic en Detección > Reglas y detecciones.
  2. Hay cuatro pestañas: Panel de reglas, Editor de reglas, Detección seleccionada y Exclusiones. Haz clic en Detecciones seleccionadas. En detectaciones seleccionadas, se encuentran todas las reglas de GCTI y las alertas que generan.

Investiga las reglas de GCTI

Arriba de la tabla, hay dos pestañas: Conjuntos de reglas y Panel.

En Conjuntos de reglas, hay una tabla que muestra todas las reglas y los conjuntos de reglas (grupos de reglas que se usan juntos). En esta pestaña, puedes hacer lo siguiente:

  • Cómo contraer o expandir diferentes secciones
  • Habilita o inhabilita las Alertas y el Estado.
  • Usa las casillas en la esquina izquierda de la tabla para aplicar los cambios a un solo conjunto de reglas o a todos los conjuntos de reglas.

Detecciones seleccionadas

La sección Panel muestra las reglas separadas por categoría.

Panel de reglas de Chronicle

Si haces clic en una alerta en la sección Panel, se abrirá una página que muestra un cronograma de las detecciones recientes de esa alerta.

Página de detección de reglas

Cómo usar reglas precisas y amplias

Existen dos tipos de reglas en los conjuntos de reglas: precisas y amplias. Puedes habilitar o inhabilitar las reglas Precisas o Amplias por separado según el tipo de búsqueda que realices.

  • Las reglas precisas son reglas que encuentran comportamiento malicioso con un mayor grado de confianza y menos falsos positivos debido a la naturaleza más específica de la regla.
  • Las reglas amplias encuentran comportamientos que podrían ser maliciosos o anómalos. Dado que estas reglas son más generales que las Precisas, hay una mayor probabilidad de falsos positivos.