Menyelidiki pemberitahuan GCTI
Pemberitahuan Google Cloud Threat Intelligence (GCTI) berasal dari infrastruktur deteksi ancaman internal Google dan riset yang dilakukan oleh analis keamanan GCTI.
Untuk pelanggan Chronicle SIEM, pemberitahuan GCTI akan ditampilkan di halaman Alerts dan IOCs. Kolom tersebut berada di kolom Sumber. Pemberitahuan yang telah dibuat oleh GCTI diberi label sebagai Deteksi yang diseleksi.
Melihat Pemberitahuan GCTI
Untuk melihat pemberitahuan GCTI, ikuti langkah-langkah berikut:
- Dari menu navigasi, klik Deteksi > Peringatan dan IOC.
- Pada tab Sumber, pemberitahuan GCTI diberi label sebagai Deteksi pilihan. Klik Sumber agar semua Pemberitahuan dengan tag Deteksi terseleksi dipindahkan ke atas.
- Klik link di kolom Nama notifikasi yang ingin Anda selidiki.
Saat Anda mengklik teks di kolom Name, halaman akan terbuka dengan tiga tab: Overview, Graph, dan Alert history. Graph adalah grafik interaktif yang memungkinkan Anda memperluas penelusuran. Histori pemberitahuan menampilkan informasi penting tentang pemberitahuan tersebut.
Untuk mempelajari cara menggunakan Grafik dan Histori pemberitahuan, ikuti langkah-langkah di bagian Menyelidiki Pemberitahuan.
Buka dasbor aturan GCTI
Dasbor Deteksi yang diseleksi adalah tempat semua aturan terkait GCTI berada.
Untuk membuka dasbor Deteksi yang diseleksi, ikuti langkah-langkah berikut:
- Dari menu navigasi, klik Deteksi > Aturan & deteksi.
- Terdapat empat tab: Dasbor aturan, Editor aturan, dan Deteksi terseleksi dan Pengecualian. Klik Deteksi yang diseleksi. Deteksi yang diseleksi adalah tempat semua aturan GCTI dan pemberitahuan yang dihasilkannya berada.
Menyelidiki aturan GCTI
Di atas tabel terdapat dua tab: Kumpulan aturan dan Dasbor.
Di Kumpulan aturan, ada tabel yang menunjukkan semua aturan dan kumpulan aturan (grup aturan yang digunakan bersama). Di tab ini, Anda dapat melakukan hal berikut:
- Menciutkan atau meluaskan bagian yang berbeda
- Mengaktifkan atau menonaktifkan Alerting dan Status
- Gunakan kotak di sudut kiri tabel untuk menerapkan perubahan ke satu kumpulan aturan atau semua kumpulan aturan
Bagian Dasbor menampilkan aturan yang dipisahkan berdasarkan kategori.
Jika Anda mengklik peringatan di bagian Dashboard, halaman akan terbuka dan menampilkan linimasa deteksi terbaru untuk pemberitahuan tersebut.
Menggunakan aturan yang Tepat dan Luas
Ada dua jenis aturan dalam Kumpulan aturan: Precise dan Broad. Anda dapat mengaktifkan atau menonaktifkan aturan Presisi atau Luas secara terpisah, bergantung pada jenis penelusuran yang dilakukan.
- Aturan akurat adalah aturan yang menemukan perilaku berbahaya dengan tingkat keyakinan lebih tinggi dengan positif palsu yang lebih sedikit karena sifat aturan yang lebih spesifik.
- Aturan yang luas menemukan perilaku yang berpotensi membahayakan atau tidak wajar. Karena aturan ini lebih umum daripada aturan Presisi, peluang untuk positif palsu (PP) akan lebih besar.