Investigar um alerta da GCTI

Os alertas do Google Cloud Threat Intelligence (GCTI) são derivados da infraestrutura de detecção de ameaças interna do Google e da pesquisa fornecida por analistas de segurança do GCTI.

Para clientes do Chronicle SIEM, os alertas de GCTI são mostrados na página Alertas e IOCs. Eles estão localizados na coluna Origem. Os alertas que foram gerados pelo GCTI são rotulados como Detecções selecionadas.

Ver um alerta de GCTI

Para ver seus alertas de GCTI, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Alertas e IOCs.
  2. Na guia Origem, os alertas de GCTI são marcados como Detecções selecionadas. Clique em Origem para que todos os alertas com a tag Detecções selecionadas sejam movidos para a parte superior.
  3. Clique no link na coluna Nome do alerta que você quer investigar.

Quando você clica no texto na coluna Nome, uma página é aberta com três guias: Visão geral, Gráfico e Histórico de alertas. Graph é um gráfico interativo que permite expandir a pesquisa. O histórico de alertas mostra informações importantes sobre o alerta.

Para saber como usar o Gráfico e o Histórico de alertas, siga as etapas em Investigar um alerta.

O painel de detecções selecionadas é onde todas as regras relacionadas à GCTI estão localizadas.

Para acessar o painel de detecções selecionadas, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Regras e detecções.
  2. Há quatro guias: Painel de regras, Editor de regras e Detecções selecionadas e Exclusões. Clique em Detecções selecionadas. As detecções selecionadas são onde todas as regras de GCTI e os alertas que elas geram são localizados.

Investigar regras de GCTI

Acima da tabela, há duas guias: Conjuntos de regras e Painel.

Em Conjuntos de regras, há uma tabela que mostra todas as regras e os grupos de regras (grupos de regras que são usados juntos). Nessa guia, você pode fazer o seguinte:

  • Recolher ou expandir seções diferentes
  • Ative ou desative Alertas e Status.
  • Use as caixas no canto esquerdo da tabela para aplicar alterações a um único conjunto de regras ou a todos eles.

Detecções selecionadas

A seção Painel mostra as regras separadas por categoria.

Painel de regras do Chronicle

Se você clicar em um alerta na seção Painel, uma página será aberta e mostrará uma linha do tempo das detecções recentes desse alerta.

Página "Detecção de regras"

Como usar regras de correspondência ampla e precisa

Há dois tipos de regras em Conjuntos de regras: Exata e Ampla. Você pode ativar ou desativar as regras Precise ou Broad separadamente, dependendo do tipo de pesquisa que está fazendo.

  • Regras precisas são aquelas que encontram comportamento malicioso com maior nível de confiança e menos falsos positivos devido à natureza mais específica delas.
  • Regras amplas encontram comportamentos que podem ser maliciosos ou anômalos. Como essas regras são mais gerais que as Exata, há uma chance maior de falsos positivos.