Como investigar um alerta da GCTI

Para os clientes do Google Chronicle que também são clientes do Google Cloud Threat Intelligence (GCTI), os alertas da GCTI são exibidos na página "Enterprise Insights", conforme mostrado abaixo. Esses alertas são derivados da infraestrutura interna de detecção de ameaças do Google e da pesquisa fornecida pelos analistas de segurança do GCTI.

Visualização do alerta GCTI

Conclua as etapas a seguir para acessar a visualização Alerta do Google Cloud Threat Intelligence:

  1. Passe o cursor sobre a coluna VERDICT para abrir o RESUMO DO ALERTA, exibindo informações adicionais sobre o alerta.

    Resumo de alertas da GCTI RESUMO DO ALERTA

  2. Clique em VER ALERTA para abrir a visualização Alerta do GCTI.

    Visualização do alerta GCTI Visualização do ALERTA de GTI

    A visualização de Alerta do GCTI fornece informações adicionais do Google sobre o alerta, incluindo uma análise do GCTI sobre a ameaça e a gravidade dele. Essa visualização também mostra os registros de atualização do analista, que incluem todo o feedback adicionado pelos analistas de segurança.

Como enviar feedback de alerta

Você pode enviar feedback sobre os alertas que o GCTI forneceu para sua empresa. Esse feedback é visível para a equipe de GCTI e sua própria equipe de segurança, porque está incorporado à sua conta do Chronicle e pode ser acessado na visualização de alertas do Enterprise Insights e do GCTI.

Para enviar um feedback sobre alertas:

  1. Clique em ATUALIZAR na visualização de alerta da GCTI.

    Atualizar classificação de alertas

    Janela pop-up Atualizar a classificação de alertas

  2. Ajuste os valores no campo Veredito.

    Os valores possíveis incluem o seguinte:

    • Verdadeiro positivo: resultado de segurança correto.
    • Falso positivo: resultado de segurança incorreto
    • Nenhum: nenhum feedback para fornecer.
  3. Ajuste o valor do campo Utilidade.

    Os valores possíveis incluem o seguinte:

    • Usetil: o resultado da segurança foi útil e precisa ser gerado novamente, implícito em verdadeiro positivo.
    • Não é útil: o resultado da segurança não foi útil e não deve ser recomendado novamente.
    • Nenhum: nenhum feedback para fornecer.
  4. Ajuste a Gravidade usando o controle deslizante. É possível definir um valor entre 1 (Informações) e 100 (Crítico).

  5. É possível adicionar feedback ao campo "Comentários" explicando as razões das suas seleções para Veredito, Utilidade e Gravidade. Esses comentários ficam visíveis para sua própria equipe de segurança e para o Chronicle.

  6. Quando terminar de digitar o feedback do alerta, clique em SALVAR.

Fechar um alerta

Quando um alerta não for mais útil, clique em FECHAR, abrindo uma janela pop-up semelhante à que aparece quando você clica em ATUALIZAR.

Selecione valores para:

  • Veredito
  • Utilidade
  • Gravidade

Você também pode adicionar outras informações no campo Comentários.

A opção FECHAR oculta o alerta na visualização padrão do Enterprise Insights e impede que você adicione atualizações a ele.