Usa la página de detecciones seleccionadas

En este documento, se describe cómo usar las páginas de detecciones seleccionadas.

Para los clientes de Google Security Operations,el equipo de Google Cloud Threat Intelligence (GCTI) ofrece análisis de amenazas listos para usar como parte del Google Cloud modelo de destino compartido de seguridad. Como parte de estas detecciones seleccionadas, el GCTI proporciona y administra un conjunto de reglas de YARA-L para ayudar a los clientes a identificar amenazas para su empresa. Estas reglas administradas por el GCTI son las siguientes:

• Proporcionar a los clientes inteligencia práctica inmediata que se puede usar con sus datos procesados

• Aprovecha la inteligencia sobre amenazas de Google, ya que proporciona a los clientes una forma de usarla en Google SecOps.

Antes de comenzar

Para obtener información sobre las políticas de detección de amenazas predefinidas, consulta lo siguiente:

• Descripción general de la categoría Amenazas de Cloud
• Descripción general de la categoría Amenazas de Chrome Enterprise
• Descripción general de la categoría Amenazas de Windows
• Descripción general de la categoría Amenazas de Linux
• Descripción general de la categoría Amenazas de macOS
• Descripción general de Risk Analytics para la categoría de UEBA
• Descripción general de la categoría Inteligencia contra amenazas aplicada

Para verificar que los datos requeridos para cada política tengan el formato correcto, consulta Cómo verificar la transferencia de datos de registro con reglas de prueba.

Funciones de detecciones seleccionadas

Estas son algunas de las funciones clave de las detecciones seleccionadas:

• Detección seleccionada: Es la detección seleccionada que crea y administra el GCTI para los clientes de Google SecOps.

• Conjuntos de reglas: Colección de reglas que administra el GCTI para los clientes de Google SecOps. La GCTI proporciona y mantiene varios conjuntos de reglas. El cliente tiene la opción de habilitar o inhabilitar estas reglas en su cuenta de Google SecOps, así como habilitar o inhabilitar las alertas para estas reglas. GCTI proporcionará periódicamente nuevas reglas y conjuntos de reglas a medida que cambie el panorama de amenazas.

Abre la página de detecciones y conjuntos de reglas seleccionados

Para abrir la página de detecciones seleccionadas, completa los siguientes pasos:

1. Selecciona Reglas en el menú principal.

2. Haz clic en Curated Detections para abrir la vista de conjuntos de reglas.

La página Curated Detection proporciona información sobre cada uno de los conjuntos de reglas activas para tu cuenta de Google SecOps, incluida la siguiente:

• Última actualización: Hora en que GCTI actualizó el conjunto de reglas por última vez.

• Reglas habilitadas: Indica cuáles de las reglas precisas y generales están habilitadas para cada conjunto de reglas. Las reglas precisas encuentran amenazas maliciosas con un alto nivel de confianza. Las reglas generales buscan comportamiento sospechoso que puede ser más común y que produce más falsos positivos. Tanto las reglas precisas como las generales pueden estar disponibles para un conjunto de reglas.

• Alertas: Indica cuáles de las reglas precisas y generales tienen alertas habilitadas para cada conjunto de reglas.

• Tácticas de Mitre: Es el identificador de las tácticas de Mitre ATT&CK® que abarca cada conjunto de reglas. Las tácticas de Mitre ATT&CK® representan la intención detrás del comportamiento malicioso.

• Técnicas de Mitre: Es el identificador de las técnicas de Mitre ATT&CK® que abarca cada conjunto de reglas. Las técnicas de Mitre ATT&CK® representan acciones específicas del comportamiento malicioso

En esta página, también puedes habilitar o inhabilitar la regla y las alertas para la regla. Puedes hacerlo para las reglas generales o precisas.

Abre el panel de detección seleccionado

En el panel de detecciones seleccionadas, se muestra información sobre cada detección seleccionada que produjo una detección en los datos de registro de tu cuenta de Google SecOps. Las reglas con detecciones se agrupan por conjunto de reglas.

Para abrir el panel de detección seleccionado, completa los siguientes pasos:

1. Selecciona Reglas en el menú principal. La pestaña predeterminada es la de detecciones seleccionadas, y la vista predeterminada es la de conjuntos de reglas.

2. Haz clic en Panel.

   

   Figura 2: Panel de detecciones seleccionadas

3. En el panel de Curated Detections, se muestra cada uno de los conjuntos de reglas disponibles para tu cuenta de Google SecOps. Cada pantalla incluye lo siguiente:

   • Gráfico que hace un seguimiento de la actividad actual de cada una de las reglas asociadas a un conjunto de reglas.

   • Es la fecha y hora de la última detección.

   • Es el estado de cada regla.

   • Gravedad de las detecciones recientes.

   • Indica si las alertas están habilitadas o inhabilitadas.

4. Para editar la configuración de la regla, haz clic en el ícono de menú more_vert o en el nombre del conjunto de reglas.

5. Haz clic en Conjuntos de reglas para volver a la vista de conjuntos de reglas. La vista de conjuntos de reglas proporciona información sobre cada conjunto de reglas activo para tu cuenta de Google SecOps.

Visualiza detalles sobre un conjunto de reglas

Para modificar la configuración de cualquier detección seleccionada, haz clic en el ícono de menú more_vert del conjunto de reglas y, luego, selecciona Ver y editar la configuración de las reglas.

Puedes habilitar o inhabilitar el conjunto de reglas en la sección Configuración. Los botones de activación Estado y Alertas te permiten habilitar o inhabilitar las reglas precisas y generales en el conjunto de reglas. También puedes activar o desactivar las alertas.

También puedes ver todas las exclusiones configuradas para el conjunto de reglas. Para editar las exclusiones, haz clic en Ver. Consulta Cómo configurar exclusiones de reglas para obtener más información.

Figura 3: Configuración de reglas

Modificación de todas las reglas de un conjunto de reglas

En la sección Configuración, se muestran los parámetros de configuración de todas las reglas de un conjunto de reglas. Puedes modificar la configuración para crear detecciones seleccionadas específicas para el uso y las necesidades de tu organización.

• Reglas precisas: Detectan comportamiento malicioso con un mayor grado de confianza y con menos falsos positivos debido a la naturaleza más específica de la regla.

• Reglas generales: Detectan comportamientos que podrían ser maliciosos o anómalos, pero suelen producir más falsos positivos debido a la naturaleza más general de la regla.

• Estado: Activa el estado de una regla como preciso o amplio configurando la opción Estado correspondiente en Habilitado.

• Alertas: Habilita las alertas para recibir las detecciones creadas por las reglas precisas o generales correspondientes. Para ello, configura la opción Alertas en Activado.

Configura exclusiones de reglas

Para administrar el volumen de alertas de las detecciones seleccionadas de la GCTI, puedes configurar exclusiones de reglas. Para obtener más información, consulta Cómo configurar exclusiones de reglas.

Cómo ver las detecciones seleccionadas

Puedes ver cualquiera de las detecciones seleccionadas en la vista Detecciones seleccionadas. Esta vista te permite examinar cualquiera de las detecciones asociadas con la regla y cambiar a otras vistas, como la vista de activos del cronograma.

Para abrir la vista de Detección curada, completa los siguientes pasos:

1. Haz clic en Panel.

2. Haz clic en el vínculo del nombre de la regla en la columna Regla.

¿Qué sigue?

• Investiga una alerta de GCTI
• Ajusta las alertas que devuelven los conjuntos de reglas de esta categoría

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.