Menggunakan halaman deteksi yang diseleksi

Dokumen ini menjelaskan cara menggunakan halaman deteksi yang dikurasi.

Untuk pelanggan Google Security Operations,tim Google Cloud Threat Intelligence (GCTI) menawarkan analisis ancaman siap pakai sebagai bagian dari Google Cloud model Nasib Bersama Keamanan. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka. Aturan yang dikelola GCTI ini:

• Memberikan kecerdasan yang dapat ditindaklanjuti secara langsung kepada pelanggan yang dapat digunakan terhadap data yang mereka masukkan.

• Memanfaatkan kecerdasan ancaman Google dengan memberi pelanggan cara menggunakannya dalam Google SecOps.

Sebelum memulai

Untuk mengetahui informasi tentang kebijakan deteksi ancaman yang telah ditentukan sebelumnya, lihat artikel berikut:

• Ringkasan kategori Ancaman Cloud
• Ringkasan kategori Ancaman Chrome Enterprise
• Ringkasan kategori Ancaman Windows
• Ringkasan kategori Ancaman Linux
• Ringkasan kategori Ancaman macOS
• Ringkasan Analisis Risiko untuk kategori UEBA
• Ringkasan kategori Penerapan Inteligensi Ancaman

Untuk memverifikasi bahwa data yang diperlukan untuk setiap kebijakan memiliki format yang benar, lihat Memverifikasi penyerapan data log menggunakan aturan pengujian.

Fitur deteksi pilihan

Berikut adalah beberapa fitur utama deteksi pilihan:

• Deteksi Pilihan: deteksi pilihan yang dibuat dan dikelola oleh GCTI untuk pelanggan Google SecOps.

• Set aturan: Kumpulan aturan yang dikelola oleh GCTI untuk pelanggan Google SecOps. GCTI menyediakan dan mengelola beberapa set aturan. Pelanggan memiliki opsi untuk mengaktifkan atau menonaktifkan aturan ini dalam akun Google SecOps mereka dan untuk mengaktifkan atau menonaktifkan notifikasi untuk aturan ini. Aturan dan set aturan baru akan diberikan secara berkala oleh GCTI seiring perubahan lanskap ancaman.

Membuka halaman deteksi dan kumpulan aturan yang dikurasi

Untuk membuka halaman deteksi yang dikurasi, selesaikan langkah-langkah berikut:

1. Pilih Aturan dari menu utama.

2. Klik Deteksi Terkurasi untuk membuka tampilan set aturan.

Halaman Deteksi yang Diseleksi memberikan informasi tentang setiap set aturan yang aktif untuk akun Google SecOps Anda, termasuk yang berikut:

• Terakhir diperbarui: Waktu GCTI terakhir memperbarui set aturan.

• Aturan yang Diaktifkan: Menunjukkan aturan Akurat dan Luas mana yang diaktifkan untuk setiap kumpulan aturan. Aturan akurat menemukan ancaman berbahaya dengan tingkat keyakinan yang tinggi. Aturan luas menelusuri perilaku mencurigakan yang mungkin lebih umum dan menghasilkan lebih banyak positif palsu (PP). Aturan Akurat dan Luas mungkin tersedia untuk set aturan.

• Pemberitahuan: Menunjukkan aturan Akurat dan Luas mana yang telah mengaktifkan pemberitahuan untuk setiap kumpulan aturan.

• Taktik Mitre: ID taktik MITRE ATT&CK® yang dicakup oleh setiap set aturan. Taktik Mitre ATT&CK® merepresentasikan maksud di balik perilaku berbahaya.

• Teknik Mitre: ID teknik MITRE ATT&CK® yang dicakup oleh setiap set aturan. Teknik Mitre ATT&CK® merepresentasikan tindakan tertentu dari perilaku berbahaya

Dari halaman ini, Anda juga dapat mengaktifkan atau menonaktifkan aturan dan pemberitahuan untuk aturan tersebut. Anda dapat melakukannya untuk aturan luas atau presisi.

Membuka dasbor deteksi yang dikurasi

Dasbor deteksi pilihan menampilkan informasi tentang setiap deteksi pilihan yang telah menghasilkan deteksi terhadap data log di akun Google SecOps Anda. Aturan dengan deteksi dikelompokkan menurut set aturan.

Untuk membuka dasbor deteksi pilihan, selesaikan langkah-langkah berikut:

1. Pilih Aturan dari menu utama. Tab default adalah deteksi pilihan dan tampilan default adalah set aturan.

2. Klik Dasbor.

   

   Gambar 2: Dasbor Deteksi yang Dikurasi

3. Dasbor Deteksi yang Dikurasi menampilkan setiap set aturan yang tersedia untuk akun Google SecOps Anda. Setiap tampilan mencakup hal berikut:

   • Diagram yang melacak aktivitas saat ini untuk setiap aturan yang terkait dengan set aturan.

   • Waktu deteksi terakhir.

   • Status setiap aturan.

   • Tingkat keparahan deteksi terbaru.

   • Apakah pemberitahuan diaktifkan atau dinonaktifkan.

4. Anda dapat mengedit setelan aturan dengan mengklik ikon menu more_vert atau nama set aturan.

5. Klik Set Aturan untuk beralih kembali ke tampilan set aturan. Tampilan set aturan memberikan informasi tentang setiap set aturan yang aktif untuk akun Google SecOps Anda.

Melihat detail tentang kumpulan aturan

Anda dapat mengubah setelan untuk deteksi terkurasi dengan mengklik ikon menu more_vert untuk set aturan, lalu memilih Lihat dan edit setelan aturan.

Anda dapat mengaktifkan atau menonaktifkan set aturan di bagian Setelan. Tombol Status dan Pemberitahuan memungkinkan Anda mengaktifkan atau menonaktifkan aturan presisi dan luas dalam set aturan. Anda juga dapat mengaktifkan atau menonaktifkan pemberitahuan.

Anda juga dapat melihat semua pengecualian yang dikonfigurasi untuk set aturan. Anda dapat mengedit pengecualian dengan mengklik Lihat. Lihat Mengonfigurasi pengecualian aturan untuk mengetahui informasi selengkapnya.

Gambar 3: Setelan Aturan

Perubahan semua aturan dalam kumpulan aturan

Bagian Setelan menampilkan setelan untuk semua aturan dalam set aturan. Anda dapat mengubah setelan untuk membuat deteksi pilihan yang spesifik untuk penggunaan dan kebutuhan organisasi Anda.

• Aturan akurat: Menemukan perilaku berbahaya dengan tingkat keyakinan yang lebih tinggi dan lebih sedikit positif palsu karena sifat aturan yang lebih spesifik.

• Aturan luas: Menemukan perilaku yang berpotensi berbahaya atau tidak normal, tetapi biasanya memiliki lebih banyak positif palsu karena sifat aturan yang lebih umum.

• Status: Aktifkan status aturan sebagai tepat atau luas dengan menyetel opsi Status yang sesuai ke Diaktifkan.

• Pemberitahuan: Aktifkan pemberitahuan untuk menerima deteksi yang dibuat oleh aturan presisi atau luas yang sesuai dengan menyetel opsi Pemberitahuan ke Aktif.

Mengonfigurasi pengecualian aturan

Untuk mengelola volume pemberitahuan dari deteksi pilihan GCTI, Anda dapat mengonfigurasi pengecualian aturan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi pengecualian aturan.

Melihat deteksi pilihan

Anda dapat melihat deteksi pilihan di tampilan Deteksi Pilihan. Tampilan ini memungkinkan Anda memeriksa deteksi yang terkait dengan aturan dan beralih ke tampilan lain seperti Tampilan aset dari Linimasa.

Untuk membuka tampilan Deteksi yang Dikurasi, selesaikan langkah-langkah berikut:

1. Klik Dasbor.

2. Klik link nama aturan di kolom Aturan.

Langkah berikutnya

• Menyelidiki pemberitahuan GCTI
• Menyesuaikan notifikasi yang ditampilkan oleh set aturan dalam kategori ini

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.