Usar a página de detecções selecionadas

Este documento descreve como usar as páginas de detecções selecionadas.

Para clientes do Google Security Operations, a equipe de Google Cloud inteligência contra ameaças (GCTI, na sigla em inglês) oferece análises de ameaças prontas para uso como parte do modelo Google Cloud Security Shared Fate. Como parte dessas detecções selecionadas, a GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa. Estas regras gerenciadas pelo GCTI:

• Fornecer aos clientes inteligência imediatamente útil que pode ser usada com os dados ingeridos.

• Aproveita a inteligência contra ameaças do Google, oferecendo aos clientes uma maneira de usá-la no Google SecOps.

Antes de começar

Para informações sobre políticas predefinidas de detecção de ameaças, consulte:

• Visão geral da categoria "Ameaças na nuvem"
• Visão geral da categoria "Ameaças do Chrome Enterprise"
• Visão geral da categoria "Ameaças do Windows"
• Visão geral da categoria "Ameaças do Linux"
• Visão geral da categoria "Ameaças do macOS"
• Visão geral da análise de risco para a categoria UEBA
• Visão geral da categoria "Inteligência contra ameaças aplicada"

Para verificar se os dados necessários para cada política estão no formato correto, consulte Verificar a ingestão de dados de registro usando regras de teste.

Recursos de detecções selecionadas

Confira alguns dos principais recursos de detecções selecionadas:

• Detecção selecionada: detecção selecionada criada e gerenciada pela GCTI para clientes do Google SecOps.

• Conjuntos de regras: coleção de regras gerenciadas pela GCTI para clientes do Google SecOps. A GCTI fornece e mantém vários conjuntos de regras. O cliente pode ativar ou desativar essas regras na conta do Google SecOps e ativar ou desativar os alertas para elas. Novas regras e conjuntos de regras serão fornecidos periodicamente pela GCTI à medida que o cenário de ameaças mudar.

Abra a página de detecções selecionadas e conjuntos de regras

Para abrir a página de detecções selecionadas, siga estas etapas:

1. Selecione Regras no menu principal.

2. Clique em Detecções selecionadas para abrir a visualização de conjuntos de regras.

A página de detecções selecionadas oferece informações sobre cada um dos conjuntos de regras ativos na sua conta do Google SecOps, incluindo:

• Última atualização: quando a GCTI atualizou o conjunto de regras pela última vez.

• Regras ativadas: indica quais das regras amplas e precisas estão ativadas em cada conjunto de regras. As regras precisas encontram ameaças maliciosas com um alto grau de confiança. As amplas, por sua vez, procuram comportamentos suspeitos que podem ser mais comuns e gerar mais falsos positivos. Esses dois tipos de regras podem estar disponíveis em um conjunto de regras.

• Alertas: indica quais das regras amplas e precisas têm alertas ativados em cada conjunto de regras.

• Táticas do MITRE: identificador das táticas do MITRE ATT&CK® incluídas em cada conjunto de regras. As táticas do Mitre ATT&CK® representam a intenção por trás de comportamentos maliciosos.

• Técnicas do MITRE: identificador das técnicas do MITRE ATT&CK® incluídas em cada conjunto de regras. As técnicas do Mitre ATT&CK® representam ações específicas de comportamentos maliciosos

Nessa página, também é possível ativar ou desativar a regra e os alertas dela. Você pode fazer isso para regras amplas ou precisas.

Abrir o painel de detecção selecionada

O painel de detecção selecionada mostra informações sobre cada detecção que gerou um resultado com base nos dados de registro na sua conta do Google SecOps. As regras com detecções são agrupadas por conjunto de regras.

Para abrir o painel de detecção selecionada, siga estas etapas:

1. Selecione Regras no menu principal. A guia padrão é "Detecções selecionadas", e a visualização padrão é "Grupos de regras".

2. Clique em Painel.

   

   Figura 2: painel "Detecções selecionadas"

3. O painel de detecções selecionadas mostra cada um dos conjuntos de regras disponíveis para sua conta do Google SecOps. Cada tela inclui o seguinte:

   • Gráfico que acompanha a atividade atual de cada uma das regras associadas a um conjunto de regras.

   • Horário da última detecção.

   • Status de cada regra.

   • Gravidade das detecções recentes.

   • Se os alertas estão ativados ou desativados.

4. Para editar as configurações da regra, clique no ícone de menu more_vert ou no nome do conjunto de regras.

5. Clique em Conjuntos de regras para voltar à visualização de conjuntos de regras. A visualização de conjuntos de regras oferece informações sobre cada conjunto de regras ativo na sua conta do Google SecOps.

Ver detalhes de um conjunto de regras

Para modificar as configurações de qualquer detecção selecionada, clique no ícone de menu more_vert do conjunto de regras e selecione Ver e editar configurações de regras.

Você pode ativar ou desativar o conjunto de regras na seção Configurações. Com os botões Status e Alertas, é possível ativar ou desativar as regras precisas e amplas no conjunto de regras. Você também pode ativar ou desativar os alertas.

Também é possível conferir todas as exclusões configuradas para o conjunto de regras. Para editar as exclusões, clique em Ver. Consulte Configurar exclusões de regras para mais informações.

Figura 3: configurações de regra

Modificação de todas as regras em um conjunto de regras

A seção Configurações mostra as configurações de todas as regras em um conjunto de regras. É possível modificar as configurações para criar detecções selecionadas específicas para seu uso e necessidades organizacionais.

• Regras precisas: encontram comportamentos maliciosos com um grau de confiança mais alto e menos falsos positivos devido à natureza mais específica da regra.

• Regras amplas: encontram comportamentos que podem ser potencialmente maliciosos ou ter anomalias, mas geralmente com mais falsos positivos devido à natureza mais geral da regra.

• Status: ative o status de uma regra como "Preciso" ou "Abrangente" definindo a opção Status correspondente como Ativado.

• Alertas: ative os alertas para receber detecções criadas por regras precisas ou gerais correspondentes definindo a opção Alertas como Ativado.

Configurar exclusões de regras

Para gerenciar o volume de alertas das detecções selecionadas do GCTI, configure exclusões de regras. Para mais informações, consulte Configurar exclusões de regras.

Ver detecções selecionadas

Você pode conferir qualquer uma das detecções selecionadas na visualização "Detecções selecionadas". Com essa visualização, é possível examinar qualquer uma das detecções associadas à regra e passar para outras visualizações, como Visualização de recursos na linha do tempo.

Para abrir a visualização "Detecção selecionada", siga estas etapas:

1. Clique em Painel.

2. Clique no link do nome da regra na coluna "Regra".

A seguir

• Investigar um alerta da GCTI
• Ajustar os alertas retornados por conjuntos de regras nesta categoria

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.