使用“精选检测”页面

支持的语言:

本文档介绍了如何使用精选检测页面。

对于 Google Security Operations 客户, Google Cloud Threat Intelligence (GCTI) 团队正在提供开箱即用的威胁分析,作为 Google Cloud 安全共同命运模型的一部分。作为这些精选检测规则的一部分,GCTI 提供并管理一组 YARA-L 规则,以帮助客户识别企业面临的威胁。 这些由 GCTI 管理的规则:

  • 为客户提供可立即采取行动的智能分析,以便他们根据提取的数据采取行动。

  • 通过为客户提供在 Google SecOps 中使用 Google 威胁情报的方式,充分利用 Google 的威胁情报。

准备工作

如需了解预定义的威胁检测政策,请参阅以下内容:

如需验证每项政策所需的数据是否采用正确的格式,请参阅使用测试规则验证日志数据注入

精选检测功能

以下是精选检测功能的一些主要特点:

  • 精选检测:由 GCTI 为 Google SecOps 客户创建和管理的精选检测。

  • 规则集:由 GCTI 为 Google SecOps 客户管理的一组规则。GCTI 提供并维护多个规则集。客户可以选择在 Google SecOps 账号中启用或停用这些规则,以及启用或停用针对这些规则的提醒。随着威胁形势的变化,GCTI 会定期提供新的规则和规则集。

打开精选检测页面和规则集

如需打开精选检测页面,请完成以下步骤:

  1. 从主菜单中选择规则

  2. 点击精选检测以打开规则集视图。

“精选检测”页面会提供有关您的 Google SecOps 账号中处于有效状态的每个规则集的信息,包括:

  • 上次更新时间:GCTI 上次更新规则集的时间。

  • 已启用的规则:指明了每个规则集启用了哪些精确规则和宽泛规则。精确的规则会发现恶意威胁,且可信度高。宽泛的规则会搜索可能更常见的可疑行为,并产生更多误报。一个规则集可能同时包含精确规则和宽泛规则。

  • 提醒:指示每个规则集的精确规则和宽泛规则中哪些已启用提醒。

  • Mitre 策略:每个规则集涵盖的 Mitre ATT&CK® 策略的标识符。MITRE ATT&CK® 策略代表恶意行为背后的意图。

  • Mitre 技术:每个规则集涵盖的 Mitre ATT&CK® 技术的标识符。Mitre ATT&CK® 技术代表恶意行为的具体做法

在此页面上,您还可以启用或停用相应规则以及针对该规则的提醒。您可以针对宽泛规则或精细规则执行此操作。

打开精选检测信息中心

精选检测信息中心会显示每项精选检测的相关信息,这些检测已针对您 Google SecOps 账号中的日志数据生成检测结果。检测到问题的规则按规则集分组。

如需打开精选的检测信息中心,请完成以下步骤:

  1. 从主菜单中选择规则。默认标签页是精选检测,默认视图是规则集。

  2. 点击信息中心

    精选检测

    图 2:精选检测信息中心

  3. “精选检测”信息中心会显示您的 Google SecOps 账号可用的每个规则集。每个展示广告都包含以下内容:

    • 图表,用于跟踪与规则集关联的每条规则的当前活动。

    • 上次检测的时间。

    • 每条规则的状态。

    • 近期检测结果的严重程度。

    • 提醒功能处于启用还是停用状态。

  4. 您可以点击菜单图标 或规则集名称来修改规则设置。

  5. 点击规则集可切换回规则集视图。“规则集”视图会提供有关您的 Google SecOps 账号中处于有效状态的每个规则集的信息。

查看规则集的详细信息

您可以修改任何精选检测的设置,方法是点击规则集的菜单图标 ,然后选择查看和修改规则设置

您可以在设置部分下启用或停用规则集。 通过状态提醒切换开关,您可以启用或停用规则集中的精确规则和宽泛规则。您还可以开启或关闭提醒功能。

您还可以查看为规则集配置的所有排除对象。您可以点击查看来修改排除对象。如需了解详情,请参阅配置规则排除项

规则设置

图 3:规则设置

修改规则集中的所有规则

设置部分会显示规则集中所有规则的设置。您可以修改设置,以创建专门针对组织使用情况和需求的精选检测。

  • 精确的规则:可发现恶意行为,且可信度高,假正例较少,因为规则更具体。

  • 宽泛的规则:发现可能有恶意的行为或异常情况,但由于规则的通用性更强,假正例通常较多。

  • 状态:将相应状态选项设置为已启用,即可将规则的状态设为“精细”或“宽泛”。

  • 提醒:将提醒选项设置为开启,即可启用提醒功能,以便接收相应精确规则或宽泛规则创建的检测。

配置规则排除项

如需管理 GCTI 精选检测的提醒量,您可以配置规则排除项。如需了解详情,请参阅配置规则排除对象

查看精选检测

您可以在“精选检测”视图中查看任何精选检测。在此视图中,您可以检查与规则相关联的任何检测结果,并从时间轴切换到其他视图,例如资产视图

如需打开精选检测视图,请完成以下步骤:

  1. 点击信息中心

  2. 点击“规则”列中的规则名称链接。

后续步骤

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。