使用“精选检测”页面

对于 Google Security Operations 客户，Google Cloud Threat Intelligence (GCTI) 团队将在 Google Cloud 安全共享命运模型中提供开箱即用的威胁分析。作为这些精选检测规则的一部分，GTTI 提供并管理一组 YARA-L 规则，以帮助客户识别企业面临的威胁。这些由 GCTI 管理的规则：

• 为客户提供可立即付诸行动的智能数据，以便他们对提取的数据进行分析。

• 为客户提供在 Google 安全运营中心内轻松使用 Google 威胁情报的途径，从而利用 Google 的威胁情报。

以下文档介绍了如何使用精选检测页面。

准备工作

如需了解预定义的威胁检测政策，请参阅以下内容：

• “云端威胁”类别概览
• “Windows 威胁”类别概览
• “Linux 威胁”类别概览
• “用户体验信号”类别的风险分析概览
• “实用威胁情报”类别概览

如需验证每个政策所需的数据是否采用了正确的格式，请参阅使用测试规则验证日志数据注入。

精选检测功能

以下是精选检测功能的部分主要特性：

• 精选检测：GCTI 为 Google Security Operations 客户创建和管理的精选检测。

• 规则集：GCTI 为 Google Security Operations 客户管理的一组规则。GCTI 提供并维护多组规则。客户可以在其 Google 安全运营账号中启用或停用这些规则，以及为这些规则启用或停用提醒。随着威胁形势的变化，GTTI 会定期提供新规则和规则集。

打开“精选检测”页面和规则集

如需打开“精选检测结果”页面，请完成以下步骤：

1. 从主菜单中选择规则。

2. 点击精选检测以打开规则集视图。

“精选检测”页面会提供有关 Google 安全运营账号中有效的每个规则集的信息，包括：

• 上次更新时间：GCTI 上次更新规则集的时间。

• 已启用的规则：指示每个规则集为精确规则和宽泛规则启用了哪些规则。精确的规则会发现恶意威胁，且可信度高。宽泛的规则会搜索可能更常见的可疑行为，但会产生更多误报。一个规则集可能同时包含精确规则和宽泛规则。

• 提醒：指示为每个规则集启用了哪些精确规则和宽泛规则的提醒。

• Mitre 策略：各个规则集涵盖的 Mitre ATT&CK® 策略的标识符。MITRE ATT&CK® 策略代表恶意行为背后的意图。

• Mitre 技术：各个规则集涵盖的 Mitre ATT&CK® 技术的标识符。MITRE ATT&CK® 技术代表恶意行为的具体做法

在此页面中，您还可以启用或停用规则以及为规则启用或停用提醒。您可以对宽泛规则或精确规则执行此操作。

打开精选检测信息中心

精选检测信息中心会显示针对您 Google 安全运营账号中的日志数据生成的每项精选检测的相关信息。检测到违规行为的规则会按规则集进行分组。

如需打开精选检测信息中心，请完成以下步骤：

1. 从主菜单中选择规则。默认标签页是“精选检测”，默认视图是“规则集”。

2. 点击信息中心。

   

   图 2：精选检测信息中心

3. “精选检测结果”信息中心会显示您的 Google 安全运营账号可用的每组规则。每个显示屏都包含以下内容：

   • 用于跟踪与规则集相关联的每条规则的当前活动的图表。

   • 上次检测到问题的时间。

   • 每条规则的状态。

   • 近期检测结果的严重程度。

   • 提醒功能是处于启用还是停用状态。

4. 您可以点击菜单图标 more_vert 或规则集名称来修改规则设置。

5. 点击规则集可切换回规则集视图。“规则集”视图会提供有关 Google 安全运营账号中每个有效规则集的信息。

查看规则集的详细信息

如需修改任何精选检测的设置，请点击相应规则集的菜单图标 more_vert，然后选择查看和修改规则设置。

您可以在设置部分下启用或停用规则集。借助状态和提醒切换开关，您可以启用或停用规则集中的精确规则和宽泛规则。您还可以开启或关闭提醒。

您还可以查看为规则集配置的所有排除对象。您可以点击查看修改排除对象。如需了解详情，请参阅配置规则排除对象。

图 3：规则设置

修改规则集中的所有规则

设置部分会显示规则集中所有规则的设置。您可以修改设置，以根据贵组织的使用情况和需求创建精选检测。

• 精确的规则：由于规则的性质更为具体，因此可发现恶意行为，且可信度更高，假正例较少。

• 宽泛的规则：会发现可能有恶意的行为或异常情况，但由于规则的一般性，误判情况通常较多。

• 状态：将相应的状态选项设为已启用，以便将规则的状态设为精确或宽泛。

• 提醒：将提醒选项设为开启，以启用提醒功能，以便接收由相应的精确规则或宽泛规则创建的检测。

使用参考列表减少规则集发出的提醒

每个规则集都与参考列表相关联。在“规则设置”页面中，您可以点击列表旁边的打开，打开与特定规则集相关联的参考列表。您可以向其添加其他内容。

以下示例展示了如何为特定网域屏蔽提醒：

1. 您正在接收与名为 probablyokay.com 的网域相关联的提醒，但不想再收到这些提醒。

2. 点击参考列表旁边的“打开”。此时，系统会打开“列表管理器”窗口。

3. 将 probablyokay.com 添加到“行数”字段，然后点击保存修改。

查看精选检测

您可以在“精选检测”视图中查看任何精选检测。在此视图中，您可以检查与规则相关联的任何检测，并从时间轴切换到其他视图，例如素材资源视图。

如需打开“精选检测”视图，请完成以下步骤：

1. 点击信息中心。

2. 点击“规则”列中的规则名称链接。

后续步骤

• 调查 GCTI 提醒
• 调整此类别中规则集返回的提醒