使用「精選偵測」頁面

本文說明如何使用精選偵測結果頁面。

對於 Google Security Operations 客戶， Google Cloud Threat Intelligence (GCTI) 團隊提供開箱即用的威脅分析，這是 Google Cloud 安全命運共同體模式的一部分。在這些精選的偵測項目中，GCTI 提供並管理一組 YARA-L 規則，協助客戶識別企業威脅。 這些 GCTI 管理規則：

• 為客戶提供可立即採取的智慧資訊，用於處理擷取的資料。

• 提供客戶在 Google SecOps 中使用 Google 威脅情報的方式。

事前準備

如要瞭解預先定義的威脅偵測政策，請參閱下列文章：

• 「雲端威脅」類別總覽
• Chrome Enterprise 威脅類別總覽
• Windows 威脅類別總覽
• Linux 威脅類別總覽
• macOS 威脅類別總覽
• UEBA 類別的風險分析總覽
• 應用威脅情報類別總覽

如要確認各項政策所需的資料格式是否正確，請參閱「使用測試規則驗證記錄資料擷取作業」。

精選偵測項目功能

以下列舉幾項精選偵測功能：

• 精選偵測：由 GCTI 為 Google SecOps 客戶建立及管理的精選偵測。

• 規則集：由 GCTI 為 Google SecOps 客戶管理的規則集合。GCTI 提供並維護多個規則集。客戶可以在 Google SecOps 帳戶中啟用或停用這些規則，以及啟用或停用這些規則的快訊。隨著威脅情勢變化，GCTI 會定期提供新規則和規則集。

開啟精選偵測項目頁面和規則集

如要開啟精選偵測結果頁面，請完成下列步驟：

1. 在主選單中選取「規則」。

2. 按一下「精選偵測」，開啟規則組合檢視畫面。

「精選偵測」頁面會提供 Google SecOps 帳戶中每組啟用規則的相關資訊，包括：

• 上次更新時間：GCTI 上次更新規則集的時間。

• 已啟用規則：指出每個規則集已啟用精確規則或廣泛規則。精確規則可找出惡意威脅，且可信度高。廣泛規則會搜尋可能較常見的可疑行為，因此誤判的機率較高。規則集可能同時提供精確和廣泛規則。

• 警告：指出每個規則集已啟用警告的精確和廣泛規則。

• Mitre 戰術：各規則集涵蓋的 Mitre ATT&CK® 戰術 ID。Mitre ATT&CK® 戰術代表惡意行為的意圖。

• Mitre 技術：各規則集涵蓋的 Mitre ATT&CK® 技術 ID。Mitre ATT&CK® 技術代表惡意行為的特定動作

您也可以在這個頁面啟用或停用規則和規則快訊。您可以針對廣泛或精確規則執行這項操作。

開啟精選偵測資訊主頁

精選偵測資訊主頁會顯示每項精選偵測的相關資訊，這些偵測會根據 Google SecOps 帳戶中的記錄資料產生偵測結果。系統會依規則集分組顯示偵測結果。

如要開啟精選偵測資訊主頁，請完成下列步驟：

1. 在主選單中選取「規則」。預設分頁是經過篩選的偵測結果，預設檢視畫面則是規則集。

2. 點選「Dashboard」(資訊主頁)。

   

   圖 2：精選偵測資訊主頁

3. 「精選偵測」資訊主頁會顯示 Google SecOps 帳戶可用的各個規則集。每個螢幕都包含下列項目：

   • 圖表：追蹤與規則集相關聯的每項規則目前活動。

   • 上次偵測的時間。

   • 每項規則的狀態。

   • 近期偵測到的嚴重程度。

   • 快訊功能是否已啟用或停用。

4. 如要編輯規則設定，請按一下選單圖示 more_vert 或規則集名稱。

5. 按一下「規則集」即可切換回規則集檢視畫面。規則集檢視畫面會顯示 Google SecOps 帳戶中每個有效規則集的相關資訊。

查看規則集的詳細資料

如要修改任何精選偵測的設定，請按一下規則集的選單圖示 more_vert，然後選取「查看及編輯規則設定」。

您可以在「設定」部分啟用或停用規則集。 您可以使用「狀態」和「快訊」切換鈕，啟用或停用規則集中的精確和廣泛規則。你也可以開啟或關閉警示。

此外，您還可以查看規則集設定的所有排除條件。如要編輯排除條件，請按一下「查看」。詳情請參閱「設定規則排除條件」一節。

圖 3：規則設定

修改規則集中的所有規則

「設定」部分會顯示規則集內所有規則的設定。您可以修改設定，根據貴機構的使用情況和需求，建立精選的偵測項目。

• 精確規則：找出惡意行為，且可信度高，誤判的情形較少，因為規則的性質較為明確。

• 廣泛規則：找出可能具有惡意的行為或異常狀況，但由於規則較為一般，誤判的機率通常較高。

• 狀態：將相應的「狀態」選項設為「已啟用」，即可將規則狀態設為精確或廣泛。

• 快訊：將「快訊」選項設為「開啟」，即可啟用快訊功能，接收相應精確或廣泛規則建立的偵測結果。

設定規則排除條件

如要管理 GCTI 精選偵測項目的快訊量，可以設定規則排除項目。詳情請參閱「設定規則排除項目」。

查看精選偵測項目

您可以在「精選偵測項目」檢視畫面中查看任何精選偵測項目。您可以在這個檢視畫面中檢查與規則相關的任何偵測結果，並從時間軸樞轉至其他檢視畫面，例如資產檢視畫面。

如要開啟精選偵測檢視畫面，請完成下列步驟：

1. 點選「Dashboard」(資訊主頁)。

2. 按一下「規則」欄中的規則名稱連結。

後續步驟

• 調查 GCTI 快訊
• 調整這個類別中規則集傳回的快訊

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。