Ausgewählte Erkennungen zum Identifizieren von Bedrohungen verwenden

Das Google Threat Intelligence-Team (GCTI) bietet vordefinierte Bedrohungsanalysen. Im Rahmen dieser abgestimmten Erkennungsmechanismen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet sie, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen.

Die von GCTI verwalteten Regeln haben folgende Funktionen:

• Kunden sofort umsetzbare Informationen zur Verfügung stellen, die für ihre aufgenommenen Daten verwendet werden können.

• Nutzt Google Threat Intelligence, indem Kunden die Möglichkeit erhalten, diese Informationen durch kuratierte Erkennungen zu verwenden.

In diesem Dokument werden die Schritte zusammengefasst, die erforderlich sind, um mit kuratierten Erkennungen Bedrohungen zu identifizieren. Dazu gehört auch, wie Sie kuratierte Erkennungsregelsätze aktivieren, von den Regelsätzen generierte Erkennungen ansehen und Benachrichtigungen untersuchen.

Erforderliche Daten aufnehmen

Jeder Regelsatz wurde entwickelt, um Muster in bestimmten Datenquellen zu erkennen. Dazu ist möglicherweise ein anderer Datensatz erforderlich, einschließlich der folgenden:

• Ereignisdaten: Beschreiben Aktivitäten und Ereignisse, die im Zusammenhang mit Diensten aufgetreten sind.
• Kontextdaten: Beschreiben die in den Ereignisdaten definierten Einheiten, Geräte, Dienste oder Nutzer. Diese werden auch als Entitätsdaten bezeichnet.

Sehen Sie sich in der Dokumentation, in der die einzelnen Regelsätze beschrieben werden, auch die erforderlichen Daten an.

Aufnahme von Daten prüfen

Die folgenden Methoden sind verfügbar, um die erfolgreiche Datenaufnahme zu prüfen:

• Dashboard „Datenaufnahme und ‑zustand“: Hier können Sie die Aufnahme aus allen Quellen überwachen.
• Testregeln für Managed Detection Testing: Aktivieren Sie Testregeln, um zu prüfen, ob die erforderlichen eingehenden Daten vorhanden sind und das Format haben, das für den jeweiligen kuratierten Satz von Erkennungsregeln erforderlich ist.

Dashboard „Data Ingestion and Health“ verwenden

Verwenden Sie das vorgefertigte SIEM-Dashboard „Data Ingestion and Health“ (Datenaufnahme und ‑integrität), das Informationen zum Typ und zur Menge der aufgenommenen Daten enthält. Neu aufgenommene Daten sollten innerhalb von etwa 30 Minuten im Dashboard angezeigt werden. Weitere Informationen finden Sie unter SIEM-Dashboards verwenden.

Optional: Testregeln für Managed Detection Testing verwenden

Bestimmte Kategorien werden auch als Gruppe von Testregeln bereitgestellt, mit denen Sie prüfen können, ob die für die einzelnen Regelsätze erforderlichen Daten das richtige Format haben.

Diese Testregeln fallen in die Kategorie Managed Detection Testing (Verwaltetes Erkennungstesten). Jeder Regelsatz prüft, ob die vom Testgerät empfangenen Daten in einem Format vorliegen, das von den Regeln für die angegebene Kategorie erwartet wird.

Das ist nützlich, wenn Sie die Einrichtung der Aufnahme überprüfen oder ein Problem beheben möchten. Eine detaillierte Anleitung zur Verwendung dieser Testregeln finden Sie unter Datenerfassung mit Testregeln überprüfen.

Regelsätze aktivieren

Abgestimmte Erkennungsmechanismen sind Bedrohungsanalysen, die als YARA-L-Regelsätze bereitgestellt werden und Ihnen helfen, Bedrohungen für Ihr Unternehmen zu erkennen. Diese Regelsätze haben folgende Funktionen:

• Sie erhalten sofort umsetzbare Informationen, die auf den aufgenommenen Daten basieren.
• Google Threat Intelligence nutzen, indem wir Ihnen eine Möglichkeit bieten, diese Informationen zu verwenden.

Jeder Regelsatz identifiziert ein bestimmtes Muster verdächtiger Aktivitäten. So aktivieren Sie Regelsätze und rufen Details dazu auf:

1. Wählen Sie im Hauptmenü Erkennungen > Regeln und Erkennungen aus. Der Standardtab ist Kuratierte Erkennungen und die Standardansicht sind Regelsätze.
2. Klicken Sie auf Kuratierte Erkennungen, um die Ansicht Regelsätze zu öffnen.
3. Wählen Sie in der Kategorie „Cloud Threats“ (Cloud-Bedrohungen) ein Regelset aus, z. B. CDIR SCC Enhanced Exfiltration Alerts (CDIR SCC-Benachrichtigungen zu verstärkter Exfiltration).
4. Setzen Sie für die allgemeinen und genauen Regeln jeweils Status auf Aktiviert und Benachrichtigungen auf Ein. Die Regeln werten eingehende Daten auf Muster aus, die der Regellogik entsprechen. Wenn Status = Aktiviert ist, wird durch die Regeln eine Erkennung generiert, wenn eine Musterübereinstimmung gefunden wird. Wenn Benachrichtigungen = Aktiviert ist, wird für die Regeln auch eine Benachrichtigung generiert, wenn eine Musterübereinstimmung gefunden wird.

Informationen zum Arbeiten mit der Seite „Kuratierte Erkennungen“ finden Sie unter:

• Seite „Abgestimmte Erkennungen“ und Regelsätze
• Details zu einem Regelsatz ansehen

Wenn Sie nach dem Aktivieren eines Regelsatzes keine Erkennungen oder Benachrichtigungen erhalten, können Sie Schritte ausführen, um eine oder mehrere Testregeln auszulösen. So lässt sich prüfen, ob die für den Regelsatz erforderlichen Daten empfangen werden und das richtige Format haben. Weitere Informationen finden Sie unter Aufnahme von Logdaten prüfen.

Von Regelsatz erstellte Erkennungen identifizieren

Im Dashboard für kuratierte Erkennungen werden Informationen zu jeder Regel angezeigt, mit der eine Erkennung für Ihre Daten generiert wurde. So öffnen Sie das Dashboard für kuratierte Erkennung:

1. Wählen Sie im Hauptmenü Erkennungen > Regeln und Erkennungen aus.
2. Klicken Sie auf Kuratierte Erkennungen > Dashboard, um die Dashboardansicht zu öffnen. Sie sehen eine Liste der Regelsätze und einzelnen Regeln, die Erkennungen generiert haben. Regeln werden nach Regelsatz gruppiert.
3. Rufen Sie den gewünschten Regelsatz auf, z. B. CDIR SCC Enhanced Exfiltration Alerts (CDIR SCC-Benachrichtigungen zu verstärkter Exfiltration).
4. Wenn Sie die von einer bestimmten Regel generierten Erkennungen aufrufen möchten, klicken Sie auf die Regel. Dadurch wird die Seite Erkennungen geöffnet, auf der die Erkennungen sowie die Entitäts- oder Ereignisdaten angezeigt werden, die die Erkennung ausgelöst haben.
5. Sie können die Daten in dieser Ansicht filtern und durchsuchen.

Weitere Informationen finden Sie unter Kuratierte Erkennungen ansehen und Dashboard für kuratierte Erkennungen öffnen.

Von einem oder mehreren Regelsätzen zurückgegebene Benachrichtigungen optimieren

Möglicherweise werden durch die kuratierten Erkennungen zu viele Erkennungen oder Benachrichtigungen generiert. Mit Regelausschlüssen können Sie die Anzahl der Erkennungen reduzieren, die durch eine Regel oder einen Regelsatz generiert werden. Regelausschlüsse werden nur bei ausgewählten Erkennungen und nicht bei benutzerdefinierten Regeln verwendet.

Mit einem Regelausschluss werden die Kriterien definiert, mit denen ein Ereignis aus der Auswertung durch den Regelsatz oder durch bestimmte Regeln im Regelsatz ausgeschlossen wird. Erstellen Sie einen oder mehrere Regelausschlüsse, um die Anzahl der erkannten Verstöße zu reduzieren. Sie können beispielsweise Ereignisse auf Grundlage der folgenden UDM-Felder (Unified Data Model) ausschließen:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Von Regelsatz erstellte Benachrichtigungen untersuchen

Auf der Seite Benachrichtigungen und IOCs finden Sie Kontextinformationen zur Benachrichtigung und zugehörigen Entitäten. Sie können Details zu einer Benachrichtigung aufrufen, die Benachrichtigung verwalten und Beziehungen zu Entitäten ansehen.

1. Wählen Sie im Hauptmenü Erkennungen > Benachrichtigungen und IOCs aus. In der Ansicht Benachrichtigungen wird eine Liste der Benachrichtigungen angezeigt, die von allen Regeln generiert wurden.
2. Wählen Sie den Zeitraum aus, nach dem die Liste der Benachrichtigungen gefiltert werden soll.
3. Filtern Sie die Liste nach dem Namen des Regelsatzes, z. B. CDIR SCC Enhanced Exfiltration (CDIR SCC Enhanced Exfiltration). Sie können die Liste auch nach dem Namen der Regel filtern, z. B. SCC: BigQuery Exfiltration to Google Drive with DLP Context (SCC: BigQuery-Exfiltration zu Google Drive mit DLP-Kontext).
4. Klicken Sie auf eine Benachrichtigung in der Liste, um die Seite Benachrichtigungen und IOCs zu öffnen.
5. Auf dem Tab Benachrichtigungen und IOCs > Übersicht werden Details zur Benachrichtigung angezeigt.

Kontext für die Untersuchung mithilfe des Entitätsdiagramms erfassen

Auf dem Tab Benachrichtigungen und IOCs > Diagramm wird ein Benachrichtigungsdiagramm angezeigt, in dem Beziehungen zwischen einer Benachrichtigung und anderen Benachrichtigungen oder zwischen einer Benachrichtigung und anderen Entitäten visuell dargestellt werden.

1. Wählen Sie im Hauptmenü Erkennungen > Benachrichtigungen und IOCs aus. In der Ansicht Benachrichtigungen wird eine Liste der Benachrichtigungen angezeigt, die von allen Regeln generiert wurden.
2. Wählen Sie den Zeitraum aus, nach dem die Liste der Benachrichtigungen gefiltert werden soll.
3. Filtern Sie die Liste nach dem Namen des Regelsatzes, z. B. CDIR SCC Enhanced Exfiltration. Sie können die Liste auch nach dem Namen der Regel filtern, z. B. SCC: BigQuery Exfiltration to Google Drive with DLP Context (SCC: BigQuery-Exfiltration zu Google Drive mit DLP-Kontext).
4. Klicken Sie auf eine Benachrichtigung in der Liste, um die Seite Benachrichtigungen und IOCs zu öffnen.
5. Auf dem Tab Warnmeldungen und IOCs > Diagramm wird das Warnmeldungsdiagramm angezeigt.
6. Wählen Sie einen Knoten im Benachrichtigungsdiagramm aus, um Details dazu aufzurufen.

Kontext für die Untersuchung mit UDM Search erfassen

Sie können die UDM-Suchfunktion während Ihrer Untersuchung verwenden, um zusätzlichen Kontext zu Ereignissen zu erhalten, die mit der ursprünglichen Benachrichtigung zusammenhängen. Mit der UDM-Suche können Sie UDM-Ereignisse und Benachrichtigungen finden, die von Regeln generiert wurden. Die UDM-Suche bietet eine Vielzahl von Suchoptionen, mit denen Sie Ihre UDM-Daten durchsuchen können. Sie können sowohl nach einzelnen UDM-Ereignissen als auch nach Gruppen von UDM-Ereignissen suchen, die sich auf bestimmte Suchbegriffe beziehen.

Wählen Sie im Hauptmenü Suchen aus, um die Seite UDM-Suche zu öffnen.

Informationen zu UDM Search-Abfragen finden Sie unter UDM-Suche eingeben. Hinweise zum Schreiben von UDM Search-Abfragen, die für Leistung und Funktionen der Funktion optimiert sind, finden Sie unter Best Practices für UDM Search.

Antwort aus einer Benachrichtigung erstellen

Wenn für eine Benachrichtigung oder Erkennung eine Reaktion auf Vorfälle erforderlich ist, können Sie die Reaktion mit SOAR-Funktionen einleiten. Weitere Informationen finden Sie unter Übersicht über Kundenservicetickets und Übersicht über den Bildschirm „Playbooks“.

Nächste Schritte

• Weitere Informationen zu Regelsätzen finden Sie in den folgenden Artikeln:

  • Übersicht über die Kategorie „Cloud-Bedrohungen“
  • Übersicht über die Kategorie „Windows-Bedrohungen“
  • Übersicht über die Kategorie „Linux-Bedrohungen“
  • Übersicht über Risikoanalysen für die UEBA-Kategorie

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten