Usa las detecciones seleccionadas para identificar amenazas

Compatible con:

El equipo de Google Threat Intelligence (GCTI) ofrece análisis de amenazas predefinidos. Como parte de estas detecciones seleccionadas, el GCTI proporciona y administra un conjunto de reglas de YARA-L para ayudar a los clientes a identificar amenazas para su empresa.

Las reglas administradas por el GCTI hacen lo siguiente:

  • Proporcionar a los clientes estadísticas prácticas inmediatas que se pueden usar con sus datos ingeridos

  • Aprovecha la Inteligencia sobre amenazas de Google, ya que proporciona a los clientes una forma de usar esta información a través de detecciones seleccionadas.

En este documento, se resumen los pasos necesarios para usar las detecciones seleccionadas y, así, identificar amenazas. También se explica cómo habilitar los conjuntos de reglas de detección seleccionadas, ver las detecciones que generan los conjuntos de reglas y analizar las alertas.

Transfiere los datos requeridos

Cada conjunto de reglas se diseñó para identificar patrones en fuentes de datos específicas y puede requerir un conjunto diferente de datos, incluidos los siguientes:

  • Datos de eventos: Describen las actividades y los eventos que ocurrieron en relación con los servicios.
  • Datos de contexto: Describen las entidades, los dispositivos, los servicios o los usuarios definidos en los datos del evento. También se denominan datos de entidades.

En la documentación que describe cada conjunto de reglas, también revisa los datos necesarios que requiere el conjunto de reglas.

Verifica la transferencia de datos

Los siguientes métodos están disponibles para verificar la transferencia de datos correcta:

  • Panel de Data Ingestion and Health: Te permite supervisar la transferencia desde todas las fuentes.
  • Reglas de prueba de detección administrada: Habilita las reglas de prueba para verificar que los datos entrantes requeridos existan y tengan el formato que requiere el conjunto de reglas de detección específicas seleccionadas.

Usa el panel de Data Ingestion and Health

Usa el panel precompilado del SIEM, llamado Data Ingestion and Health, que proporciona información sobre el tipo y el volumen de datos que se transfieren. Los datos recién incorporados deberían aparecer en el panel en un plazo de aproximadamente 30 minutos. Para obtener más información, consulta Usa paneles de SIEM.

(Opcional) Usa reglas de prueba de pruebas de detección administradas

Algunas categorías también se proporcionan como un conjunto de reglas de prueba que pueden ayudarte a verificar que los datos requeridos para cada conjunto de reglas tengan el formato correcto.

Estas reglas de prueba se encuentran en la categoría Pruebas de detección administradas. Cada conjunto de reglas valida que los datos recibidos por el dispositivo de prueba tengan el formato esperado por las reglas para esa categoría especificada.

Esto es útil si deseas verificar la configuración de la transferencia o solucionar un problema. Para obtener información detallada sobre cómo usar estas reglas de prueba, consulta Verifica la transferencia de datos con reglas de prueba.

Habilita conjuntos de reglas

Las detecciones seleccionadas son estadísticas de amenazas que se entregan como conjuntos de reglas de YARA-L y que te ayudan a identificar amenazas para tu empresa. Estos conjuntos de reglas hacen lo siguiente:

  • Proporcionarte inteligencia práctica inmediata que se puede usar en relación con sus datos ingeridos
  • Usar Google Threat Intelligence, ya que te proporciona una forma de usar esta información

Cada conjunto de reglas identifica un patrón específico de actividad sospechosa. Para habilitar y ver detalles sobre los conjuntos de reglas, haz lo siguiente:

  1. Selecciona Detecciones > Reglas y detecciones en el menú principal. La pestaña predeterminada es Detecciones seleccionadas y la vista predeterminada es la de conjuntos de reglas.
  2. Haz clic en Curated Detections para abrir la vista Rule Sets.
  3. Selecciona un conjunto de reglas en la categoría Amenazas de Cloud, como CDIR SCC Enhanced Exfiltration Alerts.
  4. Establece Estado en Habilitado y Alertas en Activado para las reglas Generales y Precisas. Las reglas evaluarán los datos entrantes para detectar patrones que coincidan con la lógica de las reglas. Con Estado = Habilitado, las reglas generan una detección cuando se encuentra una coincidencia de patrón. Con Alerting = On, las reglas también generan una alerta cuando se encuentra una coincidencia de patrón.

Para obtener información sobre cómo trabajar con la página de detecciones seleccionadas, consulta lo siguiente:

Si no recibes detecciones ni alertas después de habilitar un conjunto de reglas, puedes realizar pasos para activar una o más reglas de prueba que verifiquen que se reciban los datos necesarios para el conjunto de reglas y que tengan el formato correcto. Para obtener más información, consulta Cómo verificar la transferencia de datos de registro.

Identificar las detecciones creadas por el conjunto de reglas

En el panel de detecciones seleccionadas, se muestra información sobre cada regla que generó una detección en tus datos. Para abrir el panel de detección seleccionada, haz lo siguiente:

  1. Selecciona Detecciones > Reglas y detecciones en el menú principal.
  2. Haz clic en Curated Detections > Dashboard para abrir la vista del panel. Verás una lista de los conjuntos de reglas y las reglas individuales que generaron detecciones. Las reglas se agrupan por conjunto de reglas.
  3. Ve al conjunto de reglas que te interese, como CDIR SCC Enhanced Exfiltration Alerts.
  4. Para ver las detecciones que generó una regla específica, haz clic en ella. Se abrirá la página Detecciones, en la que se muestran las detecciones y los datos de la entidad o el evento que generaron la detección.
  5. Puedes filtrar y buscar los datos en esta vista.

Para obtener más información, consulta Cómo ver las detecciones seleccionadas y Cómo abrir el panel de detecciones seleccionadas.

Ajusta las alertas que devuelven uno o más conjuntos de reglas

Es posible que las detecciones seleccionadas generen demasiadas detecciones o alertas. Puedes reducir la cantidad de detecciones que genera una regla o un conjunto de reglas con las exclusiones de reglas. Las exclusiones de reglas solo se usan con las detecciones seleccionadas, no con las reglas personalizadas.

Una exclusión de regla define los criterios que se usan para excluir un evento de la evaluación del conjunto de reglas o de reglas específicas del conjunto de reglas. Crea una o más exclusiones de reglas para reducir la cantidad de detecciones. Por ejemplo, puedes excluir eventos según los siguientes campos del Modelo de datos unificados (UDM):

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • additional.fields["recipientAccountId"]
  • principal.ip
  • network.http.user_agent

Investiga las alertas creadas por el conjunto de reglas

La página IOC y alertas proporciona contexto sobre la alerta y las entidades relacionadas. Puedes ver detalles sobre una alerta, administrarla y ver las relaciones con las entidades.

  1. En el menú principal, selecciona Detections > Alerts & IOCs. En la vista Alertas, se muestra una lista de las alertas generadas por todas las reglas.
  2. Selecciona el período para filtrar la lista de alertas.
  3. Filtra la lista por nombre del conjunto de reglas, como CDIR SCC Enhanced Exfiltration. También puedes filtrar la lista por nombre de regla, como SCC: BigQuery Exfiltration to Google Drive with DLP Context.
  4. Haz clic en una alerta de la lista para abrir la página Alertas y IOC.
  5. En la pestaña Alertas y IOC > Descripción general, se muestran detalles sobre la alerta.

Recopila contexto de investigación con el gráfico de entidades

En la pestaña Alerts & IOCs > Graph, se muestra un gráfico de alertas que representa visualmente las relaciones entre una alerta y otras alertas, o entre una alerta y otras entidades.

  1. En el menú principal, selecciona Detecciones > Alertas y IOC. En la vista Alertas, se muestra una lista de las alertas generadas por todas las reglas.
  2. Selecciona el período para filtrar la lista de alertas.
  3. Filtra la lista por el nombre del conjunto de reglas, como CDIR SCC Enhanced Exfiltration. También puedes filtrar la lista por el nombre de la regla, como SCC: BigQuery Exfiltration to Google Drive with DLP Context.
  4. Haz clic en una alerta de la lista para abrir la página Alertas y IOC.
  5. En la pestaña Alerts & IOCs > Graph, se muestra el gráfico de alertas.
  6. Selecciona un nodo en el gráfico de alertas para ver sus detalles.

Puedes usar la función de búsqueda del UDM durante tu investigación para recopilar contexto adicional sobre los eventos relacionados con la alerta original. La Búsqueda de UDM te permite encontrar eventos y alertas de UDM generados por reglas. La búsqueda en el UDM incluye una variedad de opciones de búsqueda que te permiten navegar por tus datos del UDM. Puedes buscar eventos de UDM individuales y grupos de eventos de UDM relacionados con términos de búsqueda específicos.

Selecciona Buscar en el menú principal para abrir la página Búsqueda en UDM.

Para obtener información sobre las búsquedas de UDM, consulta Cómo realizar una búsqueda de UDM. Si deseas obtener orientación para escribir consultas de UDM Search optimizadas para el rendimiento y las capacidades de la función, consulta las prácticas recomendadas de UDM Search.

Crea una respuesta a partir de una alerta

Si una alerta o detección requiere una respuesta ante incidentes, puedes iniciar la respuesta con las funciones de SOAR. Para obtener más información, consulta Descripción general de los casos y Descripción general de la pantalla de Playbooks.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.