Menggunakan deteksi pilihan untuk mengidentifikasi ancaman
Tim Google Threat Intelligence (GCTI) menawarkan analisis ancaman yang telah ditentukan sebelumnya. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka.
Aturan yang dikelola GCTI melakukan hal berikut:
Memberikan intelijen yang dapat langsung ditindaklanjuti kepada pelanggan yang dapat digunakan terhadap data yang mereka masukkan.
Memanfaatkan Intelijen Ancaman Google dengan memberi pelanggan cara menggunakan informasi ini melalui deteksi yang dikurasi.
Dokumen ini merangkum langkah-langkah yang diperlukan untuk menggunakan deteksi terkurasi guna mengidentifikasi ancaman, termasuk cara mengaktifkan kumpulan aturan deteksi terkurasi, melihat deteksi yang dihasilkan oleh kumpulan aturan, dan menyelidiki pemberitahuan.
Menyerap data yang diperlukan
Setiap set aturan telah dirancang untuk mengidentifikasi pola di sumber data tertentu dan mungkin memerlukan set data yang berbeda, termasuk yang berikut:
- Data peristiwa: menjelaskan aktivitas dan peristiwa yang terjadi terkait dengan layanan.
- Data konteks: menjelaskan entitas, perangkat, layanan, atau pengguna yang ditentukan dalam data peristiwa. Data ini juga disebut data entitas.
Dalam dokumentasi yang menjelaskan setiap set aturan, tinjau juga data yang diperlukan oleh set aturan.
Memverifikasi penyerapan data
Metode berikut tersedia untuk memverifikasi keberhasilan penyerapan data:
- Dasbor Penyerapan dan Kesehatan Data: dasbor ini memungkinkan Anda memantau penyerapan dari semua sumber.
- Aturan pengujian Managed Detection Testing: Aktifkan aturan pengujian untuk memverifikasi bahwa data masuk yang diperlukan ada dan dalam format yang diperlukan oleh set aturan deteksi yang dikurasi tertentu.
Menggunakan dasbor Penyerapan Data dan Kesehatan
Gunakan dasbor SIEM bawaan, yang disebut Penyerapan dan Kesehatan Data, yang memberikan informasi tentang jenis dan volume data yang diserap. Data yang baru dimasukkan akan muncul di dasbor dalam waktu sekitar 30 menit. Untuk mengetahui informasi selengkapnya, lihat Menggunakan dasbor SIEM.
(Opsional) Menggunakan aturan pengujian Managed Detection Testing
Kategori tertentu juga disediakan sebagai kumpulan aturan pengujian yang dapat membantu Anda memverifikasi bahwa data yang diperlukan untuk setiap kumpulan aturan berada dalam format yang benar.
Aturan pengujian ini berada di kategori Pengujian Deteksi Terkelola. Setiap set aturan memvalidasi bahwa data yang diterima oleh perangkat pengujian berada dalam format yang diharapkan oleh aturan untuk kategori yang ditentukan tersebut.
Hal ini berguna jika Anda ingin memverifikasi penyiapan penyerapan atau jika Anda ingin memecahkan masalah. Untuk mengetahui langkah-langkah mendetail tentang cara menggunakan aturan pengujian ini, lihat Memverifikasi penyerapan data menggunakan aturan pengujian.
Mengaktifkan set aturan
Deteksi pilihan adalah analisis ancaman yang disampaikan sebagai set aturan YARA-L yang membantu Anda mengidentifikasi ancaman terhadap perusahaan Anda. Kumpulan aturan ini melakukan hal berikut:
- Memberi Anda intelijen yang dapat langsung ditindaklanjuti yang dapat digunakan terhadap data yang mereka masukkan.
- Menggunakan Google Threat Intelligence dengan memberi Anda cara untuk menggunakan informasi ini.
Setiap set aturan mengidentifikasi pola aktivitas mencurigakan tertentu. Untuk mengaktifkan dan melihat detail tentang kumpulan aturan, lakukan langkah berikut:
- Pilih Deteksi > Aturan & Deteksi dari menu utama. Tab default adalah Deteksi pilihan dan tampilan default adalah set aturan.
- Klik Deteksi yang Dikurasi untuk membuka tampilan Kumpulan Aturan.
- Pilih set aturan dalam kategori Cloud Threats, seperti CDIR SCC Enhanced Exfiltration Alerts.
- Tetapkan Status ke Diaktifkan dan Pemberitahuan ke Aktif untuk aturan Luas dan Presisi. Aturan akan mengevaluasi data yang masuk untuk menemukan pola yang cocok dengan logika aturan. Dengan Status = Diaktifkan, aturan akan menghasilkan deteksi saat kecocokan pola ditemukan. Dengan Pemberitahuan = Aktif, aturan juga menghasilkan pemberitahuan saat kecocokan pola ditemukan.
Untuk mengetahui informasi tentang cara menggunakan halaman deteksi yang dikurasi, lihat artikel berikut:
Jika Anda tidak menerima deteksi atau pemberitahuan setelah mengaktifkan set aturan, Anda dapat melakukan langkah-langkah untuk memicu satu atau beberapa aturan pengujian yang memverifikasi bahwa data yang diperlukan untuk set aturan diterima dan dalam format yang benar. Untuk mengetahui informasi selengkapnya, lihat Memverifikasi penyerapan data log.
Mengidentifikasi deteksi yang dibuat oleh kumpulan aturan
Dasbor deteksi yang dikurasi menampilkan informasi tentang setiap aturan yang menghasilkan deteksi terhadap data Anda. Untuk membuka dasbor deteksi yang dikurasi, lakukan tindakan berikut:
- Pilih Deteksi > Aturan & Deteksi dari menu utama.
- Klik Deteksi yang Dikurasi > Dasbor untuk membuka tampilan Dasbor. Anda akan melihat daftar set aturan dan aturan individual yang menghasilkan deteksi. Aturan dikelompokkan menurut kumpulan aturan.
- Buka set aturan yang diinginkan, seperti CDIR SCC Enhanced Exfiltration Alerts.
- Untuk melihat deteksi yang dihasilkan oleh aturan tertentu, klik aturan tersebut. Tindakan ini akan membuka halaman Deteksi yang menampilkan deteksi, serta data entitas atau peristiwa yang menghasilkan deteksi.
- Anda dapat memfilter dan menelusuri data dalam tampilan ini.
Untuk mengetahui informasi selengkapnya, lihat Melihat deteksi yang dikurasi dan Membuka dasbor deteksi yang dikurasi.
Menyesuaikan pemberitahuan yang ditampilkan oleh satu atau beberapa set aturan
Anda mungkin mendapati bahwa deteksi yang dikurasi menghasilkan terlalu banyak deteksi atau pemberitahuan. Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan. Pengecualian aturan hanya digunakan dengan deteksi pilihan, dan bukan dengan aturan kustom.
Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom Model Data Terpadu (UDM) berikut:
metadata.product_event_type
principal.user.userid
target.resource.name
target.resource.product_object_id
additional.fields["recipientAccountId"]
principal.ip
network.http.user_agent
Menyelidiki pemberitahuan yang dibuat oleh kumpulan aturan
Halaman Pemberitahuan & IOC memberikan konteks tentang pemberitahuan dan entitas terkait. Anda dapat melihat detail tentang notifikasi, mengelola notifikasi, dan melihat hubungan dengan entitas.
- Pilih Detections > Alerts & IOCs dari menu utama. Tampilan Peringatan menampilkan daftar peringatan yang dihasilkan oleh semua aturan.
- Pilih rentang waktu untuk memfilter daftar pemberitahuan.
- Filter daftar menurut nama set aturan, seperti CDIR SCC Enhanced Exfiltration. Anda juga dapat memfilter daftar menurut nama aturan, seperti SCC: BigQuery Exfiltration to Google Drive with DLP Context.
- Klik notifikasi dalam daftar untuk membuka halaman Pemberitahuan & IOC.
- Tab Peringatan & IOC > Ringkasan menampilkan detail tentang peringatan.
Mengumpulkan konteks investigasi menggunakan grafik entitas
Tab Peringatan & IOC > Grafik menampilkan grafik peringatan yang secara visual merepresentasikan hubungan antara peringatan dan peringatan lainnya, atau antara peringatan dan entitas lainnya.
- Pilih Detections > Alerts & IOCs dari menu utama. Tampilan Peringatan menampilkan daftar peringatan yang dihasilkan oleh semua aturan.
- Pilih rentang waktu untuk memfilter daftar pemberitahuan.
- Filter daftar menurut nama set aturan, seperti CDIR SCC Enhanced Exfiltration. Anda juga dapat memfilter daftar menurut nama aturan, seperti SCC: BigQuery Exfiltration to Google Drive with DLP Context.
- Klik notifikasi dalam daftar untuk membuka halaman Pemberitahuan & IOC.
- Tab Alert & IOC > Grafik menampilkan grafik notifikasi.
- Pilih node dalam grafik pemberitahuan untuk melihat detail tentang node tersebut.
Mengumpulkan konteks investigasi menggunakan Penelusuran UDM
Anda dapat menggunakan kemampuan penelusuran UDM selama penyelidikan untuk mengumpulkan konteks tambahan tentang peristiwa yang terkait dengan pemberitahuan asli. Penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan UDM yang dihasilkan oleh aturan. Penelusuran UDM mencakup berbagai opsi penelusuran, sehingga Anda dapat menjelajahi data UDM. Anda dapat menelusuri peristiwa UDM individual dan grup peristiwa UDM yang terkait dengan istilah penelusuran tertentu.
Pilih Penelusuran dari menu utama untuk membuka halaman Penelusuran UDM.
Untuk mengetahui informasi tentang kueri Penelusuran UDM, lihat Memasukkan penelusuran UDM. Untuk panduan tentang cara menulis kueri Penelusuran UDM yang dioptimalkan untuk performa dan kemampuan fitur, lihat Praktik terbaik Penelusuran UDM.
Membuat respons dari pemberitahuan
Jika pemberitahuan atau deteksi memerlukan respons insiden, Anda dapat memulai respons menggunakan fitur SOAR. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kasus dan Ringkasan layar Playbook.
Langkah berikutnya
Tinjau kumpulan aturan di bagian berikut:
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.