Utilizzare i rilevamenti selezionati per identificare le minacce

Il team di Google Threat Intelligence (GCTI) offre analisi delle minacce predefinite. Nell'ambito di questi rilevamenti curati, GCTI fornisce e gestisce un insieme di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda.

Le regole gestite da GCTI svolgono le seguenti operazioni:

• Fornire ai clienti informazioni immediatamente utilizzabili che possono essere utilizzate rispetto ai dati importati.

• Sfrutta Google Threat Intelligence fornendo ai clienti un modo per utilizzare queste informazioni tramite rilevamenti curati.

Questo documento riassume i passaggi necessari per utilizzare i rilevamenti curati per identificare le minacce, tra cui come attivare i set di regole di rilevamento curati, visualizzare i rilevamenti generati dai set di regole ed esaminare gli avvisi.

Importare i dati richiesti

Ogni insieme di regole è stato progettato per identificare pattern in origini dati specifiche e potrebbe richiedere un insieme diverso di dati, tra cui:

• Dati sugli eventi: descrivono le attività e gli eventi che si sono verificati in relazione ai servizi.
• Dati di contesto: descrivono le entità, i dispositivi, i servizi o gli utenti definiti nei dati evento. Questi dati sono chiamati anche dati delle entità.

Nella documentazione che descrive ogni insieme di regole, esamina anche i dati richiesti dall'insieme di regole.

Verificare l'importazione dei dati

Sono disponibili i seguenti metodi per verificare l'importazione dati:

• Dashboard Importazione dati e Integrità: consente di monitorare l'importazione da tutte le origini.
• Regole di test di Managed Detection Testing: attiva le regole di test per verificare che i dati in entrata richiesti esistano e siano nel formato richiesto dal set di regole di rilevamento curate specifico.

Utilizzare la dashboard Ingestione e integrità dei dati

Utilizza la dashboard SIEM predefinita, chiamata Ingestione e integrità dei dati, che fornisce informazioni sul tipo e sul volume dei dati importati. I dati appena importati dovrebbero essere visualizzati nella dashboard entro circa 30 minuti. Per informazioni, vedi Utilizzare le dashboard SIEM.

(Facoltativo) Utilizzare le regole di test di Managed Detection Testing

Alcune categorie vengono fornite anche come insieme di regole di test che possono aiutarti a verificare che i dati richiesti per ogni insieme di regole siano nel formato corretto.

Queste regole di test rientrano nella categoria Test di rilevamento gestito. Ogni insieme di regole verifica che i dati ricevuti dal dispositivo di test siano nel formato previsto dalle regole per la categoria specificata.

Questa opzione è utile se vuoi verificare la configurazione dell'importazione o se vuoi risolvere un problema. Per la procedura dettagliata su come utilizzare queste regole di test, vedi Verificare l&#39importazione datii utilizzando le regole di test.

Attivare le serie di regole

I rilevamenti curati sono analisi delle minacce fornite come set di regole YARA-L che ti aiutano a identificare le minacce alla tua azienda. Questi set di regole svolgono le seguenti operazioni:

• Fornirti informazioni immediatamente utilizzabili che possono essere utilizzate rispetto ai dati inseriti.
• Utilizzare Google Threat Intelligence fornendoti un modo per utilizzare queste informazioni.

Ogni insieme di regole identifica un pattern specifico di attività sospetta. Per attivare e visualizzare i dettagli sui set di regole:

1. Seleziona Rilevamenti > Regole e rilevamenti dal menu principale. La scheda predefinita è Rilevamenti curati e la visualizzazione predefinita è quella dei set di regole.
2. Fai clic su Rilevamenti curati per aprire la visualizzazione Set di regole.
3. Seleziona un insieme di regole nella categoria Cloud Threats, ad esempio CDIR SCC Enhanced Exfiltration Alerts.
4. Imposta Stato su Attivato e Avvisi su On per le regole Generali e Precise. Le regole valuteranno i dati in arrivo per individuare pattern che corrispondono alla logica delle regole. Se Stato = Attivato, le regole generano un rilevamento quando viene trovata una corrispondenza di pattern. Se Avvisi = On, le regole generano anche un avviso quando viene trovata una corrispondenza di pattern.

Per informazioni sull'utilizzo della pagina delle rilevazioni curate, consulta quanto segue:

• Pagina Rilevamenti selezionati e set di regole
• Visualizzare i dettagli di un insieme di regole

Se non ricevi rilevamenti o avvisi dopo aver attivato un insieme di regole, puoi eseguire i passaggi per attivare una o più regole di test che verificano che i dati richiesti per l'insieme di regole vengano ricevuti e siano nel formato corretto. Per ulteriori informazioni, vedi Verificare l'importazione dei dati di log.

Identificare i rilevamenti creati dal set di regole

La dashboard delle rilevazioni curate mostra informazioni su ogni regola che ha generato una rilevazione nei tuoi dati. Per aprire la dashboard di rilevamento curata:

1. Seleziona Rilevamenti > Regole e rilevamenti dal menu principale.
2. Fai clic su Rilevamenti curati > Dashboard per aprire la visualizzazione Dashboard. Vedrai un elenco di set di regole e singole regole che hanno generato rilevamenti. Le regole sono raggruppate per set di regole.
3. Vai al set di regole che ti interessa, ad esempio CDIR SCC Enhanced Exfiltration Alerts.
4. Per visualizzare i rilevamenti generati da una regola specifica, fai clic sulla regola. Si apre la pagina Rilevamenti, che mostra i rilevamenti, nonché i dati di entità o eventi che li hanno generati.
5. Puoi filtrare e cercare i dati in questa visualizzazione.

Per saperne di più, consulta Visualizzare i rilevamenti curati e Aprire la dashboard dei rilevamenti curati.

Ottimizzare gli avvisi restituiti da uno o più insiemi di regole

Potresti scoprire che i rilevamenti curati generano troppi rilevamenti o avvisi. Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole. Le esclusioni delle regole vengono utilizzate solo con i rilevamenti selezionati e non con le regole personalizzate.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Ad esempio, puoi escludere eventi in base ai seguenti campi del Unified Data Model (UDM):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Esaminare gli avvisi creati dal set di regole

La pagina Avvisi e IOC fornisce il contesto dell'avviso e delle entità correlate. Puoi visualizzare i dettagli di un avviso, gestirlo e visualizzare le relazioni con le entità.

1. Seleziona Rilevamenti > Avvisi e IOC dal menu principale. La visualizzazione Avvisi mostra un elenco degli avvisi generati da tutte le regole.
2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
3. Filtra l'elenco in base al nome del set di regole, ad esempio CDIR SCC Enhanced Exfiltration. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
5. La scheda Avvisi e indicatori di compromissione > Panoramica mostra i dettagli dell'avviso.

Raccogliere il contesto investigativo utilizzando il grafico delle entità

La scheda Avvisi e IOC > Grafico mostra un grafico degli avvisi che rappresenta visivamente le relazioni tra un avviso e altri avvisi o tra un avviso e altre entità.

1. Seleziona Rilevamenti > Avvisi e IOC dal menu principale. La visualizzazione Avvisi mostra un elenco degli avvisi generati da tutte le regole.
2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
3. Filtra l'elenco in base al nome del set di regole, ad esempio CDIR SCC Enhanced Exfiltration. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
5. La scheda Avvisi e IOC > Grafico mostra il grafico degli avvisi.
6. Seleziona un nodo nel grafico degli avvisi per visualizzarne i dettagli.

Raccogliere il contesto investigativo utilizzando la ricerca UDM

Puoi utilizzare la funzionalità di ricerca UDM durante l'indagine per raccogliere ulteriore contesto sugli eventi correlati all'avviso originale. UDM Search ti consente di trovare eventi UDM e avvisi generati dalle regole. La ricerca UDM include una serie di opzioni di ricerca, che ti consentono di navigare tra i dati UDM. Puoi cercare sia singoli eventi UDM sia gruppi di eventi UDM correlati a termini di ricerca specifici.

Seleziona Cerca dal menu principale per aprire la pagina Ricerca UDM.

Per informazioni sulle query di ricerca UDM, consulta Inserire una ricerca UDM. Per indicazioni su come scrivere query di ricerca UDM ottimizzate per il rendimento e le funzionalità della funzionalità, consulta Best practice per la ricerca UDM.

Creare una risposta da un avviso

Se un avviso o un rilevamento richiede una risposta all'incidente, puoi avviarla utilizzando le funzionalità SOAR. Per ulteriori informazioni, consulta Panoramica dei casi e Panoramica della schermata Playbook.

Passaggi successivi

• Esamina i set di regole nei seguenti elementi:

  • Panoramica della categoria Minacce cloud
  • Panoramica della categoria Minacce per Windows
  • Panoramica della categoria Minacce per Linux
  • Panoramica di Risk Analytics per la categoria UEBA

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.