Utilizzare i rilevamenti selezionati per identificare le minacce

Il team di Google Threat Intelligence (GCTI) offre analisi predefinita delle minacce. Nell'ambito di questi rilevamenti selezionati, il GCTI fornisce e gestisce un insieme di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda.

Le regole gestite da Google Trust Center svolgono le seguenti operazioni:

• Fornire ai clienti informazioni immediatamente utilizzabili che possono essere utilizzate in base ai dati importati.

• Sfrutta le informazioni di Google Threat Intelligence fornendo ai clienti un modo per usarle tramite rilevamenti selezionati.

Questo documento riassume i passaggi necessari per utilizzare i rilevamenti selezionati per identificare le minacce, tra cui come attivare gli insiemi di regole di rilevamento selezionati, visualizzare i rilevamenti generati dagli insiemi di regole e esaminare gli avvisi.

Importa i dati richiesti

Ogni insieme di regole è stato progettato per identificare pattern in origini dati specifiche e potrebbe richiedere un insieme diverso di dati, tra cui:

• Dati sugli eventi: descrivono le attività e gli eventi relativi ai servizi.
• Dati di contesto: descrivono le entità, i dispositivi, i servizi o gli utenti definiti nei dati sugli eventi. Questi dati sono noti anche come dati delle entità.

Nella documentazione che descrive ogni insieme di regole, esamina anche i dati richiesti dall'insieme di regole.

Verificare l'importazione dei dati

Per verificare l'importazione dati, sono disponibili i seguenti metodi:

• Dashboard di importazione e integrità dei dati: consente di monitorare l'importazione da tutte le origini.
• Regole di test per i test di rilevamento gestiti: attiva le regole di test per verificare che i dati in entrata richiesti esistano e siano in un formato richiesto dall'insieme di regole di rilevamento selezionate.

Utilizzare la dashboard relativa all'importazione e allo stato dei dati

Utilizza la dashboard SIEM predefinita, chiamata Importazione e integrità dei dati, che fornisce informazioni sul tipo e sul volume di dati importati. I dati appena importati dovrebbero essere visualizzati nella dashboard entro circa 30 minuti. Per informazioni, consulta Utilizzare le dashboard SIEM.

(Facoltativo) Utilizza le regole di test di Managed Detection Testing

Alcune categorie sono fornite anche come insieme di regole di test che possono aiutarti a verificare che i dati richiesti per ogni insieme di regole siano nel formato corretto.

Queste regole di test rientrano nella categoria Test di rilevamento gestito. Ogni insieme di regole convalida che i dati ricevuti dal dispositivo di test siano in un formato previsto dalle regole per la categoria specificata.

Questa opzione è utile se vuoi verificare la configurazione dell'importazione o se vuoi risolvere un problema. Per la procedura dettagliata su come utilizzare queste regole di test, consulta Verificare l'importazione dati utilizzando le regole di test.

Attivare le serie di regole

I rilevamenti selezionati sono analisi delle minacce fornite come set di regole YARA-L che aiutano a identificare le minacce per l'azienda. Questi set di regole svolgono le seguenti operazioni:

• Fornire informazioni immediatamente utilizzabili che possono essere utilizzate in base ai dati importati.
• Utilizzare Google Threat Intelligence fornendoti un modo per utilizzare queste informazioni.

Ogni insieme di regole identifica un pattern specifico di attività sospette. Per attivare e visualizzare i dettagli dei set di regole:

1. Seleziona Rilevamento > Regole e rilevamenti dal menu principale. La scheda predefinita è Rilevamenti selezionati e la visualizzazione predefinita è Set di regole.
2. Fai clic su Rilevamento selezionati per aprire la visualizzazione Insiemi di regole.
3. Seleziona un insieme di regole nella categoria Minacce cloud, ad esempio CDIR SCC Enhanced Exfiltration Alerts.
4. Imposta Stato su Attiva e Avvisi su On sia per le regole Generali che per quelle Precise. Le regole valuteranno i dati in arrivo per rilevare schemi che corrispondono alla logica delle regole. Con Status = Enabled, le regole generano un rilevamento quando viene trovata una corrispondenza con il pattern. Se Avvisi = On, le regole generate anche un avviso quando viene trovata una corrispondenza con il pattern.

Per informazioni su come utilizzare la pagina dei rilevamenti selezionati, consulta quanto segue:

• Pagina Rilevamento selezionati e insiemi di regole
• Visualizzare i dettagli di un insieme di regole

Se non ricevi rilevamenti o avvisi dopo aver attivato un insieme di regole, puoi eseguire i passaggi per attivare una o più regole di test che verificano che i dati richiesti per l'insieme di regole vengano ricevuti e siano nel formato corretto. Per ulteriori informazioni, consulta Verificare l'importazione dei dati dei log.

Identificare i rilevamenti creati dall'insieme di regole

La dashboard dei rilevamenti selezionati mostra informazioni su ogni regola che ha generato un rilevamento nei tuoi dati. Per aprire la dashboard dei rilevamenti selezionati:

1. Seleziona Rilevamento > Regole e rilevamenti dal menu principale.
2. Fai clic su Rilevamento selezionati > Dashboard per aprire la visualizzazione Dashboard. Verrà visualizzato un elenco di insiemi di regole e singole regole che hanno generato rilevamenti. Le regole sono raggruppate per set di regole.
3. Vai al set di regole di interesse, ad esempio Avvisi di esfiltrazione avanzata SCC CDIR.
4. Per visualizzare i rilevamenti generati da una regola specifica, fai clic sulla regola. Si aprirà la pagina Rilevamento, che mostra i rilevamenti, oltre ai dati sulle entità o sugli eventi che li hanno generati.
5. Puoi filtrare e cercare i dati in questa visualizzazione.

Per ulteriori informazioni, vedi Visualizzare i rilevamenti selezionati e Aprire la dashboard dei rilevamenti selezionati.

Ottimizzare gli avvisi restituiti da uno o più insiemi di regole

Potresti scoprire che i rilevamenti selezionati generano troppi rilevamenti o avvisi. Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni di regole. Le esclusioni delle regole vengono utilizzate solo con i rilevamenti selezionati e non con le regole personalizzate.

Un'esclusione di regole definisce i criteri utilizzati per impedire la valutazione di un evento da parte dell'insieme di regole o da regole specifiche nell'insieme di regole. Crea una o più esclusioni di regole per contribuire a ridurre il volume dei rilevamenti. Ad esempio, potresti escludere gli eventi in base ai seguenti campi del modello di dati unificato (UDM):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• target.resource.attribute.labels["Recipient Account Id"]
• principal.ip
• network.http.user_agent

Esaminare gli avvisi creati dall'insieme di regole

La pagina Avvisi e IOC fornisce il contesto relativo all'avviso e alle persone giuridiche correlate. Puoi visualizzare i dettagli di un avviso, gestirlo e visualizzare le relazioni con le entità.

1. Seleziona Rilevamento > Avvisi e indicatori di compromissione dal menu principale. La visualizzazione Avvisi mostra un elenco di avvisi generati da tutte le regole.
2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
3. Filtra l'elenco in base al nome dell'insieme di regole, ad esempio CDIR SCC Enhanced Exfiltration. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: esfiltrazione di BigQuery su Google Drive con contesto DLP.
4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
5. La scheda Avvisi e indicatori di compromissione > Panoramica mostra i dettagli dell'avviso.

Raccogliere il contesto dell'indagine utilizzando il grafico delle entità

La scheda Avvisi e indicatori di compromissione > Grafico mostra un grafico di avvisi che rappresenta visivamente le relazioni tra un avviso e altri avvisi o tra un avviso e altre entità.

1. Seleziona Rilevamenti > Avvisi e indicatori di compromissione dal menu principale. La visualizzazione Avvisi mostra un elenco di avvisi generati da tutte le regole.
2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
3. Filtra l'elenco in base al nome dell'insieme di regole, ad esempio CDIR SCC Enhanced Exfiltration. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: esfiltrazione di BigQuery su Google Drive con contesto DLP.
4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
5. La scheda Avvisi e indicatori di compromissione > Grafico mostra il grafico degli avvisi.
6. Seleziona un nodo nel grafico degli avvisi per visualizzarne i dettagli.

Raccogliere il contesto dell'indagine utilizzando la ricerca UDM

Puoi utilizzare la funzionalità di ricerca di UDM durante l'indagine per raccogliere ulteriore contesto sugli eventi relativi all'avviso originale. La ricerca UDM consente di trovare eventi e avvisi UDM generati dalle regole. La ricerca UDM include una serie di opzioni di ricerca, che ti consentono di navigare nei dati UDM. Puoi cercare sia singoli eventi UDM sia gruppi di eventi UDM correlati a termini di ricerca specifici.

Seleziona Ricerca dal menu principale per aprire la pagina Ricerca UDM.

Per informazioni sulle query di ricerca UDM, consulta Eseguire una ricerca UDM. Per indicazioni su come scrivere query di ricerca UDM ottimizzate per il rendimento e le funzionalità della funzionalità, consulta le best practice per la ricerca UDM.

Creare una risposta da un avviso

Se un avviso o un rilevamento richiede una risposta agli incidenti, puoi avviarla utilizzando le funzionalità SOAR. Per ulteriori informazioni, consulta la Panoramica delle richieste e la Panoramica della schermata Playbook.

Passaggi successivi

• Esamina i set di regole nei seguenti elementi:

  • Panoramica della categoria Minacce cloud
  • Panoramica della categoria Minacce Windows
  • Panoramica della categoria Minacce Linux
  • Panoramica di Risk Analytics per la categoria UEBA