Usar detecções selecionadas para identificar ameaças

A equipe do Google Threat Intelligence (GCTI) oferece análises de ameaças predefinidas. Como parte dessas detecções selecionadas, a GCTI fornece e gerencia um conjunto de regras YARA-L para ajudar os clientes a identificar ameaças à empresa.

As regras gerenciadas pelo GCTI fazem o seguinte:

• Forneça aos clientes insights imediatamente úteis que podem ser usados com os dados ingeridos.

• Aproveita a inteligência de ameaças do Google ao oferecer aos clientes uma maneira de usar essas informações por meio de detecções selecionadas.

Este documento resume as etapas necessárias para usar detecções selecionadas e identificar ameaças, incluindo como ativar conjuntos de regras de detecção selecionadas, ver detecções geradas pelos conjuntos de regras e investigar alertas.

Ingerir os dados necessários

Cada conjunto de regras foi projetado para identificar padrões em fontes de dados específicas e pode exigir um conjunto diferente de dados, incluindo:

• Dados de eventos: descrevem atividades e eventos relacionados aos serviços.
• Dados de contexto: descrevem as entidades, os dispositivos, os serviços ou os usuários definidos nos dados de eventos. Isso também é chamado de dados de entidade.

Na documentação que descreve cada conjunto de regras, revise também os dados necessários para cada um deles.

Verificar a ingestão de dados

Os seguintes métodos estão disponíveis para verificar se a ingestão de dados foi bem-sucedida:

• Painel "Ingestão de dados e integridade": permite monitorar a ingestão de todas as fontes.
• Regras de teste de teste de detecção gerenciada: ative as regras de teste para verificar se os dados de entrada necessários existem e estão em um formato exigido pelo conjunto de regras de detecção selecionadas específico.

Usar o painel de ingestão de dados e saúde

Use o painel do SIEM pré-criado, chamado "Ingestão e integridade de dados", que fornece informações sobre o tipo e o volume de dados ingeridos. Os dados ingeridos recentemente devem aparecer no painel em aproximadamente 30 minutos. Para mais informações, consulte Como usar painéis do SIEM.

(Opcional) Usar regras de teste de teste de detecção gerenciado

Algumas categorias também fornecem um conjunto de regras de teste que podem ajudar você a verificar se os dados necessários para cada conjunto de regras estão no formato correto.

Essas regras de teste estão na categoria Teste de detecção gerenciada. Cada conjunto de regras valida se os dados recebidos pelo dispositivo de teste estão em um formato esperado pelas regras da categoria especificada.

Isso é útil se você quiser verificar a configuração de ingestão ou resolver um problema. Para ver etapas detalhadas sobre como usar essas regras de teste, consulte Verificar a ingestão de dados usando regras de teste.

Ativar conjuntos de regras

As detecções selecionadas são análises de ameaças entregues como conjuntos de regras YARA-L que ajudam você a identificar ameaças à empresa. Esses conjuntos de regras fazem o seguinte:

• Fornecer inteligência imediatamente acionável que pode ser usada contra os dados ingeridos.
• Usar o Google Threat Intelligence fornecendo uma maneira de usar essas informações.

Cada conjunto de regras identifica um padrão específico de atividade suspeita. Para ativar e ver detalhes sobre conjuntos de regras, faça o seguinte:

1. Selecione Detecções > Regras e detecções no menu principal. A guia padrão é Detecções selecionadas, e a visualização padrão é de conjuntos de regras.
2. Clique em Detecções selecionadas para abrir a visualização Conjuntos de regras.
3. Selecione um conjunto de regras na categoria "Ameaças na nuvem", como Alertas de exfiltração avançada do CDIR SCC.
4. Defina Status como Ativado e Alertas como Ativado para as regras Amplas e Precisas. As regras vão avaliar os dados recebidos em busca de padrões que correspondam à lógica da regra. Com Status = Ativado, as regras geram uma detecção quando uma correspondência de padrão é encontrada. Com Alertas = Ativado, as regras também geram um alerta quando uma correspondência de padrão é encontrada.

Para informações sobre como trabalhar com a página de detecções selecionadas, consulte o seguinte:

• Página de detecções selecionadas e conjuntos de regras
• Ver detalhes sobre um conjunto de regras

Se você não receber detecções ou alertas depois de ativar um conjunto de regras, siga as etapas para acionar uma ou mais regras de teste que verificam se os dados necessários para o conjunto de regras estão sendo recebidos e estão no formato correto. Para mais informações, consulte Verificar a ingestão de dados de registro.

Identificar detecções criadas pelo grupo de regras

O painel de detecções selecionadas mostra informações sobre cada regra que gerou uma detecção nos seus dados. Para abrir o painel de detecção selecionada, faça o seguinte:

1. Selecione Detecções > Regras e detecções no menu principal.
2. Clique em Detecções selecionadas > Painel para abrir a visualização do painel. Você vai ver uma lista de conjuntos de regras e regras individuais que geraram detecções. As regras são agrupadas por conjunto de regras.
3. Acesse o conjunto de regras de interesse, como Alertas de exfiltração avançada do SCC do CDIR.
4. Para ver as detecções geradas por uma regra específica, clique nela. Isso abre a página Detecções, que mostra as detecções e os dados de entidade ou evento que as geraram.
5. É possível filtrar e pesquisar os dados nessa visualização.

Para mais informações, consulte Ver detecções selecionadas e Abrir o painel de detecção selecionada.

Ajustar alertas retornados por um ou mais conjuntos de regras

Talvez as detecções selecionadas gerem alertas ou detecções demais. É possível reduzir o número de detecções geradas por uma regra ou um conjunto de regras usando exclusões de regras. As exclusões de regra são usadas apenas com detecções selecionadas, não com regras personalizadas.

Uma exclusão de regra define os critérios usados para impedir que um evento seja avaliado pelo conjunto de regras ou por regras específicas nele. Crie uma ou mais exclusões de regra para reduzir o volume de detecções. Por exemplo, é possível excluir eventos com base nos seguintes campos do Modelo de dados unificado (UDM):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Investigar alertas criados pelo conjunto de regras

A página Alertas e IOCs fornece contexto sobre o alerta e as entidades relacionadas. É possível ver detalhes sobre um alerta, gerenciar o alerta e conferir relações com entidades.

1. Selecione Detecções > Alertas e IOCs no menu principal. A visualização Alertas mostra uma lista de alertas gerados por todas as regras.
2. Selecione o período para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também é possível filtrar a lista por nome da regra, como SCC: Exfiltração do BigQuery para o Google Drive com contexto da DLP.
4. Clique em um alerta na lista para abrir a página Alertas e IOCs.
5. A guia Alertas e IOCs > Visão geral mostra detalhes sobre o alerta.

Reúna o contexto da investigação usando o gráfico de entidades

A guia Alertas e IOCs > Gráfico mostra um gráfico de alertas que representa visualmente as relações entre um alerta e outros alertas ou entre um alerta e outras entidades.

1. Selecione Detecções > Alertas e IOCs no menu principal. A visualização Alertas mostra uma lista de alertas gerados por todas as regras.
2. Selecione o período para filtrar a lista de alertas.
3. Filtre a lista pelo nome do conjunto de regras, como CDIR SCC Enhanced Exfiltration. Também é possível filtrar a lista pelo nome da regra, como SCC: exfiltração do BigQuery para o Google Drive com contexto da DLP.
4. Clique em um alerta na lista para abrir a página Alertas e IOCs.
5. A guia Alertas e IOCs > Gráfico mostra o gráfico de alertas.
6. Selecione um nó no gráfico de alertas para ver detalhes sobre ele.

Reunir contexto investigativo usando a pesquisa do UDM

Você pode usar a pesquisa da UDM durante a investigação para coletar mais contexto sobre eventos relacionados ao alerta original. Com a pesquisa de UDM, é possível encontrar eventos e alertas de UDM gerados por regras. A pesquisa do UDM inclui várias opções de pesquisa para você navegar pelos dados do UDM. É possível pesquisar eventos individuais e grupos de eventos da UDM relacionados a termos de pesquisa específicos.

Selecione Pesquisar no menu principal para abrir a página Pesquisa de UDM.

Para informações sobre consultas de pesquisa do UDM, consulte Inserir uma pesquisa do UDM. Para orientações sobre como escrever consultas de pesquisa da UDM otimizadas para o desempenho e os recursos do recurso, consulte Práticas recomendadas da pesquisa da UDM.

Criar uma resposta com base em um alerta

Se um alerta ou uma detecção exigir uma resposta a incidentes, você poderá iniciar a resposta usando os recursos de SOAR. Para mais informações, consulte Visão geral de casos e Visão geral da tela "Playbooks".

A seguir

• Revise os conjuntos de regras nos seguintes locais:

  • Visão geral da categoria "Ameaças na nuvem"
  • Visão geral da categoria "Ameaças do Windows"
  • Visão geral da categoria "Ameaças do Linux"
  • Visão geral da análise de risco para a categoria UEBA

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.