使用精选检测功能识别威胁

支持的平台:

Google 威胁情报 (GCTI) 团队提供预定义的威胁分析。作为这些精选检测规则的一部分,GTTI 提供并管理一组 YARA-L 规则,以帮助客户识别企业面临的威胁。

GCTI 管理的规则会执行以下操作:

  • 为客户提供可立即付诸行动的智能数据,以便他们对提取的数据进行分析。

  • 为客户提供通过精选检测功能使用 Google 威胁情报的方法,从而充分利用 Google 威胁情报。

本文档总结了使用精选检测功能来识别威胁所需的步骤,包括如何启用精选检测规则集、查看规则集生成的检测结果,以及调查提醒。

提取所需数据

每组规则都旨在识别特定数据源中的模式,并且可能需要一组不同的数据,包括:

  • 事件数据:描述与服务相关的活动和事件。
  • 情境数据:描述事件数据中定义的实体、设备、服务或用户。这也称为实体数据。

在介绍各个规则集的文档中,还应查看规则集所需的数据。

验证数据的提取

您可以使用以下方法验证数据是否已成功提取:

  • “数据提取和运行状况”信息中心:您可以通过此信息中心监控来自所有来源的数据提取情况。
  • 托管式检测测试规则:启用测试规则,以验证所需的传入数据是否存在且格式是否符合特定的管理式检测规则集所需的格式。

使用“数据注入和健康状况”信息中心

使用名为“数据提取和运行状况”的预构建 SIEM 信息中心,了解正在提取的数据类型和数量。新提取的数据应该会在大约 30 分钟内显示在信息中心内。如需了解详情,请参阅使用 SIEM 信息中心

(可选)使用“受管检测测试”测试规则

某些类别还提供了一组测试规则,可帮助您验证每个规则集所需的数据是否采用正确的格式。

这些测试规则位于受管理的检测测试类别下。每组规则都会验证测试设备收到的数据是否采用了相应类别规则所预期的格式。

如果您想验证提取设置或排查问题,这类报告非常有用。如需详细了解如何使用这些测试规则,请参阅使用测试规则验证数据注入

启用规则集

精选检测规则是指以 YARA-L 规则集形式提供的威胁分析,可帮助您识别企业面临的威胁。这些规则集执行以下操作:

  • 为您提供可立即付诸行动的情报,以便您针对提取的数据采取行动。
  • 为您提供使用此类信息的方法,以便您使用 Google 威胁情报。

每组规则都用于识别特定的可疑活动模式。如需启用规则集并查看其详细信息,请执行以下操作:

  1. 从主菜单中依次选择 Detections > Rules & Detections。 默认标签页为精选检测,默认视图为规则集。
  2. 点击精选检测以打开规则集视图。
  3. 在“云端威胁”类别中选择一个规则集,例如 CDIR SCC 增强型渗漏提醒
  4. 宽泛精确规则的状态设置为启用,并将提醒设置为开启。这些规则会评估传入数据,看其中是否存在与规则逻辑匹配的模式。如果状态启用,则当规则找到模式匹配项时,会生成检测。如果将提醒设为开启,则规则在发现模式匹配时也会生成提醒。

如需了解如何使用“精选检测结果”页面,请参阅以下内容:

如果您在启用规则集后未收到检测结果或提醒,可以执行相应步骤来触发一个或多个测试规则,以验证是否正在接收规则集所需的数据,以及这些数据的格式是否正确。如需了解详情,请参阅验证日志数据注入

确定规则集创建的检测

“精选检测”信息中心会显示针对您的数据生成检测结果的每个规则的相关信息。如需打开精选检测信息中心,请执行以下操作:

  1. 从主菜单中依次选择 Detections > Rules & Detections
  2. 依次点击精选检测 > 信息中心,打开“信息中心”视图。您会看到生成检测结果的一组规则和各个规则的列表。规则按规则集分组。
  3. 前往感兴趣的规则集,例如 CDIR SCC 增强型渗漏提醒
  4. 如需查看特定规则生成的检测结果,请点击该规则。此操作会打开检测页面,其中会显示检测结果以及生成检测结果的实体或事件数据。
  5. 您可以在此视图中对数据进行过滤和搜索。

如需了解详情,请参阅查看精选检测打开精选检测信息中心

调整一个或多个规则集返回的提醒

您可能会发现,精选检测会生成过多检测或提醒。您可以使用规则排除对象来减少规则或规则集生成的检测数量。规则排除项仅适用于精选检测,而不适用于自定义规则。

规则排除项用于定义排除事件的条件,以免规则集或规则集中的特定规则对其进行评估。创建一条或多条规则排除项,以帮助减少检测量。例如,您可以根据以下统一数据模型 (UDM) 字段排除事件:

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • target.resource.attribute.labels["Recipient Account Id"]
  • principal.ip
  • network.http.user_agent

调查规则集创建的提醒

提醒和 IOC 页面提供了有关提醒和相关实体的背景信息。您可以查看提醒的详细信息、管理提醒,以及查看与实体的关系。

  1. 从主菜单中依次选择 Detections(检测)> Alerts & IOCs(提醒和入侵检测对象)。 提醒视图会显示所有规则生成的提醒列表。
  2. 选择时间范围以过滤提醒列表。
  3. 按规则集名称(例如 CDIR SCC 增强型渗漏)过滤列表。您还可以按规则名称(例如 SCC:BigQuery 向 Google 云端硬盘渗漏(包含 DLP 情境))过滤列表。
  4. 点击列表中的某个提醒,以打开提醒和 IOC 页面。
  5. 提醒和 IOC > 概览标签页会显示有关提醒的详细信息。

使用实体图收集调查背景信息

提醒和 IOC > 图表标签页会显示提醒图表,以直观的方式表示提醒与其他提醒之间的关系,或提醒与其他实体之间的关系。

  1. 从主菜单中依次选择 Detections(检测)> Alerts & IOCs(提醒和入侵检测对象)。提醒视图会显示由所有规则生成的提醒列表。
  2. 选择时间范围以过滤提醒列表。
  3. 按规则集名称(例如 CDIR SCC 增强型渗漏)过滤列表。您还可以按规则名称过滤列表,例如 SCC:BigQuery 向 Google 云端硬盘渗漏(包含 DLP 情境)
  4. 点击列表中的某个提醒,以打开提醒和 IOC 页面。
  5. 提醒和 IOC > 图表标签页会显示提醒图表。
  6. 在提醒图表中选择一个节点,即可查看该节点的详细信息。

您可以在调查过程中使用 UDM 搜索功能,收集与原始提醒相关事件的更多背景信息。借助 UDM 搜索,您可以查找规则生成的 UDM 事件和提醒。UDM 搜索包含各种搜索选项,可让您浏览 UDM 数据。您可以搜索与特定搜索字词相关的单个 UDM 事件和 UDM 事件组。

从主菜单中选择搜索,打开 UDM 搜索页面。

如需了解 UDM 搜索查询,请参阅输入 UDM 搜索查询。如需有关编写针对功能的性能和功能进行优化的 UDM 搜索查询的指导,请参阅 UDM 搜索最佳实践

根据提醒创建响应

如果提醒或检测需要进行突发事件响应,您可以使用 SOAR 功能发起响应。如需了解详情,请参阅案例概览“Playbook”页面概览

后续步骤