使用精选检测来识别威胁

支持的语言:

Google Threat Intelligence (GCTI) 团队提供预定义的威胁分析。作为这些精选检测规则的一部分,GCTI 提供并管理一组 YARA-L 规则,以帮助客户识别企业面临的威胁。

GCTI 管理的规则会执行以下操作:

  • 为客户提供可立即采取行动的智能分析,以便客户根据提取的数据采取行动。

  • 通过精选的检测功能,为客户提供使用 Google 威胁情报的方式。

本文档总结了使用精选检测来识别威胁所需的步骤,包括如何启用精选检测规则集、查看规则集生成的检测结果以及调查提醒。

提取所需的数据

每个规则集都旨在识别特定数据源中的模式,可能需要不同的数据集,包括以下数据:

  • 活动数据:描述与服务相关的活动和事件。
  • 上下文数据:描述事件数据中定义的实体、设备、服务或用户。也称为实体数据。

在描述每个规则集的文档中,还要查看规则集所需的数据。

验证数据注入

您可以使用以下方法来验证数据注入是否成功:

  • “数据注入和健康状况”信息中心:可用于监控来自所有来源的数据注入情况。
  • 受管检测测试规则:启用测试规则,以验证所需传入的数据是否存在,以及是否符合特定精选检测规则集所需的格式。

使用“数据注入和健康状况”信息中心

使用预建的 SIEM 信息中心(称为“数据提取和运行状况”),该信息中心提供有关提取的数据类型和数量的信息。新提取的数据应会在大约 30 分钟内显示在信息中心内。如需了解详情,请参阅使用 SIEM 信息中心

(可选)使用受管检测测试规则

某些类别还提供了一组测试规则,可帮助您验证每个规则集所需的数据是否采用正确的格式。

这些测试规则位于受管理的检测测试类别下。每个规则集都会验证测试设备接收的数据是否符合相应指定类别的规则所要求的格式。

如果您想验证数据提取设置或排查问题,此功能非常有用。如需详细了解如何使用这些测试规则,请参阅使用测试规则验证数据注入

启用规则集

精选检测规则是以 YARA-L 规则集形式提供的威胁分析,可帮助您找出针对企业的威胁。这些规则集执行以下操作:

  • 为您提供可立即采取行动的情报,以便您根据其提取的数据采取行动。
  • 通过提供使用这些信息的方式来使用 Google Threat Intelligence。

每个规则集都用于识别特定的可疑活动模式。如需启用和查看规则集的详细信息,请执行以下操作:

  1. 从主菜单中依次选择检测 > 规则和检测。 默认标签页为精选检测,默认视图为规则集。
  2. 点击精选检测以打开规则集视图。
  3. 选择“云威胁”类别中的规则集,例如 CDIR SCC 增强型数据渗出提醒
  4. 状态设置为已启用,并将提醒设置为开启,以同时启用宽泛精确规则。规则将评估传入的数据,以查找与规则逻辑匹配的模式。如果将状态设为已启用,则当找到匹配的模式时,规则会生成检测结果。如果 Alerting = On,则当找到模式匹配项时,规则还会生成提醒。

如需了解如何使用“精选检测”页面,请参阅以下内容:

如果您在启用规则集后未收到检测结果或提醒,可以执行一些步骤来触发一个或多个测试规则,以验证系统是否正在接收规则集所需的数据,以及数据格式是否正确。如需了解详情,请参阅验证日志数据注入

确定规则集创建的检测

精选检测信息中心会显示针对您的数据生成检测结果的每条规则的相关信息。如需打开精选的检测信息中心,请执行以下操作:

  1. 从主菜单中依次选择检测 > 规则和检测
  2. 依次点击 Curated Detections > Dashboard,打开“信息中心”视图。您会看到生成检测结果的规则集和单个规则的列表。 规则按规则集分组。
  3. 前往感兴趣的规则集,例如 CDIR SCC 增强型数据渗出提醒
  4. 如需查看特定规则生成的检测结果,请点击相应规则。系统会打开检测结果页面,其中显示检测结果以及生成检测结果的实体或事件数据。
  5. 您可以在此视图中过滤和搜索数据。

如需了解详情,请参阅查看精选检测结果打开精选检测信息中心

调整一个或多个规则集返回的提醒

您可能会发现,精选检测会生成过多的检测结果或提醒。 您可以使用规则排除项来减少规则或规则集生成的检测次数。规则排除项仅适用于精选检测,而不适用于自定义规则。

规则排除项定义了用于排除某个事件(使其不被规则集或规则集中的特定规则评估)的条件。创建一条或多条规则排除项,以帮助减少检测量。例如,您可以根据以下统一数据模型 (UDM) 字段排除事件:

  • metadata.product_event_type
  • principal.user.userid
  • target.resource.name
  • target.resource.product_object_id
  • additional.fields["recipientAccountId"]
  • principal.ip
  • network.http.user_agent

调查规则集创建的提醒

提醒和 IOC 页面会提供有关提醒和相关实体的背景信息。您可以查看提醒的详细信息、管理提醒,以及查看与实体的关系。

  1. 从主菜单中依次选择检测 > 提醒和 IOC提醒视图会显示所有规则生成的提醒的列表。
  2. 选择时间范围以过滤提醒列表。
  3. 按规则集名称过滤列表,例如 CDIR SCC 增强型数据渗漏。 您还可以按规则名称过滤列表,例如 SCC:使用 DLP 上下文将 BigQuery 数据渗漏到 Google 云端硬盘
  4. 点击列表中的提醒,打开提醒和 IOC 页面。
  5. 提醒和 IOC > 概览标签页会显示有关提醒的详细信息。

使用实体图收集调查背景信息

提醒和 IOC > 图表标签页会显示一个提醒图表,直观地呈现提醒与其他提醒之间或提醒与其他实体之间的关系。

  1. 在主菜单中,依次选择检测 > 提醒和 IOC提醒视图会显示所有规则生成的提醒的列表。
  2. 选择时间范围以过滤提醒列表。
  3. 按规则集名称过滤列表,例如 CDIR SCC Enhanced Exfiltration。您还可以按规则名称过滤列表,例如 SCC:使用 DLP 上下文将 BigQuery 数据渗入 Google 云端硬盘
  4. 点击列表中的提醒,打开提醒和 IOC 页面。
  5. 系统会显示提醒和 IOC > 图表标签页,其中包含提醒图表。
  6. 选择提醒图中的某个节点,即可查看有关该节点的详细信息。

您可以在调查期间使用 UDM 搜索功能,收集与原始提醒相关的事件的更多背景信息。借助 UDM 搜索,您可以查找规则生成的 UDM 事件和提醒。UDM 搜索包含多种搜索选项,可让您轻松浏览 UDM 数据。您可以搜索单个 UDM 事件,也可以搜索与特定搜索字词相关的一组 UDM 事件。

从主菜单中选择搜索,打开 UDM 搜索页面。

如需了解 UDM 搜索查询,请参阅输入 UDM 搜索查询。 如需了解如何撰写针对功能性能和功能进行优化的 UDM 搜索查询,请参阅 UDM 搜索最佳实践

根据提醒创建响应

如果某项提醒或检测需要进行突发事件响应,您可以使用 SOAR 功能来启动响应。如需了解详情,请参阅案例概览“剧本”界面概览

后续步骤

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。