使用精選偵測項目找出威脅
Google Threat Intelligence (GCTI) 團隊提供預先定義的威脅分析。GCTI 會提供並管理一組 YARA-L 規則,協助客戶識別企業威脅,這些規則是精選偵測機制的一部分。
GCTI 管理的規則會執行下列動作:
為顧客提供可立即採取的智慧資訊,用於處理擷取的資料。
運用 Google 威脅情報,透過精選的偵測方式,讓客戶使用這項資訊。
本文將摘要說明使用精選偵測功能識別威脅的必要步驟,包括如何啟用精選偵測規則集、查看規則集產生的偵測結果,以及調查快訊。
擷取必要資料
每組規則都旨在找出特定資料來源的模式,可能需要不同的資料集,包括:
- 事件資料:說明與服務相關的活動和事件。
- 情境資料:說明事件資料中定義的實體、裝置、服務或使用者。這也稱為實體資料。
在說明各規則集的說明文件中,也請查看規則集所需資料。
驗證資料匯入作業
您可以透過下列方法,確認資料擷取作業是否成功:
- 資料擷取和健康狀態資訊主頁:可監控所有來源的擷取作業。
- 受管理偵測測試規則:啟用測試規則,驗證必要的傳入資料是否存在,以及是否符合特定精選偵測規則集的要求格式。
使用資料擷取和健康狀態資訊主頁
使用預建的 SIEM 資訊主頁 (稱為「資料擷取和健康狀態」),瞭解擷取的資料類型和資料量。新擷取的資料應會在約 30 分鐘內顯示在資訊主頁中。詳情請參閱「使用 SIEM 資訊主頁」。
(選用) 使用 Managed Detection Testing 測試規則
部分類別也提供一組測試規則,可協助您確認每個規則集所需的資料格式是否正確。
這些測試規則位於「受管理偵測測試」類別。每組規則都會驗證測試裝置收到的資料是否符合指定類別的規則所預期的格式。
如要驗證擷取設定或排解問題,這項功能就非常實用。如需使用這些測試規則的詳細步驟,請參閱「使用測試規則驗證資料擷取作業」。
啟用規則集
精選偵測功能會以 YARA-L 規則集的形式提供威脅分析,協助您找出企業威脅。這些規則集會執行下列動作:
- 提供可立即採取行動的情報,以對抗擷取的資料。
- 提供使用這類資訊的方式,協助您運用 Google Threat Intelligence。
每組規則都會找出特定模式的可疑活動。如要啟用及查看規則集詳細資料,請按照下列步驟操作:
- 在主選單中依序選取「偵測項目」>「規則與偵測項目」。 預設分頁是「精選偵測」,預設檢視畫面是規則集。
- 按一下「精選偵測」,開啟「規則組合」檢視畫面。
- 在「Cloud Threats」類別中選取規則集,例如「CDIR SCC Enhanced Exfiltration Alerts」。
- 將「廣泛」和「精確」規則的「狀態」設為「已啟用」,並將「警示」設為「開啟」。規則會評估傳入資料是否有符合規則邏輯的模式。如果「狀態」=「已啟用」,規則會在找到相符模式時產生偵測結果。如果「警告」=「開啟」,規則也會在找到相符模式時產生警告。
如要瞭解如何使用精選偵測結果頁面,請參閱下列文章:
啟用規則集後,如果沒有收到偵測結果或快訊,可以執行相關步驟,觸發一或多個測試規則,確認系統是否收到規則集所需的資料,以及資料格式是否正確。詳情請參閱「驗證記錄資料擷取作業」。
找出規則組合建立的偵測項目
精選偵測資訊主頁會顯示每項規則的相關資訊,這些規則會根據您的資料產生偵測結果。如要開啟精選偵測資訊主頁,請按照下列步驟操作:
- 依序選取主選單中的「偵測項目」>「規則與偵測項目」。
- 依序點選「精選偵測結果」 >「資訊主頁」,開啟「資訊主頁」檢視畫面。系統會顯示規則集和個別規則清單,這些規則產生了偵測結果。規則會依規則集分組。
- 前往感興趣的規則集,例如「CDIR SCC Enhanced Exfiltration Alerts」。
- 如要查看特定規則產生的偵測結果,請按一下該規則。系統會開啟「Detections」(偵測結果) 頁面,顯示偵測結果,以及產生偵測結果的實體或事件資料。
- 您可以在這個檢視畫面中篩選及搜尋資料。
詳情請參閱「查看精選偵測結果」和「開啟精選偵測資訊主頁」。
調整一或多個規則集傳回的快訊
您可能會發現,精選偵測項目產生過多偵測結果或快訊。 您可以使用規則排除項目,減少規則或規則集產生的偵測次數。規則排除條件僅適用於精選偵測項目,不適用於自訂規則。
規則排除條件會定義用於排除事件的評估條件,以免規則集或規則集中的特定規則評估事件。建立一或多項規則排除項目,有助於減少偵測量。舉例來說,您可能會根據下列整合式資料模型 (UDM) 欄位排除事件:
metadata.product_event_type
principal.user.userid
target.resource.name
target.resource.product_object_id
additional.fields["recipientAccountId"]
principal.ip
network.http.user_agent
調查規則組合建立的快訊
「快訊與 IOC」頁面會提供快訊和相關實體的背景資訊。您可以查看快訊詳細資料、管理快訊,以及查看與實體的關係。
- 從主選單中依序選取「Detections」>「Alerts & IOCs」。 「快訊」檢視畫面會顯示所有規則產生的快訊清單。
- 選取時間範圍,篩選快訊清單。
- 依規則集名稱篩選清單,例如「CDIR SCC Enhanced Exfiltration」。 您也可以依規則名稱篩選清單,例如「SCC: BigQuery Exfiltration to Google Drive with DLP Context」。
- 按一下清單中的快訊,即可開啟「快訊與 IOC」頁面。
- 「快訊和 IOC」>「總覽」分頁會顯示快訊詳細資料。
使用實體圖表收集調查背景資訊
「快訊和入侵指標」>「圖表」分頁會顯示快訊圖表,以視覺化方式呈現快訊與其他快訊,或快訊與其他實體之間的關係。
- 在主選單中,依序選取「Detections」>「Alerts & IOCs」。「快訊」檢視畫面會顯示所有規則產生的快訊清單。
- 選取時間範圍,篩選快訊清單。
- 依規則集名稱篩選清單,例如「CDIR SCC Enhanced Exfiltration」。您也可以依規則名稱篩選清單,例如「SCC: BigQuery Exfiltration to Google Drive with DLP Context」。
- 按一下清單中的快訊,即可開啟「快訊與 IOC」頁面。
- 「快訊和 IOC」>「圖表」分頁會顯示快訊圖表。
- 在快訊圖表中選取節點,即可查看節點詳細資料。
使用 UDM 搜尋收集調查背景資訊
您可以在調查期間使用 UDM 搜尋功能,收集與原始快訊相關事件的其他背景資訊。您可以使用 UDM 搜尋功能,找出規則產生的 UDM 事件和快訊。UDM 搜尋提供多種搜尋選項,方便您瀏覽 UDM 資料。您可以搜尋個別 UDM 事件,也可以搜尋與特定搜尋字詞相關的 UDM 事件群組。
在主選單中選取「搜尋」,開啟「UDM 搜尋」頁面。
如要瞭解 UDM 搜尋查詢,請參閱「輸入 UDM 搜尋查詢」。 如需撰寫 UDM 搜尋查詢的最佳做法,以及這項功能的功能,請參閱 UDM 搜尋最佳做法。
根據快訊建立回應
如果警報或偵測結果需要事件回應,您可以使用 SOAR 功能啟動回應。詳情請參閱「案件總覽」和「劇本畫面總覽」。
後續步驟
在下列位置查看規則集:
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。