GCTI-Benachrichtigung prüfen

Unterstützt in:

Google Cloud Threat Intelligence-Benachrichtigungen (GCTI) basieren sowohl auf der internen Infrastruktur zur Bedrohungserkennung von Google als auch auf der Forschung von GCTI-Sicherheitsanalysten.

Für Google Security Operations-Kunden werden GCTI-Benachrichtigungen auf der Seite Alerts and IOCs (Benachrichtigungen und IOCs) angezeigt. Sie befinden sich in der Spalte Quelle. Von GCTI generierte Benachrichtigungen werden als Ausgewählte Erkennungen gekennzeichnet.

GCTI-Benachrichtigung ansehen

So rufen Sie Ihre GCTI-Benachrichtigungen auf:

  1. Klicken Sie in der Navigationsleiste auf Detection > Alerts and IOCs (Erkennung > Benachrichtigungen und IOCs).
  2. Auf dem Tab Quelle werden GCTI-Benachrichtigungen als Kuratierte Erkennungen gekennzeichnet. Klicken Sie auf Quelle, damit alle Benachrichtigungen mit dem Tag Kuratierte Erkennungen oben angezeigt werden.
  3. Klicken Sie in der Spalte Name auf den Link der Benachrichtigung, die Sie untersuchen möchten.

Wenn Sie in der Spalte Name auf den Text klicken, wird eine Seite mit drei Tabs geöffnet: Übersicht, Diagramm und Benachrichtigungsverlauf. Diagramm: Ein interaktives Diagramm, mit dem Sie Ihre Suche erweitern können. Im Benachrichtigungsverlauf finden Sie wichtige Informationen zur Benachrichtigung.

Eine Anleitung zur Verwendung von Diagramm und Benachrichtigungsverlauf finden Sie unter Benachrichtigung untersuchen.

Im Dashboard Abgestimmte Erkennungen befinden sich alle GCTI-bezogenen Regeln.

So rufen Sie das Dashboard Kuratierte Erkennungen auf:

  1. Klicken Sie in der Navigationsleiste auf Erkennung > Regeln und Erkennungen.
  2. Es gibt vier Tabs: Regel-Dashboard, Regel-Editor, Kuratierte Erkennungen und Ausschlüsse. Klicken Sie auf Ausgewählte Erkennungen. Unter Curated Detections (Kuratierte Erkennungen) finden Sie alle GCTI-Regeln und die von ihnen generierten Benachrichtigungen.

GCTI-Regeln untersuchen

Über der Tabelle befinden sich zwei Tabs: Regelsätze und Dashboard.

Unter Regelsätze finden Sie eine Tabelle mit allen Regeln und Regelsätzen (Gruppen von Regeln, die zusammen verwendet werden). Auf diesem Tab haben Sie folgende Möglichkeiten:

  • Bereiche minimieren oder maximieren
  • Benachrichtigungen und Status aktivieren oder deaktivieren
  • Mithilfe der Kästchen in der linken Ecke der Tabelle können Sie Änderungen auf einen einzelnen Regelsatz oder auf alle Regelsätze anwenden.

Ausgewählte Erkennungen

Im Bereich Dashboard werden die Regeln nach Kategorie getrennt angezeigt.

Regeldashboard

Wenn Sie im Bereich Dashboard auf eine Benachrichtigung klicken, wird eine Seite mit einer Zeitachse der letzten Erkennungen für diese Benachrichtigung geöffnet.

Genaue und allgemeine Regeln verwenden

Es gibt zwei Arten von Regeln in Regelsätzen: Präzise und Weit gefasst. Sie können Genaue oder Weitgehende Regeln je nach Art der Suche separat aktivieren oder deaktivieren.

  • Genaue Regeln erkennen schädliches Verhalten mit höherer Konfidenz und weniger falsch positiven Ergebnissen, da sie spezifischer sind.
  • Mit allgemeinen Regeln können Sie Verhalten erkennen, das potenziell schädlich oder anomal ist. Da diese Regeln allgemeiner sind als die genauen, ist die Wahrscheinlichkeit für falsch positive Ergebnisse höher.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten