Esta página se ha traducido con Cloud Translation API.

Investigar una alerta de GCTI

Disponible en:

SecOps de Google SIEM

Las alertas de inteligencia de amenazas de Google Cloud (GCTI) se derivan tanto de la infraestructura interna de detección de amenazas de Google como de la investigación proporcionada por los analistas de seguridad de GCTI.

En el caso de los clientes de Google Security Operations, las alertas de GCTI se muestran en la página Alertas e IOCs. Se encuentran en la columna Fuente. Las alertas que ha generado GCTI se etiquetan como Detecciones seleccionadas.

Ver una alerta de GCTI

Para ver tus alertas de GCTI, sigue estos pasos:

En la barra de navegación, haga clic en Detección > Alertas e IOCs.
En la pestaña Fuente, las alertas de GCTI se etiquetan como Detecciones seleccionadas. Haz clic en Fuente para que todas las alertas con la etiqueta Detecciones seleccionadas se muevan a la parte superior.
Haga clic en el enlace de la columna Nombre de la alerta que quiera investigar.

Si hace clic en el texto de la columna Nombre, se abrirá una página con tres pestañas: Resumen, Gráfico e Historial de alertas. Gráfico es un gráfico interactivo que te permite ampliar tu búsqueda. En Historial de alertas se muestra información importante sobre la alerta.

Para saber cómo usar Gráfico e Historial de alertas, sigue los pasos que se indican en Investigar una alerta.

Ir al panel de control de reglas de GCTI

En el panel de control Detecciones seleccionadas se encuentran todas las reglas relacionadas con GCTI.

Para acceder al panel de control Detecciones seleccionadas, sigue estos pasos:

En la barra de navegación, haga clic en Detección > Reglas y detecciones.
Hay cuatro pestañas: Panel de reglas, Editor de reglas, Detecciones seleccionadas y Exclusiones. Haga clic en Detecciones seleccionadas. En Detecciones seleccionadas se encuentran todas las reglas de GCTI y las alertas que generan.

Investigar reglas de GCTI

Encima de la tabla hay dos pestañas: Conjuntos de reglas y Panel de control.

En Conjuntos de reglas, hay una tabla que muestra todas las reglas y conjuntos de reglas (grupos de reglas que se usan juntos). En esta pestaña, puedes hacer lo siguiente:

Ocultar o mostrar diferentes secciones
Habilitar o inhabilitar Alertas y Estado
Usa las casillas de la esquina superior izquierda de la tabla para aplicar los cambios a un conjunto de reglas o a todos.

Detecciones seleccionadas

En la sección Panel de control se muestran las reglas separadas por categorías.

Panel de control de reglas

Si haces clic en una alerta de la sección Panel de control, se abrirá una página con una cronología de las detecciones recientes de esa alerta.

Usar reglas precisas y generales

Hay dos tipos de reglas en Conjuntos de reglas: Precisa y Amplia. Puedes habilitar o inhabilitar las reglas Precisa o Amplia por separado en función del tipo de búsqueda que estés haciendo.

Las reglas precisas son reglas que detectan comportamientos maliciosos con un mayor grado de confianza y menos falsos positivos debido a la naturaleza más específica de la regla.
Las reglas generales detectan comportamientos que podrían ser maliciosos o anómalos. Como estas reglas son más generales que las precisas, es más probable que se produzcan falsos positivos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.