Se usó la API de Cloud Translation para traducir esta página.

Investigar una alerta de GCTI

Compatible con:

Google SecOps SIEM

Las alertas de Google Cloud Threat Intelligence (GCTI) se derivan de la infraestructura interna de detección de amenazas de Google y de la investigación proporcionada por los analistas de seguridad de GCTI.

En el caso de los clientes de Google Security Operations, las alertas de GCTI se muestran en la página Alertas y IOC. Se encuentran en la columna Fuente. Las alertas que generó GCTI se etiquetan como Detecciones seleccionadas.

Cómo ver una alerta de GCTI

Para ver tus alertas de GCTI, sigue estos pasos:

En la barra de navegación, haz clic en Detección > Alertas y IOC.
En la pestaña Fuente, las alertas de la GCTI se etiquetan como Detecciones seleccionadas. Haz clic en Fuente para que todas las alertas con la etiqueta Detecciones seleccionadas se muevan a la parte superior.
Haz clic en el vínculo de la columna Nombre de la alerta que deseas investigar.

Cuando haces clic en el texto de la columna Nombre, se abre una página con tres pestañas: Descripción general, Gráfico y Historial de alertas. Gráfico es un gráfico interactivo que te permite expandir tu búsqueda. En el historial de alertas, se muestra información importante sobre la alerta.

Para obtener información sobre cómo usar Gráfico y Historial de alertas, sigue los pasos que se indican en Investiga una alerta.

Navega al panel de reglas del GCTI

En el panel Curated detections, se encuentran todas las reglas relacionadas con la GCTI.

Para acceder al panel de Detecciones seleccionadas, sigue estos pasos:

En la barra de navegación, haz clic en Detección > Reglas y detecciones.
Hay cuatro pestañas: Panel de reglas, Editor de reglas, Detecciones seleccionadas y Exclusiones. Haz clic en Detecciones seleccionadas. En Curated detections, se encuentran todas las reglas de la GCTI y las alertas que generan.

Investiga las reglas de GCTI

Sobre la tabla, hay dos pestañas: Conjuntos de reglas y Panel.

En Conjuntos de reglas, hay una tabla que muestra todas las reglas y los conjuntos de reglas (grupos de reglas que se usan juntos). En esta pestaña, puedes hacer lo siguiente:

Cómo contraer o expandir diferentes secciones
Habilita o inhabilita Alerting y Status
Usa las casillas de verificación que se encuentran en la esquina izquierda de la tabla para aplicar cambios a un solo conjunto de reglas o a todos.

Detecciones seleccionadas

En la sección Panel, se muestran las reglas separadas por categoría.

Panel de reglas

Si haces clic en una alerta en la sección Panel, se abrirá una página que te mostrará una cronología de las detecciones recientes de esa alerta.

Usa reglas precisas y generales

Existen dos tipos de reglas en Conjuntos de reglas: Precisa y Amplia. Puedes habilitar o inhabilitar las reglas Precisa o Amplia por separado según el tipo de búsqueda que realices.

Las reglas precisas son aquellas que detectan comportamiento malicioso con un mayor grado de confianza y con menos falsos positivos debido a la naturaleza más específica de la regla.
Las reglas generales detectan comportamientos que podrían ser maliciosos o anómalos. Dado que estas reglas son más generales que las Precisas, hay una mayor probabilidad de que se produzcan falsos positivos.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.