Esta página foi traduzida pela API Cloud Translation.

Investigar um alerta da GCTI

Compatível com:

Google SecOps SIEM

Os alertas da Inteligência de ameaças do Google Cloud (GCTI, na sigla em inglês) são derivados da infraestrutura interna de detecção de ameaças do Google e da pesquisa fornecida pelos analistas de segurança da GCTI.

Para clientes do Google Security Operations, os alertas da GCTI são mostrados na página Alertas e IOCs. Eles estão localizados na coluna Origem. Os alertas gerados pela GCTI são rotulados como Detecções selecionadas.

Ver um alerta da GCTI

Para ver seus alertas do GCTI, siga estas etapas:

Na barra de navegação, clique em Detecção > Alertas e IOCs.
Na guia Origem, os alertas do GCTI são rotulados como Detecções selecionadas. Clique em Fonte para que todos os alertas com a tag Detecções selecionadas sejam movidos para a parte de cima.
Clique no link na coluna Nome do alerta que você quer investigar.

Quando você clica no texto da coluna Nome, uma página é aberta com três guias: Visão geral, Gráfico e Histórico de alertas. O gráfico é um gráfico interativo que permite expandir sua pesquisa. O Histórico de alertas mostra informações importantes sobre o alerta.

Para saber como usar Gráfico e Histórico de alertas, siga as etapas em Investigar um alerta.

Acessar o painel de regras do GCTI

No painel Detecções selecionadas, estão todas as regras relacionadas ao GCTI.

Para acessar o painel Detecções selecionadas, siga estas etapas:

Na barra de navegação, clique em Detecção > Regras e detecções.
Há quatro guias: Painel de regras, Editor de regras, Detecções selecionadas e Exclusões. Clique em Detecções selecionadas. Em Detecções selecionadas, você encontra todas as regras do GCTI e os alertas gerados por elas.

Investigar regras da GCTI

Acima da tabela, há duas guias: Conjuntos de regras e Painel.

Em Conjuntos de regras, há uma tabela que mostra todas as regras e conjuntos de regras (grupos de regras usadas juntas). Nela, você pode fazer o seguinte:

Recolher ou expandir diferentes seções
Ativar ou desativar Alertas e Status
Use as caixas no canto esquerdo da tabela para aplicar mudanças a um único conjunto de regras ou a todos.

Detecções selecionadas

A seção Painel mostra as regras separadas por categoria.

Painel de regras

Se você clicar em um alerta na seção Painel, uma página será aberta com uma linha do tempo das detecções recentes desse alerta.

Como usar regras precisas e amplas

Há dois tipos de regras em Conjuntos de regras: Precisa e Ampla. Você pode ativar ou desativar as regras Precisa ou Ampla separadamente, dependendo do tipo de pesquisa que está fazendo.

As regras precisas encontram comportamentos maliciosos com um grau de confiança maior e menos falsos positivos devido à natureza mais específica da regra.
As regras amplas detectam comportamentos que podem ser maliciosos ou anômalos. Como essas regras são mais gerais do que as precisas, há uma chance maior de falsos positivos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.