Investigar um alerta da GCTI

Os alertas do Google Cloud Threat Intelligence (GCTI) são derivados da infraestrutura de detecção de ameaças interna do Google e da pesquisa fornecida pelos analistas de segurança do GCTI.

Para clientes do SIEM do Google Security Operations, os alertas do GCTI são exibidos na página Alerts e IOCs. Eles estão localizados na coluna Origem. Os alertas gerados pelo GCTI são rotulados como Deteções selecionadas.

Conferir um alerta da GCTI

Para conferir seus alertas de GCTI, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Alertas e IOCs.
  2. Na guia Origem, os alertas do GCTI são rotulados como Detecções selecionadas. Clique em Origem para ver todos os alertas com as A tag Detecções selecionadas foi movida para o topo.
  3. Clique no link na coluna Nome do alerta que você quer investigar.

Quando você clica no texto na coluna Nome, uma página é aberta com três guias: Visão geral, Gráfico e Histórico de alertas. Graph é um gráfico interativo que permite expandir sua pesquisa. O Histórico de alertas mostra informações importantes sobre o alerta.

Para saber como usar o Gráfico e o Histórico de alertas, siga as etapas em Investigar um alerta.

O painel Detecções selecionadas é onde estão todas as regras relacionadas ao GCTI.

Para acessar o painel Deteções selecionadas, siga estas etapas:

  1. Na barra de navegação, clique em Detecção > Regras e detecções.
  2. Há quatro guias: Painel de regras, Editor de regras, Detecções selecionadas e Exclusões. Clique em Detecções selecionadas. As detecções selecionadas são onde todas as regras do GCTI e os alertas gerados por elas estão localizados.

Investigar as regras do GCTI

Acima da tabela, há duas guias: Conjuntos de regras e Painel.

Em Regras e conjuntos de regras, há uma tabela que mostra todas as regras e conjuntos de regras (grupos de regras usados juntos). Nesta guia, você pode:

  • Recolher ou expandir diferentes seções
  • ativar ou desativar Alertas e Status;
  • Use as caixas no canto esquerdo da tabela para aplicar as alterações a uma único grupo de regras ou a todos os grupos de regras

Detecções selecionadas

A seção Painel mostra as regras separadas por categoria.

Painel de regras

Se você clicar em um alerta na seção Painel, uma página será aberta mostrando uma linha do tempo das detecções recentes desse alerta.

Usar regras amplas e precisas

Há dois tipos de regras nos conjuntos de regras: precisas e amplas. Você pode ativar ou desativar as regras Precisa ou Ampla separadamente, dependendo do o tipo de pesquisa que você está fazendo.

  • Regras precisas são aquelas que detectam comportamentos maliciosos com uma de confiança com menos falsos positivos devido à abordagem natureza da regra.
  • As regras amplas encontram comportamentos que podem ser maliciosos ou anormais. Como essas regras são mais gerais que as Exatas, há uma chance maior de falsos positivos.