Ausgewählte Erkennungen verwalten
In diesem Dokument wird beschrieben, wie Sie die Seiten mit ausgewählten Erkennungen verwenden.
Für Google Security Operations-Kunden bietet das Google Cloud Threat Intelligence-Team (GCTI) sofort einsatzbereite Bedrohungsanalysen im Rahmen des Google Cloud Fate-Sharing-Modells an. Im Rahmen dieser ausgewählten Erkennungen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet sie, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen. Diese von GCTI verwalteten Regeln:
Kunden sofort umsetzbare Informationen zur Verfügung stellen, die für ihre aufgenommenen Daten verwendet werden können.
Nutzt die Threat Intelligence von Google, indem Kunden sie in Google SecOps verwenden können.
Hinweis
Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie in den folgenden Artikeln:
- Übersicht über die Kategorie „Cloud-Bedrohungen“
- Übersicht über die Kategorie „Chrome Enterprise-Bedrohungen“
- Übersicht über die Kategorie „Windows-Bedrohungen“
- Übersicht über die Kategorie „Linux-Bedrohungen“
- Übersicht über die Kategorie „macOS-Bedrohungen“
- Übersicht über Risikoanalysen für die UEBA-Kategorie
- Übersicht über die Kategorie „Angewandte Bedrohungsinformationen“
Informationen dazu, wie Sie prüfen, ob die für die einzelnen Richtlinien erforderlichen Daten im richtigen Format vorliegen, finden Sie unter Datenaufnahme von Protokolldaten mit Testregeln prüfen.
Funktionen für ausgewählte Erkennungen
Hier sind einige der wichtigsten Funktionen für ausgewählte Erkennungen:
Kuratierte Erkennung: Kuratierte Erkennung, die von GCTI für Google SecOps-Kunden erstellt und verwaltet wird.
Regelsätze: Sammlung von Regeln, die von GCTI für Google SecOps-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde hat die Möglichkeit, diese Regeln in seinem Google SecOps-Konto zu aktivieren oder zu deaktivieren und Benachrichtigungen für diese Regeln zu aktivieren oder zu deaktivieren. GCTI stellt regelmäßig neue Regeln und Regelsätze bereit, wenn sich die Bedrohungslandschaft ändert.
Seite mit ausgewählten Erkennungen und Regelsätzen öffnen
So öffnen Sie die Seite „Ausgewählte Erkennungen“:
Wählen Sie im Hauptmenü Regeln aus.
Klicken Sie auf Kuratierte Erkennungen, um die Ansicht der Regelsätze zu öffnen.
Auf der Seite „Curated Detection“ finden Sie Informationen zu den für Ihr Google SecOps-Konto aktiven Regelsätzen, z. B.:
Zuletzt aktualisiert: Gibt an, wann das GCTI-Team den Regelsatz zuletzt aktualisiert hat.
Aktivierte Regeln: Gibt an, welche exakten und allgemeinen Regeln für jeden Regelsatz aktiviert sind. Mithilfe exakter Regeln können Sie schädliche Bedrohungen zuverlässig erkennen. Mit allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger vorkommen und mehr falsch positive Ergebnisse liefern kann. Für einen Regelsatz können sowohl exakte als auch allgemeine Regeln verfügbar sein.
Benachrichtigungen: Gibt an, für welche der exakten und allgemeinen Regeln Benachrichtigungen aktiviert sind.
Mitre-Taktiken: Kennung der von jedem Regelsatz abgedeckten Mitre ATT&CK®-Taktiken. Sie machen die Absichten hinter schädlichem Verhalten deutlich.
Mitre-Techniken: Kennung der von den einzelnen Regelsätzen abgedeckten Mitre ATT&CK®-Techniken. Sie zeigen spezifische Aktionen von schädlichem Verhalten auf.
Auf dieser Seite können Sie die Regel und Benachrichtigungen für die Regel auch aktivieren oder deaktivieren. Das ist sowohl für die allgemeinen als auch für die exakten Regeln möglich.
Dashboard für kuratierte Erkennung öffnen
Das Dashboard für kuratierte Erkennungen enthält Informationen zu jeder kuratierten Erkennung, die eine Erkennung für die Logdaten in Ihrem Google SecOps-Konto generiert hat. Regeln mit erkannten Verstößen werden nach Regelsatz gruppiert.
So öffnen Sie das Dashboard für kuratierte Erkennung:
Wählen Sie im Hauptmenü Regeln aus. Der Standardtab ist „ausgewählte Erkennungen“ und die Standardansicht „Regelsätze“.
Klicken Sie auf Dashboard.

Abbildung 2: Dashboard „Curated Detections“
Im Dashboard „Curated Detections“ werden alle Regelsätze angezeigt, die für Ihr Google SecOps-Konto verfügbar sind. Jede Anzeige enthält Folgendes:
Diagramm mit der aktuellen Aktivität für jede der Regeln, die einem Regelsatz zugeordnet sind.
Zeitpunkt der letzten Erkennung.
Status der einzelnen Regeln.
Schweregrad der letzten erkannten Probleme.
Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.
Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Menüsymbol oder den Namen des Regelsatzes klicken.
Klicken Sie auf Regelsätze, um zur Ansicht „Regelsätze“ zurückzukehren. In der Ansicht „Regelsätze“ finden Sie Informationen zu den für Ihr Google SecOps-Konto aktiven Regelsätzen.
Details zu einem Regelsatz ansehen
Sie können die Einstellungen für jede kuratierte Erkennung ändern, indem Sie auf das Menüsymbol für den Regelsatz klicken und dann Regeleinstellungen ansehen und bearbeiten auswählen.
Sie können das Regelset im Bereich Einstellungen aktivieren oder deaktivieren. Mit den Ein/Aus-Schaltern Status und Benachrichtigungen können Sie die exakten und allgemeinen Regeln im Regelsatz aktivieren oder deaktivieren. Sie können auch Benachrichtigungen aktivieren oder deaktivieren.
Sie können sich auch alle Ausschlüsse ansehen, die für den Regelsatz konfiguriert wurden. Sie können die Ausschlüsse bearbeiten, indem Sie auf Ansehen klicken. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.

Abbildung 3: Regeleinstellungen
Änderung aller Regeln in einem Regelsatz
Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einem Regelsatz angezeigt. Sie können die Einstellungen ändern, um ausgewählte Erkennungen zu erstellen, die auf die Nutzung und die Anforderungen Ihrer Organisation zugeschnitten sind.
Genaue Regeln: Mit genauen Regeln können Sie schädliches Verhalten mit höherer Konfidenz und weniger falsch positiven Ergebnissen erkennen, da die Regeln spezifischer sind.
Allgemeine Regeln: Mit diesen Regeln können Sie Verhalten erkennen, das potenziell schädlich oder anomal ist. Dabei gibt es aber in der Regel mehr falsch positive Ergebnisse, da die Regeln allgemeiner sind.
Status: Sie können den Status einer Regel als genau oder breit festlegen, indem Sie die entsprechende Status-Option auf Aktiviert setzen.
Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um Erkennungen zu erhalten, die durch entsprechende präzise oder allgemeine Regeln erstellt wurden. Setzen Sie dazu die Option Benachrichtigungen auf Ein.
Regelausschlüsse konfigurieren
Wenn Sie die Anzahl der Benachrichtigungen aus GCTI-ausgewählten Erkennungen verwalten möchten, können Sie Regelausschlüsse konfigurieren. Weitere Informationen finden Sie unter Regelausschlüsse konfigurieren.
Ausgewählte Erkennungen ansehen
Sie können sich alle ausgewählten Erkennungen in der Ansicht „Ausgewählte Erkennungen“ ansehen. In dieser Ansicht können Sie alle mit der Regel verknüpften Erkennungen untersuchen und über die Zeitachse zu anderen Ansichten wie der Asset-Ansicht wechseln.
So öffnen Sie die Ansicht „Kuratierte Erkennung“:
Klicken Sie auf Dashboard.
Klicken Sie in der Spalte „Regel“ auf den Link mit dem Namen der Regel.
Nächste Schritte
- GCTI-Benachrichtigung prüfen
- Von Regelsätzen in dieser Kategorie zurückgegebene Benachrichtigungen optimieren
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten