ניהול גלאים מוכנים מראש
במאמר הזה נסביר איך להשתמש בדפים של זיהויים שנבחרו בקפידה.
לקוחות Google Security Operations, Google Cloud צוות המודיעין נגד איומים (GCTI) מציע ניתוח איומים מוכן לשימוש כחלק ממודל Google Cloud האבטחה של Google. כחלק מהזיהויים המאורגנים האלה, GCTI מספקת ומנהלת קבוצה של כללי YARA-L כדי לעזור ללקוחות לזהות איומים על הארגון שלהם. הכללים המנוהלים של GCTI:
לספק ללקוחות מידע עסקי שניתן לפעול לפיו באופן מיידי, ושאפשר להשתמש בו ביחס לנתונים שהם העבירו.
הפתרון מתבסס על מודיעין איומי סייבר של Google ומאפשר ללקוחות להשתמש בו ב-Google SecOps.
לפני שמתחילים
מידע על מדיניות מוגדרת מראש לזיהוי איומים זמין במאמרים הבאים:
- סקירה כללית על הקטגוריה Cloud Threats
- סקירה כללית של הקטגוריה 'איומים ב-Chrome Enterprise'
- סקירה כללית על הקטגוריה 'איומים ב-Windows'
- סקירה כללית של הקטגוריה Linux Threats
- סקירה כללית על הקטגוריה 'איומים ב-macOS'
- סקירה כללית של ניתוח סיכונים לקטגוריית UEBA
- סקירה כללית של קטגוריית Applied Threat Intelligence
כדי לוודא שהנתונים שנדרשים לכל מדיניות הם בפורמט הנכון, אפשר לעיין במאמר אימות של הטמעת נתוני יומן באמצעות כללי בדיקה.
תכונות של גלאים מוכנים מראש
אלה כמה מהתכונות העיקריות של זיהויים שנאספו:
זיהוי מותאם אישית: זיהוי מותאם אישית שנוצר ומנוהל על ידי GCTI עבור לקוחות Google SecOps.
קבוצות כללים: אוסף של כללים שמנוהלים על ידי GCTI עבור לקוחות Google SecOps. GCTI מספקת ומנהלת כמה קבוצות של כללים. הלקוח יכול להפעיל או להשבית את הכללים האלה בחשבון Google SecOps שלו, וגם להפעיל או להשבית את ההתראות לגבי הכללים האלה. צוות GCTI יספק מעת לעת כללים חדשים וקבוצות כללים חדשות, בהתאם לשינויים בסביבת האיומים.
פתיחת הדף של גלאים מוכנים מראש וקבוצות כללים
כדי לפתוח את הדף 'זיהויים שנבחרו':
בתפריט הראשי, בוחרים באפשרות כללים.
לוחצים על Curated Detections (זיהויים שנאספו) כדי לפתוח את התצוגה של קבוצות הכללים.
בדף 'זיהויים שנאספו' מופיע מידע על כל אחת מקבוצות הכללים שפעילות בחשבון Google SecOps שלכם, כולל:
עדכון אחרון: השעה שבה GCTI עדכן לאחרונה את קבוצת הכללים.
כללים מופעלים: מציין אילו מהכללים המדויקים והכלליים מופעלים בכל קבוצת כללים. כללים מדויקים מאפשרים לזהות איומים זדוניים ברמת סמך גבוהה. כללים רחבים מחפשים התנהגות חשודה שעשויה להיות נפוצה יותר ולהניב יותר תוצאות חיוביות כוזבות. יכול להיות שיהיו זמינים כללים מדויקים וכללים רחבים עבור קבוצת כללים.
התראות: מציין באילו מבין הכללים המדויקים והכללים הרחבים הופעלה התראות עבור כל קבוצת כללים.
טקטיקות של Mitre: מזהה של הטקטיקות של Mitre ATT&CK® שכל קבוצת כללים מכסה. טקטיקות של Mitre ATT&CK® מייצגות את הכוונה שמאחורי התנהגות זדונית.
טכניקות של Mitre: מזהה של טכניקות Mitre ATT&CK® שכל קבוצת כללים מכסה. טכניקות Mitre ATT&CK® מייצגות פעולות ספציפיות של התנהגות זדונית
בדף הזה אפשר גם להפעיל או להשבית את הכלל ואת ההתראות לגבי הכלל. אפשר לעשות את זה לכללים הרחבים או לכללים המדויקים.
פתיחת מרכז הבקרה של זיהויים שנאספו
במרכז הבקרה של הזיהויים שנבחרו מוצג מידע על כל זיהוי שנבחר שהפיק זיהוי ביחס לנתוני היומן בחשבון Google SecOps שלכם. כללים עם זיהויים מקובצים לפי קבוצת כללים.
כדי לפתוח את לוח הבקרה של הזיהויים שנבחרו:
בתפריט הראשי, בוחרים באפשרות כללים. ברירת המחדל של הכרטיסייה היא 'זיהויים שנאספו', וברירת המחדל של התצוגה היא 'קבוצות כללים'.
לוחצים על מרכז בקרה.

איור 2: מרכז הבקרה של זיהויים שנבחרו
במרכז הבקרה של Curated Detections מוצגים כל מערכי הכללים שזמינים לחשבון Google SecOps. כל תצוגה כוללת את הפרטים הבאים:
תרשים שבו מוצג מעקב אחרי הפעילות הנוכחית של כל אחד מהכללים שמשויכים לקבוצת כללים.
השעה של הזיהוי האחרון.
הסטטוס של כל כלל.
רמת החומרה של זיהויים מהזמן האחרון.
האם ההתראות מופעלות או מושבתות.
כדי לערוך את הגדרות הכלל, לוחצים על סמל התפריט או על השם של קבוצת הכללים.
לוחצים על קבוצות כללים כדי לחזור לתצוגת קבוצות הכללים. בתצוגת ערכות הכללים מופיע מידע על כל ערכת כללים שפעילה בחשבון Google SecOps.
הצגת פרטים על קבוצת כללים
כדי לשנות את ההגדרות של כל זיהוי שנערך, לוחצים על סמל התפריט של קבוצת הכללים ובוחרים באפשרות הצגה ועריכה של הגדרות הכללים.
מפעילים או משביתים את קבוצת הכללים בקטע הגדרות. המתגים סטטוס והתראות מאפשרים להפעיל או להשבית את הכללים המדויקים והכלליים בערכת הכללים. אפשר גם להפעיל או להשבית את ההתראות.
אפשר גם לראות את כל ההחרגות שהוגדרו לקבוצת הכללים. כדי לערוך את ההחרגות, לוחצים על הצגה. מידע נוסף זמין במאמר הגדרת החרגות של כללים.

איור 3: הגדרות הכלל
שינוי של כל הכללים בקבוצת כללים
בקטע הגדרות מוצגות ההגדרות של כל הכללים בקבוצת כללים. אתם יכולים לשנות את ההגדרות כדי ליצור זיהויים מותאמים אישית שספציפיים לשימוש ולצרכים של הארגון.
כללים מדויקים: אפשר לזהות התנהגות זדונית ברמת סמך גבוהה יותר עם פחות תוצאות חיוביות שגויות, כי הכלל ספציפי יותר.
כללים רחבים: מזהים התנהגות שיכולה להיות זדונית או חריגה, אבל בדרך כלל יש יותר תוצאות חיוביות שגויות בגלל האופי הכללי יותר של הכלל.
סטטוס: כדי להפעיל את הסטטוס של כלל כסטטוס מדויק או רחב, מגדירים את האפשרות המתאימה סטטוס למופעל.
התראות: כדי לקבל התראות על זיהויים שנוצרו על ידי כללים תואמים מדויקים או רחבים, צריך להגדיר את האפשרות התראות למצב מופעל.
הגדרת החרגות של כללים
כדי לנהל את נפח ההתראות מזיהויים שנאספו על ידי GCTI, אפשר להגדיר החרגות של כללים. מידע נוסף מופיע במאמר בנושא הגדרת החרגות של כללים.
צפייה בגלאים מוכנים מראש
אתם יכולים לראות את כל הגלאים המוכנים מראש בתצוגה Curated Detection. בתצוגה הזו אפשר לבדוק את כל הזיהויים שמשויכים לכלל ולעבור לתצוגות אחרות, כמו תצוגת נכסים מציר הזמן.
כדי לפתוח את התצוגה 'זיהויים שנבחרו בקפידה', מבצעים את השלבים הבאים:
לוחצים על מרכז בקרה.
לוחצים על הקישור של שם הכלל בעמודה 'כלל'.
המאמרים הבאים
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.