Detailansicht „Aufkommende Bedrohungen“
Der Feed Emerging Threats bietet eine detaillierte Ansicht ausgewählter Kampagnen oder Berichte. Wenn Sie eine Bedrohung im Feed auswählen, wird eine Seite geöffnet, auf der Informationen aus Google Threat Intelligence mit Daten aus Ihrer Umgebung kombiniert werden. So können Sie die Auswirkungen und die Abdeckung von Bedrohungen analysieren.
Jede Seite enthält mehrere minimierbare Bereiche, in denen zugehörige Informationen zu Bedrohungen, Erkennungsdaten und zugehörige Entitäten angezeigt werden. Klicken Sie in jedem Bereich neben dem Abschnittsnamen auf das chevron_forward Pfeilsymbol, um den Abschnitt zu maximieren und weitere Details aufzurufen.
Die Detailansicht Neue Bedrohungen enthält die folgenden Bereiche:
Zugehörige Regeln
Im Bereich Zugehörige Regeln werden die Erkennungsregeln aufgeführt, die mit der ausgewählten Kampagne verknüpft sind. Regelzuordnungen gelten nur für Kampagnen, nicht für Berichte.
Emerging Threats nimmt kontinuierlich Informationen von GTI auf und gleicht sie mit den Telemetriedaten Ihrer Organisation ab. Die Kampagnenerkennung, ‑anreicherung und ‑korrelation werden durch die folgenden Prozesse automatisiert:
- Kampagneninformationen aufnehmen: Das System erfasst automatisch Kampagneninformationen aus GTI, einschließlich Daten aus globalen Untersuchungen, Incident-Response-Einsätzen von Mandiant und Telemetrie von Mandiant Managed Defense.
- Simulierte Log-Ereignisse generieren: Im Hintergrund generiert Gemini anonymisierte simulierte Log-Ereignisse, die dem Verhalten echter Angreifer entsprechen.
- Erkennungsabdeckung automatisch hervorheben: Das System führt die simulierten Log-Ereignisse anhand der von Google Cloud Threat Intelligence (GCTI) kuratierten Erkennungsregeln und Abdeckungsberichte aus, die zeigen, wo Google SecOps Erkennungen hat und wo Lücken bestehen.
- Regelerstellung beschleunigen: Sobald Lücken erkannt wurden, entwirft Gemini automatisch neue Erkennungsregeln basierend auf den getesteten Mustern und bietet eine Zusammenfassung der Regellogik und des erwarteten Verhaltens. Im letzten Schritt müssen diese Regeln manuell überprüft und genehmigt werden, bevor sie in die Produktion überführt werden können.
In der folgenden Tabelle werden die Spalten im Bereich Zugeordnete Regeln beschrieben:
| Spaltenname | Beschreibung |
|---|---|
| Regelname | Hier werden der Titel der Regel und der zugehörige Regelsatz oder die zugehörige Erkennungskategorie angezeigt. Wenn Sie auf den Namen der Regel klicken, wird die Seite Detections geöffnet, auf der die von dieser Regel erstellten Erkennungen angezeigt werden. |
| Tags | Listet Regel-Tags oder Labels auf, die auf die Erkennungsregel angewendet werden. |
| Aktivitäten der letzten 4 Wochen | Hier sehen Sie Warnungen oder Erkennungsaktivitäten für die Regel in den letzten vier Wochen. |
| Letzte Erkennung | Zeigt den Zeitstempel der letzten Warnung an, die von der Regel generiert wurde. |
| Schweregrad | Gibt den Schweregrad an, der für die von der angegebenen Regel generierten Erkennungen konfiguriert ist. |
| Benachrichtigungen | Gibt an, ob Benachrichtigungen für die Regel aktiviert oder deaktiviert sind. |
| Live status | Gibt an, ob die Regel in Ihrer Umgebung aktiv oder inaktiv ist. |
Wenn der Kampagne keine Regeln zugeordnet sind, wird im Bereich der Text Keine Regeln angezeigt.
Deaktivierte Regeln
Im Bereich Disabled Rules (Deaktivierte Regeln) werden Erkennungsregeln für die Kampagne aufgeführt, die derzeit nicht aktiviert sind, sofern vorhanden. So können Sie potenzielle Lücken bei der Abdeckung von Bedrohungen erkennen. Regelzuordnungen für eine Kampagne werden wie unter Zugeordnete Regeln beschrieben bestimmt.
In der folgenden Tabelle werden die Spalten beschrieben:
| Spaltenname | Beschreibung | |
|---|---|---|
| Regelname | Zeigt den Namen der deaktivierten Regel an. | Klicken Sie auf den Namen der Regel, um eine Detailansicht zu öffnen, in der die Logik, Konfiguration und der zugehörige Regelsatz der Regel beschrieben werden. Diese Ansicht ähnelt der auf der Seite Curated Detections. |
| Kategorie | Zeigt den Regeltyp oder die Regelkategorie an. | |
| Regel wurde festgelegt | Gibt die Regelquelle an, z. B. Mandiant Frontline Threats, Mandiant Hunt Rules oder Mandiant Intel Emerging Threats. | |
| Precision | Gibt den Typ der Regelgenauigkeit an (Broad oder Precise). | |
| Benachrichtigungen | Gibt an, ob Benachrichtigungen aktiviert sind. | |
| Zuletzt aktualisiert | Hier wird der Zeitstempel für die letzte Änderung der Regel angezeigt. |
Zuletzt verknüpfte Entitäten
Im Bereich Zuletzt verknüpfte Entitäten werden Entitäten aus Ihrer Umgebung aufgeführt, die mit der ausgewählten Bedrohung verknüpft sind und möglicherweise davon betroffen sind.
Im Bereich werden Nutzer- und Asset-Entitäten aufgeführt, die die folgenden Kriterien erfüllen:
- In den letzten sieben Tagen in Erkennungen aufgetreten.
- Ist in Ereignissen aufgetreten, die mit einem IoC verknüpft sind, das mit der Bedrohung in Verbindung steht.
- Einen zugewiesenen Risikowert haben.
In der folgenden Tabelle werden die Spalten im Bereich Zuletzt verknüpfte Rechtssubjekte beschrieben:
| Spaltenname | Beschreibung |
|---|---|
| Entitätsname | Zeigt das Asset oder die Einheit an, die mit einer Kampagne verknüpft ist. Klicken Sie auf den Namen der Einheit, um die Seite Risikoanalyse zu öffnen. Dort finden Sie Details zu den letzten Änderungen des Risikowerts der Einheit und zu den erkannten Bedrohungen, die dazu beigetragen haben. |
| Entitätstyp | Gibt den Typ der Entität an, z. B. Asset oder Nutzerkonto. |
| IOC-Übereinstimmungen | Hier wird die Anzahl der IoCs aus der Kampagne angezeigt, die mit der Telemetrie Ihrer Organisation übereinstimmen und mit der Entität in den letzten Erkennungen verknüpft sind. |
| Risikobewertung für Entitäten | Zeigt die berechnete Risikobewertung für die Entität basierend auf den letzten IoC-Übereinstimmungen an. |
IOCs
Im Bereich IOCs werden die folgenden Tabellen angezeigt:
IOC-Übereinstimmungen
In der Tabelle IOC Matches (IOC-Übereinstimmungen) werden IOCs aufgeführt, die in Ihrer Umgebung für die ausgewählte Kampagne erkannt oder abgeglichen wurden.
In der folgenden Tabelle werden die Spalten beschrieben:
| Spaltenname | Beschreibung |
|---|---|
| IOC | Zeigt die Domain, IP-Adresse, den Hash oder die URL an. Wenn Sie auf den IoC klicken, wird der Bereich Entity context geöffnet. Dort finden Sie zusätzliche Informationen zum IoC und dazu, wo er in Ihrer Umgebung zu sehen war. |
| Typ | Zeigt die IoC-Kategorie an, z. B. DOMAIN, IP, FILE (HASH_SHA256) oder URL. |
| GTI-Wert | Zeigt die von GTI zugewiesene Bedrohungsbewertung auf einer Skala von 0 bis 100. |
| GCTI-Priorität | Gibt die von GCTI zugewiesene relative Prioritätsstufe an. |
| Assets | Listet Assets in Ihrer Umgebung auf, die an Ereignissen beteiligt sind, die dem IoC entsprechen. |
| Verknüpfungen | Hier werden verknüpfte GTI-Entitäten für den Indikator angezeigt, z. B. Hacker oder Kampagnen. |
| Zuerst erfasst | Gibt an, wann der Indikator zum ersten Mal in Ihrer Umgebung erkannt wurde. |
| Zuletzt erfasst | Zeigt an, wann der Indikator zuletzt in Ihrer Umgebung erkannt wurde. |
Mit GTI verknüpfte IOCs
In der Tabelle „GTI-associated IOCs“ (Mit GTI verknüpfte IOCs) werden zusätzliche IOCs aufgeführt, die GTI den Kampagnen zuordnet.
In der folgenden Tabelle werden die Spalten beschrieben:
| Spaltenname | Beschreibung |
|---|---|
| IOC | Zeigt die Domain, IP-Adresse, den Hash oder die URL an. |
| Typ | Zeigt die IoC-Kategorie an, z. B. DOMAIN, IP, FILE, HASH_SHA256 oder URL. |
| GTI-Wert | Zeigt die von GTI zugewiesene Bedrohungsbewertung auf einer Skala von 0 bis 100. |
| Weitere Angreifer | Hier werden die mit dem IoC verbundenen Angreifer aufgeführt.
Sie können auf den Namen eines Akteurs klicken, um weitere Informationen im Bereich |
| Zugehörige Malware | Hier werden die Malwarefamilien aufgeführt, die mit dem IoC verknüpft sind.
Sie können auf den Namen der Malware klicken, um weitere Informationen im |
| Von Google Threat Intelligence erkannt | Zeigt den Zeitstempel an, wann das IoC zum ersten Mal von GTI aufgezeichnet wurde. |
| Letzte Aktualisierung in Google Threat Intelligence | Zeigt den Zeitstempel an, wann der IoC zuletzt von GTI aktualisiert wurde. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten