Vista detallada de amenazas emergentes
El feed Amenazas emergentes ofrece una vista detallada de las campañas o los informes seleccionados. Cuando selecciona una amenaza en el feed, el sistema abre una página que combina información de Google Threat Intelligence con datos de su entorno para ayudarle a analizar el impacto y la cobertura de la amenaza.
Cada página contiene varios paneles desplegables que muestran información sobre amenazas, datos de detección y entidades asociadas. En cada panel, haz clic en chevron_forward Flecha junto al nombre de la sección para desplegarla y ver más detalles.
La vista detallada Amenazas emergentes incluye los siguientes paneles:
Reglas asociadas
En el panel Reglas asociadas se muestran las reglas de detección relacionadas con la campaña seleccionada. Las asociaciones de reglas solo se aplican a las campañas, no a los informes.
Emerging Threats ingiere continuamente información valiosa de GTI y la alinea con la telemetría de tu organización. Automatiza la detección, la mejora y la correlación de campañas mediante los siguientes procesos:
- Ingerir información sobre campañas: el sistema recoge automáticamente información sobre campañas de GTI, que incluye datos de investigaciones globales, compromisos de respuesta a incidentes de Mandiant y telemetría de Mandiant Managed Defense.
- Generar eventos de registro simulados: en segundo plano, Gemini genera eventos de registro simulados anónimos de alta fidelidad que reflejan el comportamiento real de los adversarios.
- Destacar automáticamente la cobertura de detección: el sistema ejecuta los eventos de registro simulados en las reglas de detección y los informes de cobertura seleccionados de Google Cloud Inteligencia frente a amenazas de Google Cloud (GCTI) Google Cloud , que muestran dónde tiene detecciones Google SecOps y dónde hay lagunas.
- Acelerar la creación de reglas: una vez que se identifican las lagunas, Gemini redacta automáticamente nuevas reglas de detección basadas en los patrones probados y proporciona un resumen de la lógica de las reglas y el comportamiento esperado. El último paso requiere que un humano revise y apruebe estas reglas antes de moverlas a producción.
En la siguiente tabla se describen las columnas del panel Reglas asociadas:
| Nombre de la columna | Descripción |
|---|---|
| Nombre de la regla | Muestra el título de la regla y el conjunto de reglas o la categoría de detección asociados. Al hacer clic en el nombre de la regla, se abre la página Detections, que
muestra las detecciones que ha generado esta regla. |
| Etiquetas | Lista las etiquetas de reglas o las etiquetas aplicadas a la regla de detección. |
| Actividad de las últimas 4 semanas | Muestra la actividad de alertas o detecciones de la regla durante las últimas cuatro semanas. |
| Última detección | Muestra la marca de tiempo de la alerta más reciente generada por la regla. |
| Gravedad | Indica el nivel de gravedad configurado para las detecciones generadas por la regla en cuestión. |
| Alertas | Especifica si las alertas están habilitadas o inhabilitadas en la regla. |
| Estado publicado | Muestra si la regla está activa o inactiva en su entorno. |
Si no hay ninguna regla asociada a la campaña, en el panel se muestra el texto Sin reglas.
Reglas inhabilitadas
En el panel Reglas inhabilitadas se muestran las reglas de detección relacionadas con la campaña que no están habilitadas, si las hay. De esta forma, podrá identificar posibles lagunas en la cobertura de amenazas. Las asociaciones de reglas de una campaña se determinan tal como se describe en Reglas asociadas.
En la siguiente tabla se describen las columnas:
| Nombre de la columna | Descripción | |
|---|---|---|
| Nombre de la regla | Muestra el nombre de la regla inhabilitada. | Haga clic en el nombre de la regla para abrir una vista detallada que describa la lógica, la configuración y el conjunto de reglas asociado, de forma similar a la vista de la página Curated Detections. |
| Categoría | Muestra el tipo o la categoría de la regla. | |
| Regla establecida | Identifica la fuente de la regla, como Amenazas de vanguardia de Mandiant, Reglas de búsqueda de Mandiant o Amenazas emergentes de Mandiant Intel. | |
| Precisión | Indica el tipo de precisión de la regla (Amplia o Precisa). | |
| Alertas | Muestra si las alertas están habilitadas. | |
| Última actualización | Muestra la marca de tiempo de la última modificación de la regla. |
Entidades asociadas recientes
El panel Entidades asociadas recientes muestra las entidades de tu entorno que están vinculadas a la amenaza seleccionada y que pueden verse afectadas por ella.
En el panel se muestran las entidades de usuario y de recurso que cumplen los siguientes criterios:
- Ha aparecido en las detecciones de los últimos siete días.
- Aparece en eventos vinculados a un IoC asociado a la amenaza.
- Tener una puntuación de riesgo asignada.
En la siguiente tabla se describen las columnas del panel Entidades asociadas recientes:
| Nombre de la columna | Descripción |
|---|---|
| Nombre de la entidad | Muestra el recurso o la entidad asociados a una campaña. Haz clic en el nombre de la entidad para abrir la página Analíticas de riesgo, que muestra detalles sobre los cambios recientes en la puntuación de riesgo de esa entidad y las detecciones que han contribuido a ella. |
| Tipo de entidad | Indica el tipo de entidad, como recurso o cuenta de usuario. |
| Coincidencias de IOC | Muestra el número de IoCs de la campaña que coinciden con la telemetría de tu organización y que están asociados a la entidad en detecciones recientes. |
| Puntuación de riesgo de la entidad | Muestra la puntuación de riesgo calculada de la entidad en función de las coincidencias recientes de IoC. |
IOCs
En el panel IOCs se muestran las siguientes tablas:
Coincidencias de IOC
La tabla Coincidencias de IoCs muestra los IoCs que se han detectado o que coinciden en tu entorno para la campaña seleccionada.
En la siguiente tabla se describen las columnas:
| Nombre de la columna | Descripción |
|---|---|
| IOC | Muestra el dominio, la dirección IP, el hash o la URL. Al hacer clic en el IoC, se abre el panel Entity context, que proporciona información adicional sobre el IoC y dónde se ha visto en tu entorno. |
| Tipo | Muestra la categoría del IoC, como DOMAIN, IP, FILE (HASH_SHA256) o URL. |
| Puntuación GTI | Muestra la puntuación de amenaza asignada por GTI en una escala del 0 al 100. |
| Prioridad de GCTI | Indica el nivel de prioridad relativa asignado por GCTI. |
| Recursos | Lista los recursos de tu entorno implicados en eventos que coinciden con el IoC. |
| Asociaciones | Muestra las entidades de GTI relacionadas con el indicador, como los agentes de amenazas o las campañas. |
| Visto por primera vez | Muestra cuándo se detectó por primera vez el indicador en tu entorno. |
| Detectada por última vez | Muestra la hora más reciente en la que se detectó el indicador en tu entorno. |
IOCs asociados a GTI
La tabla de indicadores de compromiso asociados a GTI muestra otros indicadores de compromiso que GTI asocia a las campañas.
En la siguiente tabla se describen las columnas:
| Nombre de la columna | Descripción |
|---|---|
| IOC | Muestra el dominio, la dirección IP, el hash o la URL. |
| Tipo | Muestra la categoría del IoC, como DOMAIN, IP, FILE, HASH_SHA256 o URL. |
| Puntuación GTI | Muestra la puntuación de amenaza asignada por GTI en una escala del 0 al 100. |
| Actores asociados | Muestra los agentes de amenazas conectados al IoC.
Puede hacer clic en el nombre de un actor para ver más información en el panel |
| Malware asociado | Enumera las familias de malware vinculadas al IoC.
Puede hacer clic en el nombre del malware para ver más información en el panel |
| Descubierto por GTI | Muestra la marca de tiempo en la que GTI registró por primera vez el IoC. |
| Última actualización de GTI | Muestra la marca de tiempo de la última actualización del IoC por parte de GTI. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.