Vista detallada de las amenazas emergentes
El feed Emerging Threats proporciona una vista detallada de las campañas o los informes seleccionados. Cuando seleccionas una amenaza en el feed, el sistema abre una página que combina la información de Google Threat Intelligence con los datos de tu entorno para ayudarte a analizar el impacto y la cobertura de la amenaza.
Cada página contiene varios paneles desplegables que muestran información sobre amenazas relacionada, datos de detección y entidades asociadas. En cada panel, haz clic en la chevron_forward Flecha junto al nombre de la sección para expandirla y ver más detalles.
La vista detallada de Amenazas emergentes incluye los siguientes paneles:
Reglas asociadas
En el panel Reglas asociadas, se enumeran las reglas de detección relacionadas con la campaña seleccionada. Las asociaciones de reglas solo se aplican a las campañas, no a los informes.
Emerging Threats ingiere continuamente información de GTI y la alinea con los datos de telemetría de tu organización. Automatiza el descubrimiento, el enriquecimiento y la correlación de campañas a través de los siguientes procesos:
- Ingiere inteligencia de campañas: El sistema recopila automáticamente inteligencia de campañas de GTI, que incluye datos de investigaciones globales, investigaciones de respuesta ante incidentes de Mandiant y telemetría de Mandiant Managed Defense.
- Generar eventos de registro simulados: En segundo plano, Gemini produce eventos de registro simulados anonimizados y de alta fidelidad que reflejan el comportamiento real de los adversarios.
- Destaca automáticamente la cobertura de detección: El sistema ejecuta los eventos de registro simulados en las reglas de detección seleccionadas y los informes de cobertura de la Inteligencia de amenazas de Google Cloud (GCTI) que muestran dónde Google SecOps tiene detecciones y dónde existen brechas. Google Cloud
- Acelera la creación de reglas: Una vez que se identifican las brechas, Gemini redacta automáticamente nuevas reglas de detección basadas en los patrones probados y proporciona un resumen de la lógica de la regla y el comportamiento esperado. El paso final requiere la revisión y aprobación manual de estas reglas antes de que se pasen a producción.
En la siguiente tabla, se describen las columnas del panel Reglas asociadas:
| Nombre de la columna | Descripción |
|---|---|
| Nombre de la regla | Muestra el título de la regla y el conjunto de reglas o la categoría de detección asociados. Si haces clic en el nombre de la regla, se abrirá la página Detections, en la que
se muestran las detecciones que produjo esta regla. |
| Etiquetas | Enumera las etiquetas de regla o las etiquetas aplicadas a la regla de detección. |
| Actividad de las últimas 4 semanas | Muestra la actividad de alertas o detecciones de la regla durante las últimas cuatro semanas. |
| Última detección | Muestra la marca de tiempo de la alerta más reciente que generó la regla. |
| Gravedad | Indica el nivel de gravedad configurado para las detecciones que genera la regla determinada. |
| Alertas | Especifica si las alertas están habilitadas o inhabilitadas para la regla. |
| Estado en vivo | Muestra si la regla está activa o inactiva en tu entorno. |
Si no hay reglas asociadas con la campaña, el panel muestra el texto No hay reglas.
Reglas inhabilitadas
En el panel Reglas inhabilitadas, se enumeran las reglas de detección relacionadas con la campaña que no están habilitadas actualmente, si las hay. Esto te ayuda a identificar posibles brechas en la cobertura de amenazas. Las asociaciones de reglas para una campaña se determinan como se describe en Reglas asociadas.
En la siguiente tabla, se describen las columnas:
| Nombre de la columna | Descripción | |
|---|---|---|
| Nombre de la regla | Muestra el nombre de la regla inhabilitada. | Haz clic en el nombre de la regla para abrir una vista detallada que describa la lógica, la configuración y el conjunto de reglas asociado, de manera similar a la vista de la página Curated Detections. |
| Categoría | Muestra el tipo o la categoría de la regla. | |
| Se estableció la regla | Identifica la fuente de la regla, como Mandiant Frontline Threats, Mandiant Hunt Rules o Mandiant Intel Emerging Threats. | |
| Precisión | Indica el tipo de precisión de la regla (General o Precisa). | |
| Alertas | Muestra si las alertas están habilitadas. | |
| Última actualización | Muestra la marca de tiempo de la última modificación de la regla. |
Entidades asociadas recientes
En el panel Entidades asociadas recientes, se enumeran las entidades de tu entorno que están vinculadas a la amenaza seleccionada y que podrían verse afectadas por ella.
En el panel, se enumeran las entidades de usuarios y activos que cumplen con los siguientes criterios:
- Apareció en las detecciones de los últimos siete días.
- Apareció en eventos vinculados a un IoC asociado con la amenaza.
- Tener una puntuación de riesgo asignada
En la siguiente tabla, se describen las columnas del panel Entidades asociadas recientes:
| Nombre de la columna | Descripción |
|---|---|
| Nombre de entidad | Muestra el recurso o la entidad asociados con una campaña. Haz clic en el nombre de la entidad para abrir la página Análisis de riesgo, en la que se muestran detalles sobre los cambios recientes en la puntuación de riesgo de esa entidad y las detecciones que contribuyeron a ella. |
| Tipo de entidad | Indica el tipo de entidad, como recurso o cuenta de usuario. |
| Coincidencias de IOC | Muestra la cantidad de IoC de la campaña que coinciden con la telemetría de tu organización y que se asocian con la entidad en las detecciones recientes. |
| Puntuación de riesgo de la entidad | Muestra la puntuación de riesgo calculada para la entidad en función de las coincidencias recientes con los IoC. |
IOC
En el panel IOCs, se muestran las siguientes tablas:
Concordancias de IOC
En la tabla IOC Matches, se enumeran los IoC que se detectan o coinciden en tu entorno para la campaña seleccionada.
En la siguiente tabla, se describen las columnas:
| Nombre de la columna | Descripción |
|---|---|
| IOC | Muestra el dominio, la dirección IP, el hash o la URL. Si haces clic en el IoC, se abre el panel Entity context, que proporciona información adicional sobre el IoC y dónde se detectó en tu entorno. |
| Tipo | Muestra la categoría del IoC, como DOMAIN, IP, FILE (HASH_SHA256) o URL. |
| Puntuación de GTI | Muestra la puntuación de amenaza que asigna GTI en una escala de 0 a 100. |
| Prioridad de GCTI | Indica el nivel de prioridad relativa que asigna el GCTI. |
| Recursos | Enumera los recursos de tu entorno que están involucrados en eventos que coinciden con el IoC. |
| Asociaciones | Muestra las entidades de GTI relacionadas con el indicador, como los agentes de amenazas o las campañas. |
| First seen | Muestra cuándo se detectó el indicador por primera vez en tu entorno. |
| Visto por última vez | Muestra la fecha y hora más recientes en que se detectó el indicador en tu entorno. |
IOC asociados a GTI
En la tabla de IOCs asociados a la GTI, se enumeran los IOCs adicionales que la GTI asocia con las campañas.
En la siguiente tabla, se describen las columnas:
| Nombre de la columna | Descripción |
|---|---|
| IOC | Muestra el dominio, la dirección IP, el hash o la URL. |
| Tipo | Muestra la categoría del IoC, como DOMAIN, IP, FILE, HASH_SHA256 o URL. |
| Puntuación de GTI | Muestra la puntuación de amenaza que asigna GTI en una escala de 0 a 100. |
| Actores asociados | Enumera los agentes de amenazas conectados al IoC.
Puedes hacer clic en el nombre de un actor para ver más información en el panel |
| Software malicioso asociado | Enumera las familias de malware vinculadas al IoC.
Puedes hacer clic en el nombre del software malicioso para ver más información en el panel |
| Se detectó un GTI | Muestra la marca de tiempo del momento en que GTI registró por primera vez el IoC. |
| Última actualización de GTI | Muestra la marca de tiempo de la última actualización del IoC por parte de GTI. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.