Visualizzazione dettagliata di Minacce emergenti
Il feed Minacce emergenti fornisce una visualizzazione dettagliata delle campagne o dei report selezionati. Quando selezioni una minaccia nel feed, il sistema apre una pagina che combina le informazioni di Google Threat Intelligence con i dati del tuo ambiente per aiutarti ad analizzare l'impatto e la copertura della minaccia.
Ogni pagina contiene diversi pannelli espandibili che mostrano informazioni sulle minacce correlate, dati di rilevamento ed entità associate. In ogni riquadro, fai clic sulla chevron_forward freccia accanto al nome della sezione per espanderla e visualizzare maggiori dettagli.
La visualizzazione dettagliata Minacce emergenti include i seguenti riquadri:
Regole associate
Il riquadro Regole associate elenca le regole di rilevamento correlate alla campagna selezionata. Le associazioni di regole si applicano solo alle campagne, non ai report.
Emerging Threats acquisisce continuamente intelligence da GTI e la allinea alla telemetria della tua organizzazione. Automatizza l'individuazione, l'arricchimento e la correlazione delle campagne tramite i seguenti processi:
- Acquisizione di informazioni sulle campagne: il sistema raccoglie automaticamente le informazioni sulle campagne da GTI, che includono dati provenienti da ricerche globali, interazioni di risposta agli incidenti di Mandiant e dati di telemetria di Mandiant Managed Defense.
- Genera eventi di log simulati: in background, Gemini produce eventi di log simulati anonimizzati ad alta fedeltà che rispecchiano il comportamento reale degli avversari.
- Evidenzia automaticamente la copertura del rilevamento: il sistema esegue gli eventi di log simulati in base alle regole di rilevamento curate e ai report sulla copertura di Google Cloud Threat Intelligence (GCTI), che mostrano dove Google SecOps ha rilevamenti e dove esistono lacune. Google Cloud
- Accelerare la creazione di regole: una volta identificati i gap, Gemini crea automaticamente nuove regole di rilevamento in base ai pattern testati e fornisce un riepilogo della logica della regola e del comportamento previsto. Il passaggio finale richiede la revisione e l'approvazione umana di queste regole prima di spostarle in produzione.
La tabella seguente descrive le colonne del riquadro Regole associate:
| Nome colonna | Descrizione |
|---|---|
| Nome regola | Mostra il titolo della regola e la serie di regole o la categoria di rilevamento associata. Se fai clic sul nome della regola, si apre la pagina Detections, che
mostra i rilevamenti prodotti da questa regola. |
| Tag | Elenca i tag o le etichette delle regole applicati alla regola di rilevamento. |
| Attività delle ultime 4 settimane | Mostra l'attività di avviso o rilevamento per la regola nelle ultime quattro settimane. |
| Ultimo rilevamento | Mostra il timestamp dell'avviso più recente generato dalla regola. |
| Gravità | Indica il livello di gravità configurato per i rilevamenti generati dalla regola specificata. |
| Avvisi | Specifica se gli avvisi sono attivati o disattivati per la regola. |
| Stato live | Mostra se la regola è attiva o non attiva nel tuo ambiente. |
Se alla campagna non sono associate regole, nel riquadro viene visualizzato il testo Nessuna regola.
Regole disabilitate
Il riquadro Regole disattivate elenca le regole di rilevamento correlate alla campagna che al momento non sono attive, se presenti. In questo modo puoi identificare potenziali lacune nella copertura delle minacce. Le associazioni di regole per una campagna sono determinate come descritto in Regole associate.
La seguente tabella descrive le colonne:
| Nome colonna | Descrizione | |
|---|---|---|
| Nome regola | Mostra il nome della regola disattivata. | Fai clic sul nome della regola per aprire una visualizzazione dettagliata che descrive la logica, la configurazione e la serie di regole associata, in modo simile alla visualizzazione nella pagina Curated Detections. |
| Categoria | Mostra il tipo o la categoria di regola. | |
| Serie di regole | Identifica l'origine della regola, ad esempio Mandiant Frontline Threats, Mandiant Hunt Rules o Mandiant Intel Emerging Threats. | |
| Precisione | Indica il tipo di precisione della regola (Ampia o Precisa). | |
| Avvisi | Indica se la generazione degli avvisi è abilitata. | |
| Ultimo aggiornamento | Mostra il timestamp dell'ultima modifica della regola. |
Entità associate recenti
Il riquadro Entità associate recenti elenca le entità del tuo ambiente collegate alla minaccia selezionata e potenzialmente interessate.
Il riquadro elenca le entità utente e asset che soddisfano i seguenti criteri:
- È apparso nei rilevamenti negli ultimi sette giorni.
- Visualizzato in eventi collegati a un indicatore di compromissione associato alla minaccia.
- Avere un punteggio di rischio assegnato.
La tabella seguente descrive le colonne del riquadro Entità associate recenti:
| Nome colonna | Descrizione |
|---|---|
| Nome entità | Visualizza l'asset o l'entità associati a una campagna. Fai clic sul nome dell'entità per aprire la pagina Analisi del rischio, che mostra i dettagli sulle recenti modifiche del punteggio di rischio dell'entità e i rilevamenti che hanno contribuito a queste modifiche. |
| Tipo di entità | Indica il tipo di entità, ad esempio asset o account utente. |
| Corrispondenze IOC | Mostra il numero di indicatori di compromissione della campagna che corrispondono alla telemetria della tua organizzazione e sono associati all'entità nei rilevamenti recenti. |
| Punteggio di rischio dell'entità | Mostra il punteggio di rischio calcolato per l'entità in base alle corrispondenze IoC recenti. |
IOC
Il riquadro IOC mostra le seguenti tabelle:
Corrispondenze IOC
La tabella Corrispondenze IOC elenca gli indicatori di compromissione rilevati o corrispondenti all'interno del tuo ambiente per la campagna selezionata.
La seguente tabella descrive le colonne:
| Nome colonna | Descrizione |
|---|---|
| IOC | Visualizza il dominio, l'indirizzo IP, l'hash o l'URL. Se fai clic sull'indicatore di compromissione, si apre il riquadro Entity context, che fornisce ulteriori
informazioni sull'indicatore di compromissione e su dove è stato rilevato nel tuo ambiente. |
| Tipo | Mostra la categoria IoC, ad esempio DOMAIN, IP, FILE (HASH_SHA256) o URL. |
| Punteggio GTI | Mostra il punteggio di minaccia assegnato da GTI su una scala da 0 a 100. |
| Priorità GCTI | Indica il livello di priorità relativo assegnato da GCTI. |
| Asset | Elenca gli asset nel tuo ambiente coinvolti in eventi corrispondenti all'indicatore di compromissione. |
| Associazioni | Mostra le entità GTI correlate per l'indicatore, ad esempio gli autori delle minacce o le campagne. |
| Prima visualizzazione | Mostra quando l'indicatore è stato rilevato per la prima volta nel tuo ambiente. |
| Ultima visualizzazione | Mostra l'ora più recente in cui l'indicatore è stato rilevato nel tuo ambiente. |
IOC associati a GTI
La tabella degli IOC associati a GTI elenca IOC aggiuntivi che GTI associa alle campagne.
La seguente tabella descrive le colonne:
| Nome colonna | Descrizione |
|---|---|
| IOC | Visualizza il dominio, l'indirizzo IP, l'hash o l'URL. |
| Tipo | Mostra la categoria IoC, ad esempio DOMAIN, IP, FILE, HASH_SHA256 o URL. |
| Punteggio GTI | Mostra il punteggio di minaccia assegnato da GTI su una scala da 0 a 100. |
| Attori associati | Elenca gli autori delle minacce collegati all'indicatore di compromissione.
Puoi fare clic sul nome di un attore per visualizzare ulteriori informazioni nel riquadro |
| Malware associato | Elenca le famiglie malware collegate all'indicatore di compromissione.
Puoi fare clic sul nome del malware per visualizzare ulteriori informazioni nel riquadro |
| GTI rilevato | Mostra il timestamp di quando GTI ha registrato per la prima volta l'IOC. |
| Ultimo aggiornamento GTI | Mostra il timestamp dell'ultimo aggiornamento dell'indicatore di compromissione da parte di GTI. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.