Vista detalhada de ameaças emergentes
O feed Ameaças emergentes oferece uma vista detalhada das campanhas ou dos relatórios selecionados. Quando seleciona uma ameaça no feed, o sistema abre uma página que combina informações da Google Threat Intelligence com dados do seu ambiente para ajudar a analisar o impacto e a cobertura das ameaças.
Cada página contém vários painéis expansíveis que apresentam informações de inteligência sobre ameaças relacionadas, dados de deteção e entidades associadas. Em cada painel, clique na chevron_forward Seta junto ao nome da secção para a expandir e ver mais detalhes.
A vista detalhada Ameaças emergentes inclui os seguintes painéis:
Regras associadas
O painel Regras associadas apresenta as regras de deteção relacionadas com a campanha selecionada. As associações de regras aplicam-se apenas a campanhas e não a relatórios.
As ameaças emergentes incorporam continuamente informações da GTI e alinham-nas com a telemetria da sua organização. Automatiza a deteção, o enriquecimento e a correlação de campanhas através dos seguintes processos:
- Incorporar informações detalhadas sobre campanhas: o sistema recolhe automaticamente informações detalhadas sobre campanhas da GTI, que incluem dados de investigação global, interações de resposta a incidentes da Mandiant e telemetria da Mandiant Managed Defense.
- Gerar eventos de registo simulados: em segundo plano, o Gemini produz eventos de registo simulados anónimos de alta fidelidade que refletem o comportamento real de um adversário.
- Realçar automaticamente a cobertura de deteção: o sistema executa os eventos de registo simulados em relação às regras de deteção e aos relatórios de cobertura preparados da Google Cloud Threat Intelligence (GCTI) que mostram onde o Google SecOps tem deteções e onde existem lacunas.
- Acelere a criação de regras: assim que forem identificadas lacunas, o Gemini cria automaticamente novas regras de deteção com base nos padrões testados e fornece um resumo da lógica das regras e do comportamento esperado. O passo final requer a revisão humana e a aprovação destas regras antes de as mover para produção.
A tabela seguinte descreve as colunas no painel Regras associadas:
| Nome da coluna | Descrição |
|---|---|
| Nome da regra | Apresenta o título da regra e o conjunto de regras ou a categoria de deteção associados. Se clicar no nome da regra, abre a página Detections, que
mostra as deteções produzidas por esta regra. |
| Etiquetas | Apresenta etiquetas ou regras de listas aplicadas à regra de deteção. |
| Atividade das últimas 4 semanas | Mostra a atividade de alertas ou deteções da regra nas últimas quatro semanas. |
| Última deteção | Apresenta a data/hora do alerta mais recente gerado pela regra. |
| Gravidade | Indica o nível de gravidade configurado para as deteções geradas pela regra especificada. |
| Alertas | Especifica se os alertas estão ativados ou desativados para a regra. |
| Estado em direto | Mostra se a regra está ativa ou inativa no seu ambiente. |
Se não existirem regras associadas à campanha, o painel apresenta o texto Sem regras.
Regras desativadas
O painel Regras desativadas apresenta regras de deteção relacionadas com a campanha que não estão atualmente ativadas, se existirem. Isto ajuda a identificar potenciais lacunas na cobertura de ameaças. As associações de regras para uma campanha são determinadas conforme descrito em Regras associadas.
A tabela seguinte descreve as colunas:
| Nome da coluna | Descrição | |
|---|---|---|
| Nome da regra | Mostra o nome da regra desativada. | Clique no nome da regra para abrir uma vista detalhada que descreve a lógica, a configuração e o conjunto de regras associado da regra, semelhante à vista na página Curated Detections. |
| Categoria | Apresenta o tipo ou a categoria da regra. | |
| Regra definida | Identifica a origem da regra, como Mandiant Frontline Threats, Mandiant Hunt Rules ou Mandiant Intel Emerging Threats. | |
| Precisão | Indica o tipo de precisão da regra (Ampla ou Precisa). | |
| Alertas | Mostra se os alertas estão ativados. | |
| Última atualização | Apresenta a data/hora da última modificação da regra. |
Entidades associadas recentes
O painel Entidades associadas recentes apresenta as entidades do seu ambiente que estão associadas à ameaça selecionada e potencialmente afetadas por ela.
O painel apresenta entidades de utilizadores e recursos que cumprem os seguintes critérios:
- Apareceu em deteções nos últimos sete dias.
- Apareceu em eventos associados a um IoC associado à ameaça.
- Ter uma classificação de risco atribuída.
A tabela seguinte descreve as colunas no painel Entidades associadas recentes:
| Nome da coluna | Descrição |
|---|---|
| Nome da entidade | Apresenta o recurso ou a entidade associada a uma campanha. Clique no nome da entidade para abrir a página Risk Analytics, que mostra detalhes sobre as alterações recentes da pontuação de risco dessa entidade e as deteções que contribuíram para tal. |
| Tipo de entidade | Indica o tipo de entidade, como recurso ou conta de utilizador. |
| Correspondências do COI | Mostra o número de IoCs da campanha que correspondem à telemetria da sua organização e estão associados à entidade em deteções recentes. |
| Classificação de risco da entidade | Apresenta a pontuação de risco calculada para a entidade com base em correspondências recentes de IoC. |
IOCs
O painel IOCs apresenta as seguintes tabelas:
Correspondências de COI
A tabela Correspondências de IOCs apresenta IOCs detetados ou correspondentes no seu ambiente para a campanha selecionada.
A tabela seguinte descreve as colunas:
| Nome da coluna | Descrição |
|---|---|
| COI | Apresenta o domínio, o endereço IP, o hash ou o URL. Se clicar no IoC, abre o painel Entity context, que faculta informações
adicionais sobre o IoC e onde foi detetado no seu ambiente. |
| Tipo | Apresenta a categoria de IoC, como DOMAIN, IP, FILE (HASH_SHA256) ou URL. |
| Pontuação GTI | Mostra a pontuação de ameaça atribuída pela GTI numa escala de 0 a 100. |
| Prioridade do GCTI | Indica o nível de prioridade relativa atribuído pelo GCTI. |
| Recursos | Apresenta os recursos no seu ambiente envolvidos em eventos que correspondem ao IoC. |
| Associações | Apresenta entidades de GTI relacionadas para o indicador, como autores de ameaças ou campanhas. |
| Visto pela primeira vez | Mostra quando o indicador foi detetado pela primeira vez no seu ambiente. |
| Última visualização | Mostra a hora mais recente em que o indicador foi detetado no seu ambiente. |
IOCs associados ao GTI
A tabela de IOCs associados ao GTI apresenta IOCs adicionais que o GTI associa às campanhas.
A tabela seguinte descreve as colunas:
| Nome da coluna | Descrição |
|---|---|
| COI | Apresenta o domínio, o endereço IP, o hash ou o URL. |
| Tipo | Apresenta a categoria de IoC, como DOMAIN, IP, FILE, HASH_SHA256 ou URL. |
| Pontuação GTI | Mostra a pontuação de ameaça atribuída pela GTI numa escala de 0 a 100. |
| Atores associados | Lista os autores de ameaças associados ao IoC.
Pode clicar no nome de um ator para ver mais informações no painel |
| Software malicioso associado | Apresenta as famílias de software malicioso associadas ao IoC.
Pode clicar no nome do software malicioso para ver mais informações no painel |
| GTI descoberto | Mostra a data/hora em que o GTI registou o IoC pela primeira vez. |
| Última atualização do GTI | Mostra a data/hora em que o IoC foi atualizado mais recentemente pelo GTI. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.