Visualização detalhada de novas ameaças
O feed Ameaças emergentes oferece uma visão detalhada das campanhas ou relatórios selecionados. Quando você seleciona uma ameaça no feed, o sistema abre uma página que combina informações da Google Threat Intelligence com dados do seu ambiente para ajudar você a analisar o impacto e a cobertura da ameaça.
Cada página contém vários painéis expansíveis que mostram inteligência de ameaças, dados de detecção e entidades associadas. Em cada painel, clique em chevron_forward Seta ao lado do nome da seção para expandir e ver mais detalhes.
A visualização detalhada de Ameaças emergentes inclui os seguintes painéis:
Regras associadas
O painel Regras associadas lista as regras de detecção relacionadas à campanha selecionada. As associações de regras se aplicam apenas a campanhas, não a relatórios.
O Emerging Threats ingere continuamente a inteligência da GTI e a alinha com a telemetria da sua organização. Ele automatiza a descoberta, o enriquecimento e a correlação de campanhas pelos seguintes processos:
- Ingerir inteligência de campanha: o sistema coleta automaticamente a inteligência de campanha do GTI, que inclui dados de pesquisas globais, interações de resposta a incidentes da Mandiant e telemetria da Mandiant Managed Defense.
- Gerar eventos de registro simulados: em segundo plano, o Gemini produz eventos de registro simulados anônimos e de alta fidelidade que espelham o comportamento real de adversários.
- Destacar automaticamente a cobertura de detecção: o sistema executa os eventos de registro simulados nas regras de detecção selecionadas e nos relatórios de cobertura da Google Cloud Inteligência de ameaças do Google Cloud (GCTI, na sigla em inglês) que mostram onde o Google SecOps tem detecções e onde há lacunas.
- Acelerar a criação de regras: depois que as lacunas são identificadas, o Gemini cria automaticamente novas regras de detecção com base nos padrões testados e fornece um resumo da lógica da regra e do comportamento esperado. A etapa final requer revisão humana e aprovação dessas regras antes de movê-las para a produção.
A tabela a seguir descreve as colunas no painel Regras associadas:
| Nome da coluna | Descrição |
|---|---|
| Nome da regra | Mostra o título da regra e o conjunto de regras ou a categoria de detecção associada. Ao clicar no nome da regra, a página Detections é aberta, mostrando as detecções produzidas por ela. |
| Tags | Lista as tags ou os rótulos de regras aplicados à regra de detecção. |
| Atividades das últimas 4 semanas | Mostra a atividade de alerta ou detecção da regra nas últimas quatro semanas. |
| Última detecção | Mostra o carimbo de data/hora do alerta mais recente gerado pela regra. |
| Gravidade | Indica o nível de gravidade configurado para as detecções geradas pela regra especificada. |
| Alertas | Especifica se os alertas estão ativados ou desativados para a regra. |
| Status ao vivo | Mostra se a regra está ativa ou inativa no seu ambiente. |
Se não houver regras associadas à campanha, o painel vai mostrar o texto Nenhuma regra.
Regras desativadas
O painel Regras desativadas lista as regras de detecção relacionadas à campanha que não estão ativadas, se houver alguma. Isso ajuda a identificar possíveis lacunas na cobertura de ameaças. As associações de regras de uma campanha são determinadas conforme descrito em Regras associadas.
A tabela a seguir descreve as colunas:
| Nome da coluna | Descrição | |
|---|---|---|
| Nome da regra | Mostra o nome da regra desativada. | Clique no nome da regra para abrir uma visualização detalhada que descreve a lógica, a configuração e o conjunto de regras associado, semelhante à visualização na página Curated Detections. |
| Categoria | Mostra o tipo ou a categoria da regra. | |
| Regra definida | Identifica a origem da regra, como Mandiant Frontline Threats, Mandiant Hunt Rules ou Mandiant Intel Emerging Threats. | |
| Precisão | Indica o tipo de precisão da regra (Ampla ou Precisa). | |
| Alertas | Mostra se os alertas estão ativados. | |
| Última atualização | Mostra o carimbo de data/hora da última modificação da regra. |
Entidades associadas recentes
O painel Entidades associadas recentes lista as entidades do seu ambiente que estão vinculadas à ameaça selecionada e podem ser afetadas por ela.
O painel lista entidades de usuário e de recurso que atendem aos seguintes critérios:
- Apareceu em detecções nos últimos sete dias.
- Apareceu em eventos vinculados a um IoC associado à ameaça.
- Ter uma pontuação de risco atribuída.
A tabela a seguir descreve as colunas no painel Entidades associadas recentes:
| Nome da coluna | Descrição |
|---|---|
| Nome da entidade | Mostra o recurso ou a entidade associada a uma campanha. Clique no nome da entidade para abrir a página Análise de risco, que mostra detalhes sobre as mudanças recentes na pontuação de risco dessa entidade e as detecções que contribuíram para ela. |
| Tipo de entidade | Indica o tipo de entidade, como recurso ou conta de usuário. |
| Correspondências de IOC | Mostra o número de IoCs da campanha que correspondem à telemetria da sua organização e estão associados à entidade em detecções recentes. |
| Pontuação de risco da entidade | Mostra a pontuação de risco calculada para a entidade com base em correspondências recentes de IoC. |
IOCs
O painel IOCs mostra as seguintes tabelas:
Correspondências de IOC
A tabela Correspondências de IOC lista os IOCs detectados ou correspondentes no seu ambiente para a campanha selecionada.
A tabela a seguir descreve as colunas:
| Nome da coluna | Descrição |
|---|---|
| IOC | Mostra o domínio, o endereço IP, o hash ou o URL. Clique no IoC para abrir o painel Entity context, que fornece mais informações sobre o IoC e onde ele foi visto no seu ambiente. |
| Tipo | Mostra a categoria do IoC, como DOMAIN, IP, FILE (HASH_SHA256) ou URL. |
| Pontuação do GTI | Mostra a pontuação de ameaça atribuída pelo GTI em uma escala de 0 a 100. |
| Prioridade do GCTI | Indica o nível de prioridade relativa atribuído pela GCTI. |
| Recursos | Lista os recursos no seu ambiente envolvidos em eventos que correspondem ao IoC. |
| Associações | Mostra entidades relacionadas do GTI para o indicador, como agentes de ameaças ou campanhas. |
| Visto pela primeira vez | Mostra quando o indicador foi detectado pela primeira vez no seu ambiente. |
| Visto pela última vez | Mostra a hora mais recente em que o indicador foi detectado no seu ambiente. |
IOCs associados ao GTI
A tabela de IOCs associados ao GTI lista outros IOCs que o GTI associa às campanhas.
A tabela a seguir descreve as colunas:
| Nome da coluna | Descrição |
|---|---|
| IOC | Mostra o domínio, o endereço IP, o hash ou o URL. |
| Tipo | Mostra a categoria do IoC, como DOMAIN, IP, FILE, HASH_SHA256 ou URL. |
| Pontuação do GTI | Mostra a pontuação de ameaça atribuída pelo GTI em uma escala de 0 a 100. |
| Atores associados | Lista os agentes de ameaças conectados ao IoC.
Clique no nome de um ator para ver mais informações no painel |
| Malware associado | Lista as famílias de malware vinculadas ao IoC.
Clique no nome do malware para ver mais informações no painel |
| Descoberto pelo GTI | Mostra o carimbo de data/hora de quando o GTI registrou o IoC pela primeira vez. |
| Última atualização do GTI | Mostra o carimbo de data/hora da última atualização do IoC pela GTI. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.