“新出现的威胁”详细视图
新出现的威胁 Feed 可提供所选广告系列或报告的详细视图。当您在 Feed 中选择某个威胁时,系统会打开一个页面,其中包含 Google Threat Intelligence 的信息以及您环境中的数据,以帮助您分析威胁影响和覆盖范围。
每个页面都包含多个可展开的面板,其中显示了相关的威胁情报、检测数据和关联实体。在每个面板中,点击版块名称旁边的 chevron_forward 箭头,展开该版块并查看更多详细信息。
新出现的威胁详细视图包含以下面板:
关联的规则
关联规则面板列出了与所选广告系列相关的检测规则。规则关联仅适用于广告系列,不适用于报告。
“新兴威胁”会持续从 GTI 提取情报,并将其与组织的遥测数据相匹配。它通过以下流程自动执行广告系列发现、丰富和关联:
- 提取攻击行动情报:系统会自动从 GTI 收集攻击行动情报,包括来自全球研究、Mandiant 突发事件响应互动和 Mandiant Managed Defense 遥测技术的数据。
- 生成模拟日志事件:在后台,Gemini 会生成高保真度的匿名模拟日志事件,这些事件可反映真实的攻击者行为。
- 自动突出显示检测覆盖范围:系统会针对 Google Cloud 威胁情报 (GCTI) 精选检测规则运行模拟日志事件,并生成覆盖范围报告,其中会显示 Google SecOps 的检测范围以及存在的缺口。
- 加快规则创建速度:发现差距后,Gemini 会根据测试的模式自动起草新的检测规则,并提供规则逻辑和预期行为的摘要。最后一步需要人工审核并批准这些规则,然后才能将它们移至生产环境。
下表介绍了关联规则面板中的列:
| 列名称 | 说明 |
|---|---|
| 规则名称 | 显示规则标题和关联的规则集或检测类别。 点击规则名称可打开 Detections 页面,其中显示了此规则生成的检测结果。 |
| 标记 | 列出应用于检测规则的规则标记或标签。 |
| 过去 4 周的活动 | 显示相应规则在过去 4 周内的提醒或检测活动。 |
| 上次检测时间 | 显示规则生成的最新提醒的时间戳。 |
| 严重程度 | 表示为相应规则生成的检测结果配置的严重级别。 |
| 提醒 | 指定是否为相应规则启用或停用提醒。 |
| 直播状态 | 显示规则在您的环境中是处于有效状态还是无效状态。 |
如果没有任何规则与相应广告系列相关联,该面板会显示“无规则”文本。
已停用的规则
已停用的规则面板会列出与广告系列相关的当前未启用的检测规则(如果有)。这有助于您发现潜在的威胁覆盖范围缺口。广告系列的规则关联如关联规则中所述。
下表介绍了各个列:
| 列名称 | 说明 | |
|---|---|---|
| 规则名称 | 显示已停用规则的名称。 | 点击规则名称可打开详细视图,其中介绍了规则的逻辑、配置和关联的规则集,类似于 Curated Detections 页面上的视图。 |
| 类别 | 显示规则类型或类别。 | |
| 规则集 | 用于标识规则来源,例如 Mandiant Frontline Threats、Mandiant Hunt Rules 或 Mandiant Intel Emerging Threats。 | |
| 精确率 | 指明规则精确度类型(宽泛或精确)。 | |
| 提醒 | 显示是否已启用提醒功能。 | |
| 上次更新时间 | 显示规则上次修改时的时间戳。 |
最近关联的实体
近期关联的实体面板会列出您环境中与所选威胁相关联且可能受到该威胁影响的实体。
该面板列出了符合以下条件的用户和资源实体:
- 在过去 7 天内的检测结果中出现过。
- 出现在与威胁关联的 IoC 相关的事件中。
- 具有分配的风险得分。
下表介绍了最近关联的实体面板中的列:
| 列名称 | 说明 |
|---|---|
| 实体名称 | 显示与广告系列相关联的素材资源或实体。 点击实体名称,打开风险分析页面,其中会显示该实体近期风险得分变化的详细信息以及促成这些变化的检测结果。 |
| 实体类型 | 表示实体类型,例如资产或用户账号。 |
| IOC 匹配项 | 显示广告系列中与贵组织的遥测数据相匹配且与近期检测到的实体相关联的 IoC 数量。 |
| 实体风险得分 | 显示根据近期 IoC 匹配项计算出的实体的风险得分。 |
IOC
IOC 面板会显示以下表格:
IOC 匹配项
IOC 匹配项表格会列出在所选广告系列的环境中检测到或匹配到的 IOC。
下表介绍了各个列:
| 列名称 | 说明 |
|---|---|
| IOC | 显示网域、IP 地址、哈希或网址。 点击 IoC 会打开 Entity context 面板,其中提供了有关 IoC 的更多信息以及该 IoC 在您的环境中的出现位置。 |
| 类型 | 显示 IoC 类别,例如 DOMAIN、IP、FILE (HASH_SHA256) 或 网址。 |
| GTI 分数 | 显示 GTI 分配的威胁得分,范围为 0-100。 |
| GCTI 优先级 | 表示由 GCTI 分配的相对优先级。 |
| 资产 | 列出环境中涉及与 IoC 匹配的事件的资产。 |
| 关联 | 显示相应指标的相关 GTI 实体,例如威胁行为者或攻击活动。 |
| 首次出现时间 | 显示首次在您的环境中检测到相应指标的时间。 |
| 上次出现时间 | 显示最近一次在您的环境中检测到相应指标的时间。 |
与 GTI 关联的 IOC
“与 GTI 关联的 IOC”表格列出了 GTI 与广告系列关联的其他 IOC。
下表介绍了各个列:
| 列名称 | 说明 |
|---|---|
| IOC | 显示网域、IP 地址、哈希或网址。 |
| 类型 | 显示 IoC 类别,例如 DOMAIN、IP、FILE、HASH_SHA256 或 网址。 |
| GTI 分数 | 显示 GTI 分配的威胁得分,范围为 0-100。 |
| 关联的行为者 | 列出与 IOC 关联的威胁行为者。
您可以点击演员的姓名,在 |
| 关联的恶意软件 | 列出与 IoC 关联的恶意软件系列。
您可以点击恶意软件名称,在 |
| GTI 发现的时间 | 显示 GTI 首次记录 IoC 的时间戳。 |
| GTI 上次更新时间 | 显示 GTI 最近一次更新 IoC 时的时间戳。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。