Übersicht über das Emerging Threats Center

Unterstützt in:

Das Emerging Threats Center in Google Security Operations bietet KI-basierte Bedrohungsinformationen, mit denen Sie nachvollziehen können, wie sich aktuelle und neue Bedrohungskampagnen auf Ihr Unternehmen auswirken könnten. Es basiert auf Applied Threat Intelligence (ATI) und wird von Google Threat Intelligence (GTI) und Gemini-Modellen unterstützt.

Das Emerging Threats Center bietet eine kuratierte Ansicht der wichtigsten globalen Bedrohungen von GTI, die Risiken für Ihre Umgebung darstellen, einschließlich IoCs, Erkennungstreffern und betroffenen Entitäten. Gemini wandelt große Mengen an Rohdaten in umsetzbare Erkenntnisse um, sodass Sie Bedrohungsdaten direkt in Ihren Prüfworkflows operationalisieren können.

Weitere Informationen zu den IAM-Berechtigungen, die für den Zugriff auf die Seite Emerging Threats erforderlich sind, finden Sie unter Emerging Threats: threatCollections and iocAssociations.

Hauptvorteile

Das Emerging Threats Center stärkt die Sichtbarkeit Ihrer Organisation in Bezug auf aktive und sich entwickelnde Bedrohungskampagnen.
Sie bietet folgende Vorteile:

  • Kontinuierliche Sichtbarkeit von Bedrohungen: GTI-Kampagnendaten werden kontinuierlich in Ihrem Arbeitsbereich angezeigt, sodass Sie immer über relevante Bedrohungskampagnen informiert sind, während sie sich entwickeln.
  • Umsetzbare Statistiken: Sie erhalten angereicherte, kontextbezogene Ergebnisse, anstatt Bedrohungsberichte manuell durchsuchen zu müssen.
  • Schnellere Validierung der Erkennung: Automatisierte Prozesse helfen Ihnen, die Erkennungsabdeckung zu validieren und Kampagnendaten mit weniger manuellem Aufwand zu überprüfen.
  • Geringerer Betriebsaufwand: Durch die automatische Generierung von Erkennungen wird der manuelle Aufwand für das Parsen von Bedrohungsberichten nach Erkennungsmöglichkeiten reduziert.

Emerging Threats Center-Feed

Im Feed „Emerging Threats Center“ in Google SecOps werden KI-basierte Bedrohungsinformationen von Google Threat Intelligence (GTI) in Echtzeit angezeigt. So können Sie potenzielle Sicherheitsrisiken in Ihrer Umgebung erkennen, indem Sie aktive und neu auftretende Bedrohungskampagnen aufdecken, die für Ihre Organisation am relevantesten sind.

Dieser Feed bietet eine kuratierte Ansicht von Kampagnen und Berichten sowie den zugehörigen Bedrohungsakteuren und Malware-Familien. Damit können Sie Beziehungen zwischen Bedrohungen untersuchen und Details zu Bedrohungskampagnen abrufen.

Die im Feed angezeigten Berichte sind auf die von GTI erstellten Berichte beschränkt und enthalten keine von Nutzern erstellten Berichte, die in GTI selbst sichtbar sind.

Filter anwenden und Kampagnen ansehen

Sie können den Feed des Emerging Threats Center filtern, um die Liste der Kampagnen und Berichte anhand bestimmter Kriterien aufzurufen.

So wenden Sie Filter an:

  1. Klicken Sie im Feed Emerging Threats Center auf  filter_alt Filtern.
  2. Wählen Sie im Dialogfeld Filter den logischen Operator aus:
    • ODER: Entspricht einem der ausgewählten Filter.
    • UND: Entspricht allen ausgewählten Filtern.
  3. Wählen Sie eine Filterkategorie aus:
    • Zugehörige Malware: Filtern Sie nach bestimmten Malware-Familien, die mit der Bedrohung verknüpft sind.
    • Verknüpfte Tools: Filtern Sie nach bestimmten Tools, die in der Kampagne verwendet werden.
    • Quellregionen: Filtern Sie nach der geografischen Region, aus der die Bedrohung stammt.
    • Zielbranchen: Filtern Sie nach den Branchen, auf die die Kampagne ausgerichtet ist.
    • Zielregionen: Filtern Sie nach der geografischen Zielregion.
    • Associated threat actors (Zugehörige Angreifer): Filtern Sie nach bestimmten Angreifern, die mit der Kampagne in Verbindung stehen.
    • IoC-Übereinstimmungen: Hier sehen Sie Kampagnen, die IoCs enthalten, die mit Ihrer Umgebung übereinstimmen.
    • Objekttypen: Je nach Schwerpunkt Ihrer Analyse können Sie entweder Kampagnen oder Berichte aufrufen.

Die ausgewählten Filter werden als Infofelder über der Tabelle angezeigt.

Bedrohungskarten

Jede Bedrohung im Feed wird als Karte mit folgenden Informationen angezeigt:

  • Titel und Zusammenfassung der Bedrohung: Eine kurze Beschreibung der Bedrohungsaktivität.
  • Zugehörige Metadaten: Eine Übersicht über die Zielbranchen, Zielregionen, zugehörige Malware und Bedrohungsakteure.
  • Badges: Schnelle Indikatoren, die IoC-Übereinstimmungen und zugehörige Regeln anzeigen.
    • Bei Kampagnen und Berichten wird mit dem IOCs-Symbol angegeben, ob IOCs im Bericht oder in der Kampagne mit Daten aus Ihrer Umgebung übereinstimmen.
    • Bei Kampagnen wird mit dem Regeln-Symbol die Anzahl der zugehörigen Erkennungsregeln angezeigt, die in Ihrer Umgebung aktiviert sind. Ein Badge mit der Aufschrift 1/2 rules bedeutet beispielsweise, dass nur eine der beiden verfügbaren Regeln für diese Kampagne in Ihrer Umgebung aktiviert ist.

Bewegen Sie den Mauszeiger auf das Symbol, um die Aufschlüsselung der Anzahl der allgemeinen und genauen Regeln sowie deren Aktivierungsstatus anzuzeigen.

Zugehörige Angreifer und Malware ansehen

Wenn Sie zugehörige Akteure und Malware aufrufen möchten, klicken Sie auf eine Bedrohungsübersichtskarte, um detaillierte Informationen zur Bedrohung aufzurufen, darunter:

  • Associated Actors (Zugehörige Akteure): Hier wird der Bereich Actor Details (Akteurdetails) angezeigt, der Abschnitte für den Akteurnamen, die Zusammenfassung, das bekannte Herkunftsland, das Datum des ersten und letzten Auftretens sowie zugehörige Kampagnen, Malware und Indikatoren enthält.

  • Zugehörige Malware: Hier wird der Bereich Malware-Details angezeigt, der Abschnitte für Malware-Familie, Zusammenfassung, Betriebssystem, gemeldete Aliase und zugehörige Kampagnen, Akteure oder Indikatoren enthält.

Klicken Sie in jedem Bereich neben einem Abschnittsnamen auf keyboard_arrow_down, um ihn zu maximieren und weitere Details aufzurufen. Alternativ können Sie diese Details direkt in GTI öffnen, um weitere Informationen zu erhalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten