Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rileva le minacce

Supportato in:

Google secops SIEM

Questa guida è rivolta agli ingegneri di rilevamento che vogliono rilevare le minacce per la loro organizzazione. Spiega come sfruttare l'interfaccia delle regole unificata per accelerare le funzionalità di rilevamento delle minacce.

Casi d'uso comuni

I casi d'uso comuni per questo flusso di lavoro includono:

Deployment accelerato delle regole

Obiettivo: identificare e attivare rapidamente i rilevamenti predefiniti per tattiche specifiche degli avversari (ad esempio, Initial Access).

Valore: riduce il tempo medio di rilevamento (MTTD) per i vettori di attacco comuni senza richiedere lo sviluppo manuale delle regole.

Gestione centralizzata del ciclo di vita delle regole

Obiettivo: monitorare l'esecuzione, lo stato e la cronologia di deployment delle regole da un'unica console.

Valore: migliora la supervisione operativa e garantisce che i rilevamenti attivi funzionino come previsto.

Terminologia chiave

Rilevamenti selezionati: set di rilevamento predefiniti gestiti da Google Cloud esperti di sicurezza.
Interfaccia delle regole unificata: una console di gestione consolidata per le regole YARA-L personalizzate e i contenuti selezionati.
Deployment delle regole: lo stato di una regola (live o archiviata) e la relativa configurazione degli avvisi.
Retro hunt: un processo che esegue una regola sui dati storici per trovare le istanze passate di una minaccia.

Prima di iniziare

Se il tuo team utilizza ruoli IAM personalizzati, assicurati di disporre delle seguenti autorizzazioni per lavorare con la dashboard e l'editor delle regole unificati.

Autorizzazioni della dashboard delle regole

Autorizzazione Autorizzazione IAM obbligatoria

Autorizzazione	Autorizzazione IAM obbligatoria
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends` `chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.rules.get` `chronicle.rules.listRevisions` `chronicle.legacies.legacyTestRuleStreaming` `chronicle.legacies.legacyFetchAlertsView`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules` `chronicle.rules.create` `chronicle.rules.update` `chronicle.rules.verifyRuleText`

View

chronicle.rules.list
chronicle.retrohunts.list
chronicle.ruleDeployments.list
chronicle.legacies.legacySearchCustomerStats
chronicle.legacies.legacyGetRuleCounts
chronicle.legacies.legacyGetRulesTrends
chronicle.legacies.legacyGetCuratedRulesTrends
chronicle.sharedPreferenceSets.get
chronicle.sharedPreferenceSets.list
chronicle.rules.get
chronicle.rules.listRevisions
chronicle.legacies.legacyTestRuleStreaming
chronicle.legacies.legacyFetchAlertsView

Edit

chronicle.retrohunts.create
chronicle.ruleDeployments.update
chronicle.ModifyRules
chronicle.rules.create
chronicle.rules.update
chronicle.rules.verifyRuleText

Visualizzazioni salvate: elenca e crea visualizzazioni delle regole salvate

Autorizzazione	Autorizzazione IAM obbligatoria
`Manage`	`chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.sharedPreferenceSets.create` `chronicle.sharedPreferenceSets.update` `chronicle.sharedPreferenceSets.delete`

Autorizzazioni dell'editor di regole

Componente	Autorizzazione IAM (se utilizzi IAM)	Autorizzazione dell'analista (se utilizzi RBAC legacy)
Pagina dell'editor di regole	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
Sezione dell'elenco dei riferimenti correlati	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
Sezione della tabella dati correlata	`chronicle.dataTables.get` `chronicle.dataTables.list`	N/D
Pulsante Crea nuova regola	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
Pulsante Testa regola	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
Menu Ambito della regola	`chronicle.rules.update`	`detectRulesEdit`
Pulsante Salva regola	`chronicle.rules.update`	`detectRulesEdit`
Pulsante Salva come nuova regola	`chronicle.rules.create`	`detectRulesCreate`
Pulsante Retro hunt della regola	`chronicle.retrohunts.create`	`detectRulesRun`
Attiva/disattiva Regola live	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Attiva/disattiva Avviso regola	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Attiva/disattiva Frequenza di esecuzione della regola	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Attiva/disattiva Archivia e ripristina regola	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Visualizza la regola selezionata nell'editor	`chronicle.featuredContentRules.list`	N/D

Gestisci le preferenze dell'interfaccia unificata

Puoi passare dall'esperienza unificata alla visualizzazione legacy sia per la dashboard delle regole sia per l'editor di regole. Una volta effettuata una selezione, l'istanza salva la preferenza e carica per impostazione predefinita la versione specifica.

Dashboard delle regole: per attivare la dashboard delle regole unificata, vai alla dashboard delle regole e fai clic su Prova la nostra nuova pagina delle regole unificata. Per disattivare, fai clic su Torna alla dashboard delle regole legacy.
Editor di regole: per attivare il nuovo editor di regole, vai alla pagina dell'editor di regole e fai clic su Nuova pagina dell'editor di regole. Per disattivare, fai clic su Pagina dell'editor di regole legacy.

Accelera il rilevamento delle minacce con le regole selezionate

Puoi utilizzare l'interfaccia delle regole unificata per identificare i rilevamenti per tattiche MITRE ATT&CK specifiche. Per trovare le regole con gli avvisi attivati e correlate all'accesso iniziale:

Vai alla dashboard Regole.
Utilizza la barra di ricerca per filtrare minacce specifiche.

Ad esempio, per trovare le regole selezionate relative all'accesso iniziale (tattica MITRE ATT&CK TA0001), utilizza la seguente query di ricerca:

alerting_enabled = true AND tags:"TA0001"

Per il filtro complesso, consulta la sintassi avanzata nella pagina Cerca regole.
(Facoltativo) Seleziona una regola dai risultati di ricerca per visualizzarne i dettagli.
Fai clic su Menu accanto alla regola di cui vuoi eseguire il deployment.
Fai clic sugli interruttori Regola live e Avvisi per iniziare a rilevare attivamente le minacce.

Puoi monitorare l'esecuzione, lo stato e la cronologia degli avvisi della regola dalla dashboard.

Risoluzione dei problemi

Latenza e limiti

Esecuzione delle regole: potrebbe verificarsi un breve ritardo di propagazione (in genere pochi minuti) tra il salvataggio di una regola e la visualizzazione delle relative metriche di esecuzione nella dashboard.
Limiti di retro hunt: i rilevamenti predefiniti non possono essere eseguiti come retro hunt. Inoltre, i retro hunt sono soggetti a limiti della finestra temporale in base al livello di conservazione dei dati.

Correzione degli errori

Codice di errore	Descrizione del problema	Correggi
403 - Vietato	Autorizzazioni mancanti per visualizzare i contenuti selezionati.	Assicurati che `chronicle.featuredContentRules.list` sia aggiunto al tuo ruolo IAM.
Deployment non riuscito	Errore di sintassi o conflitto delle regole.	Utilizza il pulsante Testa regola nell'editor di regole per convalidare la sintassi YARA-L.

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.