Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mendeteksi ancaman

Didukung di:

Google SecOps SIEM

Panduan ini ditujukan untuk engineer deteksi yang ingin mendeteksi ancaman bagi organisasi mereka. Artikel ini menjelaskan cara memanfaatkan antarmuka aturan terpadu untuk meningkatkan kemampuan deteksi ancaman Anda.

Kasus penggunaan umum

Kasus penggunaan umum untuk alur kerja ini mencakup:

Deployment aturan yang dipercepat

Tujuan: Mengidentifikasi dan mengaktifkan deteksi yang dikurasi dengan cepat untuk taktik penyerang tertentu (misalnya, Initial Access).

Nilai: Mengurangi rata-rata waktu untuk mendeteksi (MTTD) vektor serangan umum tanpa memerlukan pengembangan aturan manual.

Pengelolaan siklus proses aturan terpusat

Tujuan: Memantau eksekusi aturan, status, dan histori deployment dari satu konsol.

Nilai: Meningkatkan pengawasan operasional dan memastikan bahwa deteksi aktif berfungsi seperti yang diharapkan.

Terminologi utama

Deteksi pilihan: Set deteksi bawaan yang dikelola oleh pakar keamanan Google Cloud.
Antarmuka aturan terpadu: Konsol pengelolaan gabungan untuk aturan YARA-L kustom dan konten pilihan.
Deployment aturan: Status aturan (aktif atau diarsipkan) dan konfigurasi pemberitahuan terkaitnya.
Perburuan retro: Proses yang menjalankan aturan terhadap data historis untuk menemukan instans ancaman di masa lalu.

Sebelum memulai

Jika tim Anda menggunakan peran IAM kustom, pastikan Anda memiliki izin berikut untuk menggunakan dasbor dan editor aturan terpadu.

Izin dasbor aturan

Izin	Izin IAM yang diperlukan
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules`

Izin editor aturan

Komponen	Izin IAM (jika Anda menggunakan IAM)	Izin Analis (jika Anda menggunakan RBAC lama)
Halaman Editor aturan	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
Bagian daftar referensi terkait	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
Bagian tabel data terkait	`chronicle.dataTables.get` `chronicle.dataTables.list`	T/A
Tombol Buat aturan baru	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
Tombol Uji aturan	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
Menu Cakupan aturan	`chronicle.rules.update`	`detectRulesEdit`
Tombol Simpan aturan	`chronicle.rules.update`	`detectRulesEdit`
Tombol Simpan sebagai aturan baru	`chronicle.rules.create`	`detectRulesCreate`
Tombol Rule retro hunt	`chronicle.retrohunts.create`	`detectRulesRun`
Tombol Rule live	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Tombol Pemberitahuan aturan	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Tombol Frekuensi eksekusi aturan	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Tombol Arsip dan batalkan pengarsipan aturan	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Melihat aturan pilihan di editor	`chronicle.featuredContentRules.list`	T/A

Mengelola preferensi antarmuka terpadu Anda

Anda dapat beralih antara pengalaman terpadu dan tampilan lama untuk dasbor aturan dan editor aturan. Setelah Anda memilih, instance Anda akan menyimpan preferensi Anda dan memuat versi tertentu tersebut secara default.

Dasbor aturan: Untuk mengaktifkan dasbor aturan terpadu, buka dasbor aturan, lalu klik Coba halaman aturan terpadu baru kami. Untuk memilih tidak ikut, klik Kembali ke dasbor aturan lama.
Editor aturan: Untuk mengaktifkan editor aturan baru, buka halaman editor aturan, lalu klik Halaman editor aturan baru. Untuk memilih tidak ikut, klik Halaman editor aturan lama.

Mempercepat deteksi ancaman dengan aturan yang dikurasi

Anda dapat menggunakan antarmuka aturan terpadu untuk mengidentifikasi deteksi untuk taktik MITRE ATT&CK tertentu. Untuk menemukan aturan yang mengaktifkan pemberitahuan dan terkait dengan akses awal, lakukan hal berikut:

Buka dasbor Aturan.
Gunakan kotak penelusuran untuk memfilter ancaman tertentu.

Misalnya, untuk menemukan aturan pilihan yang terkait dengan akses awal (taktik MITRE ATT&CK TA0001), gunakan kueri penelusuran berikut:

alerting_enabled = true AND tags:"TA0001"

Untuk pemfilteran yang kompleks, lihat sintaksis lanjutan di halaman aturan Penelusuran.
Opsional: Pilih aturan dari hasil penelusuran Anda untuk melihat detail aturan.
Klik Menu di samping aturan yang ingin Anda terapkan.
Klik tombol Aturan aktif dan Pemberitahuan untuk mulai mendeteksi ancaman secara aktif.

Anda dapat melacak eksekusi, status, dan histori pemberitahuan aturan dari dasbor.

Pemecahan masalah

Latensi dan batas

Eksekusi aturan: Mungkin ada penundaan propagasi singkat (biasanya beberapa menit) antara penyimpanan aturan dan melihat metrik eksekusi pertamanya di dasbor.
Batas perburuan retro: Deteksi yang dikurasi tidak dapat dijalankan sebagai perburuan retro. Selain itu, perburuan retro tunduk pada batas periode lihat balik berdasarkan tingkat retensi data Anda.

Perbaikan error

Kode error	Deskripsi masalah	Perbaiki
403 Dilarang	Tidak ada izin untuk melihat konten pilihan.	Pastikan `chronicle.featuredContentRules.list` ditambahkan ke peran IAM Anda.
Deployment gagal	Error atau konflik sintaksis aturan.	Gunakan tombol Uji Aturan di editor Aturan untuk memvalidasi sintaksis YARA-L.

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.