Rileva le minacce
Questa guida è rivolta ai tecnici del rilevamento che vogliono rilevare le minacce per la loro organizzazione. Spiega come sfruttare l'interfaccia delle regole unificate per accelerare le tue funzionalità di rilevamento delle minacce.
Casi d'uso comuni
I casi d'uso comuni per questo flusso di lavoro includono:
Deployment accelerato delle regole
Obiettivo:identificare e attivare rapidamente i rilevamenti predefiniti per tattiche specifiche degli avversari (ad esempio, Initial Access).
Valore:riduce il tempo medio di rilevamento (MTTD) per i vettori di attacco comuni senza richiedere lo sviluppo manuale delle regole.
Gestione centralizzata del ciclo di vita delle regole
Obiettivo: monitorare l'esecuzione, lo stato e la cronologia di implementazione delle regole da una singola console.
Valore:migliora la supervisione operativa e garantisce che i rilevamenti attivi funzionino come previsto.
Terminologia chiave
Rilevamenti selezionati:set di rilevamento predefiniti gestiti da esperti di sicurezza. Google Cloud
Interfaccia delle regole unificata:una console di gestione consolidata per le regole YARA-L personalizzate e i contenuti curati.
Deployment delle regole:lo stato di una regola (attiva o archiviata) e la relativa configurazione degli avvisi.
Ricerca retroattiva: un processo che esegue una regola sui dati storici per trovare istanze passate di una minaccia.
Prima di iniziare
Se il tuo team utilizza ruoli IAM personalizzati, assicurati di disporre delle seguenti autorizzazioni per lavorare con la dashboard e l'editor delle regole unificate.
Autorizzazioni della dashboard regole
| Autorizzazione | Autorizzazione IAM obbligatoria |
|---|---|
View
|
|
Edit
|
|
Autorizzazioni dell'editor di regole
| Componente | Autorizzazione IAM (se utilizzi IAM) | Autorizzazione Analista (se utilizzi il controllo dell'accesso basato sui ruoli legacy) |
|---|---|---|
| Pagina Editor di regole |
|
detectRulesView
|
| Sezione Elenco di riferimenti correlati |
|
referenceListView
|
| Sezione Tabella dati correlata |
|
N/D |
| Pulsante Crea nuova regola |
|
detectRulesCreate
|
| Pulsante Testa regola | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menu Ambito della regola | chronicle.rules.update
|
detectRulesEdit
|
| Pulsante Salva regola | chronicle.rules.update
|
detectRulesEdit
|
| Pulsante Salva come nuova regola | chronicle.rules.create
|
detectRulesCreate
|
| Pulsante RetroHunt per la regola | chronicle.retrohunts.create
|
detectRulesRun
|
| Pulsante di attivazione/disattivazione Rule live | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Attivazione/disattivazione Avviso regola | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Attivazione/disattivazione dell'opzione Frequenza di esecuzione delle regole | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Attivazione/disattivazione dell'opzione Archiviazione e annullamento dell'archiviazione delle regole | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Visualizzare la regola curata nell'editor | chronicle.featuredContentRules.list
|
N/D |
Gestire le preferenze dell'interfaccia unificata
Puoi passare dall'esperienza unificata alla visualizzazione legacy sia per la dashboard delle regole sia per l'editor delle regole. Una volta effettuata una selezione, l'istanza salva la preferenza e carica per impostazione predefinita la versione specifica.
Dashboard delle regole:per attivare la dashboard delle regole unificata, vai alla dashboard delle regole e fai clic su Prova la nuova pagina delle regole unificate. Per disattivare l'opzione, fai clic su Torna alla dashboard delle regole legacy.
Editor delle regole:per attivare il nuovo editor delle regole, vai alla pagina dell'editor delle regole e fai clic su Nuova pagina dell'editor delle regole. Per disattivare la funzionalità, fai clic su Pagina dell'editor delle regole legacy.
Accelerare il rilevamento delle minacce con regole curate
Puoi utilizzare l'interfaccia delle regole unificata per identificare i rilevamenti per tattiche MITRE ATT&CK specifiche. Per trovare regole con avvisi abilitati e correlate all'accesso iniziale:
Vai alla dashboard Regole.
Utilizza la barra di ricerca per filtrare minacce specifiche.
Ad esempio, per trovare regole curate relative all'accesso iniziale (tattica MITRE ATT&CK
TA0001), utilizza la seguente query di ricerca:alerting_enabled = true AND tags:"TA0001"Per il filtraggio complesso, consulta la sintassi avanzata nella pagina delle regole di Ricerca.
(Facoltativo) Seleziona una regola dai risultati di ricerca per visualizzarne i dettagli.
Fai clic sul menu accanto alla regola di cui vuoi eseguire il deployment.
Fai clic sui pulsanti di attivazione/disattivazione Regola live e Avvisi per iniziare a rilevare attivamente le minacce.
Puoi monitorare l'esecuzione, lo stato e la cronologia degli avvisi della regola dalla dashboard.
Risoluzione dei problemi
Latenza e limiti
Esecuzione delle regole:potrebbe verificarsi un breve ritardo di propagazione (in genere alcuni minuti) tra il salvataggio di una regola e la visualizzazione delle relative metriche di esecuzione nella dashboard.
Limiti della ricerca retrospettiva:i rilevamenti predefiniti non possono essere eseguiti come ricerche retrospettive. Inoltre, le ricerche retroattive sono soggette a limiti della finestra temporale in base al livello di conservazione dei dati.
Correzione degli errori
| Codice di errore | Descrizione del problema | Correggi |
|---|---|---|
| 403 - Vietato | Autorizzazioni mancanti per visualizzare i contenuti curati. | Assicurati che chronicle.featuredContentRules.list sia aggiunto al tuo ruolo IAM.
|
| Deployment non riuscito | Errore di sintassi o conflitto della regola. | Utilizza il pulsante Testa regola nell'editor delle regole per convalidare la sintassi YARA-L. |
Passaggi successivi
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.