Bedrohungen erkennen
Dieser Leitfaden richtet sich an Detection Engineers, die Bedrohungen für ihre Organisation erkennen möchten. Darin wird erläutert, wie Sie die einheitliche Regelschnittstelle nutzen können, um Ihre Funktionen zur Bedrohungserkennung zu beschleunigen.
Gängige Anwendungsfälle
Häufige Anwendungsfälle für diesen Workflow:
Schnellere Bereitstellung von Regeln
Ziel:Ausgewählte Erkennungen für bestimmte Taktiken von Angreifern (z. B. Initial Access) schnell identifizieren und aktivieren.
Wert:Die mittlere Zieldiagnosezeit (Mean Time To Diagnosis, MTTD) für gängige Angriffsvektoren wird reduziert, ohne dass Regeln manuell entwickelt werden müssen.
Zentralisierte Verwaltung des Regel-Lebenszyklus
Ziel:Überwachung der Regelausführung, des Status und des Bereitstellungsverlaufs über eine einzige Konsole.
Wert:Verbessert die operative Übersicht und sorgt dafür, dass aktive Erkennungen wie erwartet funktionieren.
Schlüsselterminologie
Ausgewählte Erkennungen:Vorgefertigte Erkennungssätze, die von Google Cloud-Sicherheitsexperten verwaltet werden.
Einheitliche Oberfläche für Regeln:Eine konsolidierte Verwaltungskonsole für benutzerdefinierte YARA-L-Regeln und kuratierte Inhalte.
Regelbereitstellung:Der Status einer Regel (aktiv oder archiviert) und die zugehörige Benachrichtigungskonfiguration.
Retro-Jagd:Ein Prozess, bei dem eine Regel für Verlaufsdaten ausgeführt wird, um frühere Instanzen einer Bedrohung zu finden.
Hinweis
Wenn Ihr Team benutzerdefinierte IAM-Rollen verwendet, benötigen Sie die folgenden Berechtigungen, um das Dashboard und den Editor für einheitliche Regeln zu verwenden.
Berechtigungen für das Regeldashboard
| Berechtigung | Erforderliche IAM-Berechtigung |
|---|---|
View
|
|
Edit
|
|
Berechtigungen für den Regeleditor
| Komponente | IAM-Berechtigung (wenn Sie IAM verwenden) | Analystenberechtigung (wenn Sie das alte RBAC verwenden) |
|---|---|---|
| Seite Regeleditor |
|
detectRulesView
|
| Zugehöriger Abschnitt in der Referenzliste |
|
referenceListView
|
| Zugehöriger Abschnitt der Datentabelle |
|
– |
| Schaltfläche Neue Regel erstellen |
|
detectRulesCreate
|
| Schaltfläche Regel testen | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menü Regelbereich | chronicle.rules.update
|
detectRulesEdit
|
| Schaltfläche Regel speichern | chronicle.rules.update
|
detectRulesEdit
|
| Schaltfläche Als neue Regel speichern | chronicle.rules.create
|
detectRulesCreate
|
| Button Regel-RetroHunt | chronicle.retrohunts.create
|
detectRulesRun
|
| Schaltfläche Regel aktivieren | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Ein/Aus-Schaltfläche für Regelbenachrichtigung | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Ein/Aus-Schaltfläche Häufigkeit der Regelausführung | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Schaltfläche Regel archivieren und wiederherstellen | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Kuratierten Regel im Editor ansehen | chronicle.featuredContentRules.list
|
– |
Einstellungen für die einheitliche Benutzeroberfläche verwalten
Sie können sowohl für das Regeln-Dashboard als auch für den Regel-Editor zwischen der einheitlichen Benutzeroberfläche und der alten Ansicht wechseln. Sobald Sie eine Auswahl getroffen haben, wird Ihre Einstellung in der Instanz gespeichert und die entsprechende Version wird standardmäßig geladen.
Regel-Dashboard:Wenn Sie das einheitliche Regel-Dashboard aktivieren möchten, rufen Sie das Regel-Dashboard auf und klicken Sie auf Neue einheitliche Regelseite ausprobieren. Wenn Sie die neue Version nicht nutzen möchten, klicken Sie auf Zum alten Regel-Dashboard zurückkehren.
Regel-Editor:Wenn Sie den neuen Regel-Editor verwenden möchten, rufen Sie die Seite „Regel-Editor“ auf und klicken Sie auf Neue Seite für den Regel-Editor. Wenn Sie die alte Seite verwenden möchten, klicken Sie auf Seite mit dem alten Regeleditor.
Bedrohungserkennung mit kuratierten Regeln beschleunigen
Über die einheitliche Benutzeroberfläche für Regeln können Sie Erkennungen für bestimmte MITRE ATT&CK-Taktiken identifizieren. So finden Sie Regeln, für die Benachrichtigungen aktiviert sind und die sich auf den ersten Zugriff beziehen:
Rufen Sie das Dashboard Regeln auf.
Über die Suchleiste können Sie nach bestimmten Bedrohungen filtern.
Wenn Sie beispielsweise zusammengestellte Regeln für den ersten Zugriff (MITRE ATT&CK-Taktik
TA0001) finden möchten, verwenden Sie die folgende Suchanfrage:alerting_enabled = true AND tags:"TA0001"Informationen zur komplexen Filterung finden Sie auf der Seite Suchen>Regeln.
Optional: Wählen Sie eine Regel aus den Suchergebnissen aus, um die Regeldetails aufzurufen.
Klicken Sie neben der Regel, die Sie bereitstellen möchten, auf das Menü .
Klicken Sie auf die Ein/Aus-Schaltflächen Live-Regel und Benachrichtigungen, um mit der aktiven Erkennung von Bedrohungen zu beginnen.
Sie können die Ausführung, den Status und den Benachrichtigungsverlauf der Regel über Ihr Dashboard verfolgen.
Fehlerbehebung
Latenz und Limits
Regelausführung:Zwischen dem Speichern einer Regel und der Anzeige der ersten Ausführungsstatistiken im Dashboard kann es zu einer kurzen Verzögerung (in der Regel einige Minuten) kommen.
Grenzwerte für die rückwirkende Suche:Ausgewählte Erkennungen können nicht als rückwirkende Suche ausgeführt werden. Außerdem unterliegen sie je nach Datenaufbewahrungsstufe Einschränkungen hinsichtlich des Lookback-Windows.
Fehlerbehebung
| Fehlercode | Problembeschreibung | Korrigieren |
|---|---|---|
| 403 Verboten | Fehlende Berechtigungen zum Ansehen kuratierter Inhalte. | Prüfen Sie, ob chronicle.featuredContentRules.list Ihrer IAM-Rolle hinzugefügt wurde.
|
| Bereitstellung fehlgeschlagen | Syntaxfehler oder Konflikt in der Regel. | Mit dem Button Regel testen im Regeleditor können Sie die YARA-L-Syntax validieren. |
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten