Bedrohungen mit einheitlichen Regeln erkennen

Unterstützt in:

Dieser Leitfaden richtet sich an Erkennungstechniker, die Bedrohungen für ihre Organisation erkennen möchten. Er erklärt, wie Sie die einheitliche Regelschnittstelle nutzen können, um Ihre Bedrohungserkennungsfunktionen zu beschleunigen.

Gängige Anwendungsfälle

Gängige Anwendungsfälle für diesen Workflow sind:

Beschleunigte Regelbereitstellung

Ziel:Ausgewählte Erkennungen für bestimmte Taktiken von Angreifern (z. B. Initial Access) schnell identifizieren und aktivieren.

Vorteil:Verkürzt die mittlere Zieldiagnosezeit (Mean Time To Diagnosis, MTTD) für gängige Angriffsvektoren, ohne dass Regeln manuell entwickelt werden müssen.

Zentrale Verwaltung des Lebenszyklus von Regeln

Ziel:Ausführung, Status und Bereitstellungsverlauf von Regeln über eine einzige Konsole überwachen.

Vorteil:Verbessert die betriebliche Aufsicht und sorgt dafür, dass aktive Erkennungen wie erwartet funktionieren.

Schlüsselterminologie

  • Ausgewählte Erkennungen: Vorkonfigurierte Erkennungssätze, die von Google Cloud Sicherheitsexperten verwaltet werden.

  • Einheitliche Regelschnittstelle:Eine konsolidierte Verwaltungskonsole für benutzerdefinierte YARA-L-Regeln und ausgewählte Inhalte.

  • Regelbereitstellung:Der Status einer Regel (aktiv oder archiviert) und die zugehörige Benachrichtigungskonfiguration.

  • Retro-Hunt:Ein Prozess, bei dem eine Regel mit Verlaufsdaten ausgeführt wird, um frühere Instanzen einer Bedrohung zu finden.

Hinweis

Wenn Ihr Team benutzerdefinierte IAM-Rollen verwendet, benötigen Sie die folgenden Berechtigungen, um mit dem Dashboard und dem Editor für einheitliche Regeln zu arbeiten.

Berechtigungen für das Regeldashboard

Berechtigung Erforderliche IAM-Berechtigung
View
  • chronicle.rules.list
  • chronicle.retrohunts.list
  • chronicle.ruleDeployments.list
  • chronicle.legacies.legacySearchCustomerStats
  • chronicle.legacies.legacyGetRuleCounts
  • chronicle.legacies.legacyGetRulesTrends
  • chronicle.legacies.legacyGetCuratedRulesTrends
  • chronicle.sharedPreferenceSets.get
  • chronicle.sharedPreferenceSets.list
  • chronicle.rules.get
  • chronicle.rules.listRevisions
  • chronicle.legacies.legacyTestRuleStreaming
  • chronicle.legacies.legacyFetchAlertsView
Edit
  • chronicle.retrohunts.create
  • chronicle.ruleDeployments.update
  • chronicle.rules.modifyRules
  • chronicle.rules.create
  • chronicle.rules.update
  • chronicle.rules.verifyRuleText

Gespeicherte Ansichten – Gespeicherte Regelansichten auflisten und erstellen

Berechtigung Erforderliche IAM-Berechtigung
Manage
  • chronicle.sharedPreferenceSets.get
  • chronicle.sharedPreferenceSets.list
  • chronicle.sharedPreferenceSets.create
  • chronicle.sharedPreferenceSets.update
  • chronicle.sharedPreferenceSets.delete

Berechtigungen für den Regeleditor

Komponente IAM-Berechtigung (wenn Sie IAM verwenden) Analystenberechtigung (wenn Sie die Legacy-RBAC verwenden)
Seite Regeleditor

chronicle.ruleDeployments.list

chronicle.rules.list

detectRulesView
Abschnitt „Liste der zugehörigen Referenzen“

chronicle.referenceLists.get

chronicle.referenceLists.list

referenceListView
Abschnitt „Zugehörige Datentabelle“

chronicle.dataTables.get

chronicle.dataTables.list

Button Neue Regel erstellen

chronicle.rules.verifyRuleText

chronicle.rules.create

detectRulesCreate
Button Regel testen chronicle.legacies.legacyRunTestRule detectRulesRun
Menü Regelbereich chronicle.rules.update detectRulesEdit
Button Regel speichern chronicle.rules.update detectRulesEdit
Button Als neue Regel speichern chronicle.rules.create detectRulesCreate
Button Regel-Retro-Hunt chronicle.retrohunts.create detectRulesRun
Schaltfläche Regel aktiv chronicle.ruleDeployments.update detectRulesEdit
Schaltfläche Regelbenachrichtigung chronicle.ruleDeployments.update detectRulesEdit
Schaltfläche Regelausführungshäufigkeit chronicle.ruleDeployments.update detectRulesEdit
Schaltfläche Regel archivieren und Archivierung aufheben chronicle.ruleDeployments.update detectRulesEdit
Ausgewählte Regel im Editor ansehen chronicle.featuredContentRules.list

Einstellungen für die einheitliche Schnittstelle verwalten

Sie können sowohl für das Regeldashboard als auch für den Regeleditor zwischen der einheitlichen Ansicht und der Legacy-Ansicht wechseln. Sobald Sie eine Auswahl getroffen haben, wird Ihre Einstellung in Ihrer Instanz gespeichert und diese Version wird standardmäßig geladen.

  • Regeldashboard:Wenn Sie das einheitliche Regeldashboard verwenden möchten, rufen Sie das Regeldashboard auf und klicken Sie auf Neue Seite mit einheitlichen Regeln testen. Wenn Sie die Legacy-Ansicht verwenden möchten, klicken Sie auf Zum Legacy-Regeldashboard zurückkehren.

  • Regeleditor:Wenn Sie den neuen Regeleditor verwenden möchten, rufen Sie die Seite des Regeleditors auf und klicken Sie auf Neue Seite des Regeleditors. Wenn Sie die Legacy-Ansicht verwenden möchten, klicken Sie auf Legacy-Regeleditor.

Bedrohungserkennung mit ausgewählten Regeln beschleunigen

Über die einheitliche Regelschnittstelle können Sie Erkennungen für bestimmte MITRE ATT&CK-Taktiken identifizieren. So finden Sie Regeln, bei denen Benachrichtigungen aktiviert sind und die sich auf den ersten Zugriff beziehen:

  1. Rufen Sie das Regeldashboard auf.

  2. Verwenden Sie die Suchleiste, um nach bestimmten Bedrohungen zu filtern.

    Wenn Sie beispielsweise ausgewählte Regeln finden möchten, die sich auf den ersten Zugriff (MITRE ATT&CK-Taktik TA0001) beziehen, verwenden Sie die folgende Suchanfrage:

    alerting_enabled = true AND tags:"TA0001"

    Informationen zur komplexen Filterung finden Sie unter Erweiterte Syntax auf der Seite „Regeln suchen“.

  3. Optional: Wählen Sie in den Suchergebnissen eine Regel aus, um die Regeldetails aufzurufen.

  4. Klicken Sie neben der Regel, die Sie bereitstellen möchten, auf das Dreipunkt-Menü Menü.

  5. Klicken Sie auf die Schaltflächen Regel aktiv und Benachrichtigung , um Bedrohungen aktiv zu erkennen.

Sie können die Ausführung, den Status und den Benachrichtigungsverlauf der Regel im Dashboard verfolgen.

Fehlerbehebung

Latenz und Limits

  • Regelausführung:Zwischen dem Speichern einer Regel und dem Anzeigen der ersten Ausführungsstatistiken im Dashboard kann es zu einer kurzen Weiterleitungsverzögerung kommen (in der Regel einige Minuten).

  • Limits für Retro-Hunts:Ausgewählte Erkennungen können nicht als Retro-Hunts ausgeführt werden. Außerdem unterliegen Retro-Hunts Limits für das Lookback-Window, die auf Ihrem Datenaufbewahrungslevel basieren.

Fehlerbehebung

Fehlercode Problembeschreibung Korrigieren
403 Verboten Fehlende Berechtigungen zum Ansehen ausgewählter Inhalte. Achten Sie darauf, dass chronicle.featuredContentRules.list Ihrer IAM-Rolle hinzugefügt wurde.
Bereitstellung fehlgeschlagen Syntaxfehler oder Konflikt in der Regel. Verwenden Sie die Schaltfläche Regel testen im Regeleditor, um die YARA-L-Syntax zu validieren.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten