Bedrohungen mit einheitlichen Regeln erkennen
Dieser Leitfaden richtet sich an Erkennungstechniker, die Bedrohungen für ihre Organisation erkennen möchten. Er erklärt, wie Sie die einheitliche Regelschnittstelle nutzen können, um Ihre Bedrohungserkennungsfunktionen zu beschleunigen.
Gängige Anwendungsfälle
Gängige Anwendungsfälle für diesen Workflow sind:
Beschleunigte Regelbereitstellung
Ziel:Ausgewählte Erkennungen für bestimmte Taktiken von Angreifern (z. B. Initial Access) schnell identifizieren und aktivieren.
Vorteil:Verkürzt die mittlere Zieldiagnosezeit (Mean Time To Diagnosis, MTTD) für gängige Angriffsvektoren, ohne dass Regeln manuell entwickelt werden müssen.
Zentrale Verwaltung des Lebenszyklus von Regeln
Ziel:Ausführung, Status und Bereitstellungsverlauf von Regeln über eine einzige Konsole überwachen.
Vorteil:Verbessert die betriebliche Aufsicht und sorgt dafür, dass aktive Erkennungen wie erwartet funktionieren.
Schlüsselterminologie
Ausgewählte Erkennungen: Vorkonfigurierte Erkennungssätze, die von Google Cloud Sicherheitsexperten verwaltet werden.
Einheitliche Regelschnittstelle:Eine konsolidierte Verwaltungskonsole für benutzerdefinierte YARA-L-Regeln und ausgewählte Inhalte.
Regelbereitstellung:Der Status einer Regel (aktiv oder archiviert) und die zugehörige Benachrichtigungskonfiguration.
Retro-Hunt:Ein Prozess, bei dem eine Regel mit Verlaufsdaten ausgeführt wird, um frühere Instanzen einer Bedrohung zu finden.
Hinweis
Wenn Ihr Team benutzerdefinierte IAM-Rollen verwendet, benötigen Sie die folgenden Berechtigungen, um mit dem Dashboard und dem Editor für einheitliche Regeln zu arbeiten.
Berechtigungen für das Regeldashboard
| Berechtigung | Erforderliche IAM-Berechtigung |
|---|---|
View
|
|
Edit
|
|
Gespeicherte Ansichten – Gespeicherte Regelansichten auflisten und erstellen
| Berechtigung | Erforderliche IAM-Berechtigung |
|---|---|
Manage
|
|
Berechtigungen für den Regeleditor
| Komponente | IAM-Berechtigung (wenn Sie IAM verwenden) | Analystenberechtigung (wenn Sie die Legacy-RBAC verwenden) |
|---|---|---|
| Seite Regeleditor |
|
detectRulesView
|
| Abschnitt „Liste der zugehörigen Referenzen“ |
|
referenceListView
|
| Abschnitt „Zugehörige Datentabelle“ |
|
– |
| Button Neue Regel erstellen |
|
detectRulesCreate
|
| Button Regel testen | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menü Regelbereich | chronicle.rules.update
|
detectRulesEdit
|
| Button Regel speichern | chronicle.rules.update
|
detectRulesEdit
|
| Button Als neue Regel speichern | chronicle.rules.create
|
detectRulesCreate
|
| Button Regel-Retro-Hunt | chronicle.retrohunts.create
|
detectRulesRun
|
| Schaltfläche Regel aktiv | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Schaltfläche Regelbenachrichtigung | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Schaltfläche Regelausführungshäufigkeit | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Schaltfläche Regel archivieren und Archivierung aufheben | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Ausgewählte Regel im Editor ansehen | chronicle.featuredContentRules.list
|
– |
Einstellungen für die einheitliche Schnittstelle verwalten
Sie können sowohl für das Regeldashboard als auch für den Regeleditor zwischen der einheitlichen Ansicht und der Legacy-Ansicht wechseln. Sobald Sie eine Auswahl getroffen haben, wird Ihre Einstellung in Ihrer Instanz gespeichert und diese Version wird standardmäßig geladen.
Regeldashboard:Wenn Sie das einheitliche Regeldashboard verwenden möchten, rufen Sie das Regeldashboard auf und klicken Sie auf Neue Seite mit einheitlichen Regeln testen. Wenn Sie die Legacy-Ansicht verwenden möchten, klicken Sie auf Zum Legacy-Regeldashboard zurückkehren.
Regeleditor:Wenn Sie den neuen Regeleditor verwenden möchten, rufen Sie die Seite des Regeleditors auf und klicken Sie auf Neue Seite des Regeleditors. Wenn Sie die Legacy-Ansicht verwenden möchten, klicken Sie auf Legacy-Regeleditor.
Bedrohungserkennung mit ausgewählten Regeln beschleunigen
Über die einheitliche Regelschnittstelle können Sie Erkennungen für bestimmte MITRE ATT&CK-Taktiken identifizieren. So finden Sie Regeln, bei denen Benachrichtigungen aktiviert sind und die sich auf den ersten Zugriff beziehen:
Rufen Sie das Regeldashboard auf.
Verwenden Sie die Suchleiste, um nach bestimmten Bedrohungen zu filtern.
Wenn Sie beispielsweise ausgewählte Regeln finden möchten, die sich auf den ersten Zugriff (MITRE ATT&CK-Taktik
TA0001) beziehen, verwenden Sie die folgende Suchanfrage:alerting_enabled = true AND tags:"TA0001"Informationen zur komplexen Filterung finden Sie unter Erweiterte Syntax auf der Seite „Regeln suchen“.
Optional: Wählen Sie in den Suchergebnissen eine Regel aus, um die Regeldetails aufzurufen.
Klicken Sie neben der Regel, die Sie bereitstellen möchten, auf das Dreipunkt-Menü Menü.
Klicken Sie auf die Schaltflächen Regel aktiv und Benachrichtigung , um Bedrohungen aktiv zu erkennen.
Sie können die Ausführung, den Status und den Benachrichtigungsverlauf der Regel im Dashboard verfolgen.
Fehlerbehebung
Latenz und Limits
Regelausführung:Zwischen dem Speichern einer Regel und dem Anzeigen der ersten Ausführungsstatistiken im Dashboard kann es zu einer kurzen Weiterleitungsverzögerung kommen (in der Regel einige Minuten).
Limits für Retro-Hunts:Ausgewählte Erkennungen können nicht als Retro-Hunts ausgeführt werden. Außerdem unterliegen Retro-Hunts Limits für das Lookback-Window, die auf Ihrem Datenaufbewahrungslevel basieren.
Fehlerbehebung
| Fehlercode | Problembeschreibung | Korrigieren |
|---|---|---|
| 403 Verboten | Fehlende Berechtigungen zum Ansehen ausgewählter Inhalte. | Achten Sie darauf, dass chronicle.featuredContentRules.list Ihrer IAM-Rolle hinzugefügt wurde.
|
| Bereitstellung fehlgeschlagen | Syntaxfehler oder Konflikt in der Regel. | Verwenden Sie die Schaltfläche Regel testen im Regeleditor, um die YARA-L-Syntax zu validieren. |
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten