Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Detecta amenazas

Compatible con:

Google SecOps SIEM

Esta guía está dirigida a los ingenieros de detección que desean detectar amenazas para su organización. En él, se explica cómo aprovechar la interfaz de reglas unificadas para acelerar tus capacidades de detección de amenazas.

Casos de uso habituales

Estos son algunos casos de uso comunes para este flujo de trabajo:

Implementación acelerada de reglas

Objetivo: Identificar y habilitar rápidamente detecciones seleccionadas para tácticas específicas de adversarios (por ejemplo, Initial Access)

Valor: Reduce el tiempo promedio de detección (MTTD) para los vectores de ataque comunes sin necesidad de desarrollar reglas de forma manual.

Administración centralizada del ciclo de vida de las reglas

Objetivo: Supervisar la ejecución, el estado y el historial de implementación de las reglas desde una sola consola.

Valor: Mejora la supervisión operativa y garantiza que las detecciones activas funcionen según lo previsto.

Terminología clave

Detecciones seleccionadas: Conjuntos de detección prediseñados administrados por expertos en seguridad de Google Cloud.
Interfaz de reglas unificada: Una consola de administración consolidada para las reglas personalizadas de YARA-L y el contenido seleccionado.
Implementación de reglas: Es el estado de una regla (activa o archivada) y su configuración de alertas asociada.
Búsqueda retroactiva: Es un proceso que ejecuta una regla en relación con los datos históricos para encontrar instancias pasadas de una amenaza.

Antes de comenzar

Si tu equipo usa roles personalizados de IAM, asegúrate de tener los siguientes permisos para trabajar con el panel y el editor de reglas unificadas.

Permisos del panel de reglas

Permiso Permiso de IAM obligatorio

Permiso	Permiso de IAM obligatorio
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends` `chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.rules.get` `chronicle.rules.listRevisions` `chronicle.legacies.legacyTestRuleStreaming` `chronicle.legacies.legacyFetchAlertsView`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules` `chronicle.rules.create` `chronicle.rules.update` `chronicle.rules.verifyRuleText`

View

chronicle.rules.list
chronicle.retrohunts.list
chronicle.ruleDeployments.list
chronicle.legacies.legacySearchCustomerStats
chronicle.legacies.legacyGetRuleCounts
chronicle.legacies.legacyGetRulesTrends
chronicle.legacies.legacyGetCuratedRulesTrends
chronicle.sharedPreferenceSets.get
chronicle.sharedPreferenceSets.list
chronicle.rules.get
chronicle.rules.listRevisions
chronicle.legacies.legacyTestRuleStreaming
chronicle.legacies.legacyFetchAlertsView

Edit

chronicle.retrohunts.create
chronicle.ruleDeployments.update
chronicle.ModifyRules
chronicle.rules.create
chronicle.rules.update
chronicle.rules.verifyRuleText

Vistas guardadas: Lista y creación de vistas de reglas guardadas

Permiso	Permiso de IAM obligatorio
`Manage`	`chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.sharedPreferenceSets.create` `chronicle.sharedPreferenceSets.update` `chronicle.sharedPreferenceSets.delete`

Permisos del editor de reglas

Componente	Permiso de IAM (si usas IAM)	Permiso de analista (si usas el RBAC heredado)
Página del editor de reglas	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
Sección de lista de referencia relacionada	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
Sección de la tabla de datos relacionados	`chronicle.dataTables.get` `chronicle.dataTables.list`	N/A
Botón Crear regla nueva	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
Botón Probar regla	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
Menú Alcance de la regla	`chronicle.rules.update`	`detectRulesEdit`
Botón Guardar regla	`chronicle.rules.update`	`detectRulesEdit`
Botón Guardar como regla nueva	`chronicle.rules.create`	`detectRulesCreate`
Botón Rule retro hunt	`chronicle.retrohunts.create`	`detectRulesRun`
Botón de activación Rule live	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Botón de activación de Alerta de regla	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Palanca de activación Frecuencia de ejecución de la regla	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Alternar entre archivar y desarchivar reglas	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Cómo ver la regla seleccionada en el editor	`chronicle.featuredContentRules.list`	N/A

Administra tus preferencias de la interfaz unificada

Puedes alternar entre la experiencia unificada y la vista heredada tanto para el panel de reglas como para el editor de reglas. Una vez que realices una selección, la instancia guardará tu preferencia y cargará esa versión específica de forma predeterminada.

Panel de reglas: Para habilitar el panel de reglas unificadas, navega al panel de reglas y haz clic en Prueba nuestra nueva página de reglas unificadas. Para inhabilitar la versión nueva, haz clic en Volver al panel de reglas heredado.
Editor de reglas: Para habilitar el nuevo editor de reglas, navega a la página del editor de reglas y haz clic en New rule editor page. Para inhabilitar la opción, haz clic en Página del editor de reglas heredado.

Acelera la detección de amenazas con reglas seleccionadas

Puedes usar la interfaz de reglas unificada para identificar detecciones de tácticas específicas de MITRE ATT&CK. Para encontrar reglas con alertas habilitadas y relacionadas con el acceso inicial, haz lo siguiente:

Navega al panel Reglas.
Usa la barra de búsqueda para filtrar amenazas específicas.

Por ejemplo, para encontrar reglas seleccionadas relacionadas con el acceso inicial (táctica TA0001 de MITRE ATT&CK), usa la siguiente búsqueda:

alerting_enabled = true AND tags:"TA0001"

Para realizar filtrados complejos, consulta la sintaxis avanzada en la página de reglas de Búsqueda.
Opcional: Selecciona una regla de los resultados de la búsqueda para ver sus detalles.
Haz clic en Menú junto a la regla que deseas implementar.
Haz clic en los botones de activación Regla en vivo y Alertas para comenzar a detectar amenazas de forma activa.

Puedes hacer un seguimiento del historial de ejecución, estado y alertas de la regla desde tu panel.

Soluciona problemas

Latencia y límites

Ejecución de reglas: Es posible que haya un breve retraso en la propagación (por lo general, de unos minutos) entre el momento en que se guarda una regla y el momento en que se ven sus primeras métricas de ejecución en el panel.
Límites de la búsqueda retroactiva: Las detecciones seleccionadas no se pueden ejecutar como búsquedas retroactivas. Además, las búsquedas retroactivas están sujetas a límites de ventana de visualización según tu nivel de retención de datos.

Corrección de errores

Código de error	Descripción del problema	Corregir
403 (acceso prohibido)	Faltan permisos para ver el contenido seleccionado.	Asegúrate de que `chronicle.featuredContentRules.list` se haya agregado a tu rol de IAM.
No se pudo implementar	Error o conflicto de sintaxis de la regla.	Usa el botón Test Rule en el editor de reglas para validar la sintaxis de YARA-L.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.