Detecta amenazas
Esta guía está dirigida a ingenieros de detección que desean detectar amenazas para su organización. En ella, se explica cómo aprovechar la interfaz de reglas unificadas para acelerar tus capacidades de detección de amenazas.
Casos de uso habituales
Los siguientes son algunos de los casos de uso comunes para este flujo de trabajo:
Implementación acelerada de reglas
Objetivo: Identificar y habilitar rápidamente las detecciones seleccionadas para tácticas específicas de adversarios (por ejemplo, Initial Access).
Valor: Reduce el tiempo promedio de detección (MTTD) para vectores de ataque comunes sin requerir el desarrollo manual de reglas.
Administración centralizada del ciclo de vida de las reglas
Objetivo: Supervisar la ejecución de reglas, el estado y el historial de implementación desde una sola consola.
Valor: Mejora la supervisión operativa y garantiza que las detecciones activas funcionen como se espera.
Terminología clave
Detecciones seleccionadas: Son conjuntos de detección precompilados que administran Google Cloud expertos en seguridad.
Interfaz de reglas unificadas: Es una consola de administración consolidada para reglas YARA-L personalizadas y contenido seleccionado.
Implementación de reglas: Es el estado de una regla (activa o archivada) y su configuración de alertas asociada.
Búsqueda retroactiva: Es un proceso que ejecuta una regla en relación con los datos históricos para encontrar instancias anteriores de una amenaza.
Antes de comenzar
Si tu equipo usa roles personalizados de IAM, asegúrate de tener los siguientes permisos para trabajar con el panel y el editor de reglas unificados.
Permisos del panel de reglas
| Permiso | Permiso de IAM obligatorio |
|---|---|
View
|
|
Edit
|
|
Permisos del editor de reglas
| Componente | Permiso de IAM (si usas IAM) | Permiso de analista (si usas RBAC heredado) |
|---|---|---|
| Página del editor de reglas |
|
detectRulesView
|
| Sección de la lista de referencias relacionadas |
|
referenceListView
|
| Sección de la tabla de datos relacionados |
|
N/A |
| Botón Crear regla nueva |
|
detectRulesCreate
|
| Botón Probar regla | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menú Alcance de la regla | chronicle.rules.update
|
detectRulesEdit
|
| Botón Guardar regla | chronicle.rules.update
|
detectRulesEdit
|
| Botón Guardar como regla nueva | chronicle.rules.create
|
detectRulesCreate
|
| Botón Búsqueda retroactiva de reglas | chronicle.retrohunts.create
|
detectRulesRun
|
| Botón de activación Regla activa | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Botón de activación Alerta de regla | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Botón de activación Frecuencia de ejecución de reglas | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Botón de activación Archivar y desarchivar reglas | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Ver la regla seleccionada en el editor | chronicle.featuredContentRules.list
|
N/A |
Administra tus preferencias de interfaz unificada
Puedes alternar entre la experiencia unificada y la vista heredada para el panel y el editor de reglas. Una vez que realizas una selección, tu instancia guarda tu preferencia y carga esa versión específica de forma predeterminada.
Panel de reglas: Para habilitar el panel de reglas unificado, navega hasta el panel de reglas y haz clic en Prueba nuestra nueva página de reglas unificadas. Para inhabilitarlo, haz clic en Volver al panel de reglas heredado.
Editor de reglas: Para habilitar el nuevo editor de reglas, navega a la página del editor de reglas y haz clic en Nueva página del editor de reglas. Para inhabilitarlo, haz clic en Página del editor de reglas heredado.
Acelera la detección de amenazas con reglas seleccionadas
Puedes usar la interfaz de reglas unificadas para identificar detecciones de tácticas específicas de MITRE ATT&CK. Para encontrar reglas con alertas habilitadas y relacionadas con el acceso inicial, haz lo siguiente:
Navega al panel Reglas.
Usa la barra de búsqueda para filtrar amenazas específicas.
Por ejemplo, para encontrar reglas seleccionadas relacionadas con el acceso inicial (táctica
TA0001de MITRE ATT&CK), usa la siguiente consulta de búsqueda:alerting_enabled = true AND tags:"TA0001"Para obtener información sobre el filtrado complejo, consulta la sintaxis avanzada en la página Buscar reglas.
Opcional: Selecciona una regla de los resultados de la búsqueda para ver los detalles de la regla.
Haz clic en Menú junto a la regla que deseas implementar.
Haz clic en los botones de activación Regla activa y Alertas para comenzar a detectar amenazas de forma activa.
Puedes hacer un seguimiento de la ejecución, el estado y el historial de alertas de la regla desde tu panel.
Soluciona problemas
Latencia y límites
Ejecución de reglas: Es posible que haya un breve retraso de propagación (por lo general, unos minutos) entre el momento en que se guarda una regla y el momento en que se ven sus primeras métricas de ejecución en el panel.
Límites de búsqueda retroactiva: Las detecciones seleccionadas no se pueden ejecutar como búsquedas retroactivas. Además, las búsquedas retroactivas están sujetas a límites de ventana de visualización según tu nivel de retención de datos.
Corrección de errores
| Código de error | Descripción del problema | Corregir |
|---|---|---|
| 403 (acceso prohibido) | Faltan permisos para ver el contenido seleccionado. | Asegúrate de que chronicle.featuredContentRules.list se agregue a tu rol de IAM.
|
| No se pudo Deployment | Error o conflicto de sintaxis de la regla. | Usa el botón Probar regla en el editor de reglas para validar la sintaxis de YARA-L. |
¿Qué sigue?
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.