Mendeteksi ancaman dengan aturan terpadu
Panduan ini ditujukan untuk engineer deteksi yang ingin mendeteksi ancaman bagi organisasi mereka. Panduan ini menjelaskan cara memanfaatkan antarmuka aturan terpadu untuk mempercepat kemampuan deteksi ancaman Anda.
Kasus penggunaan umum
Kasus penggunaan umum untuk alur kerja ini mencakup hal berikut:
Deployment aturan yang dipercepat
Tujuan: Mengidentifikasi dan mengaktifkan deteksi pilihan dengan cepat untuk taktik musuh tertentu (misalnya, Initial Access).
Nilai: Mengurangi rata-rata waktu untuk mendeteksi (MTTD) vektor serangan umum tanpa memerlukan pengembangan aturan manual.
Pengelolaan siklus proses aturan terpusat
Tujuan: Memantau eksekusi aturan, status, dan histori deployment dari satu konsol.
Nilai: Meningkatkan pengawasan operasional dan memastikan bahwa deteksi aktif berfungsi seperti yang diharapkan.
Terminologi utama
Deteksi pilihan: Kumpulan deteksi bawaan yang dikelola oleh Google Cloud pakar keamanan.
Antarmuka aturan terpadu: Konsol pengelolaan gabungan untuk aturan YARA-L kustom dan konten pilihan.
Deployment aturan: Status aturan (aktif atau diarsipkan) dan konfigurasi pemberitahuan terkait.
Perburuan retrospektif: Proses yang menjalankan aturan terhadap data historis untuk menemukan instance ancaman sebelumnya.
Sebelum memulai
Jika tim Anda menggunakan peran IAM kustom, pastikan Anda memiliki izin berikut untuk menggunakan dasbor dan editor aturan terpadu.
Jika organisasi Anda menggunakan Kontrol Akses Berbasis Peran Data (Data RBAC), Anda juga harus memiliki akses ke cakupan yang terkait dengan aturan yang ingin Anda kelola. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Data RBAC.
Izin dasbor aturan
| Izin | Izin IAM yang diperlukan |
|---|---|
View
|
|
Edit
|
|
Tampilan Tersimpan - Membuat dan Mencantumkan Tampilan Aturan Tersimpan
| Izin | Izin IAM yang diperlukan |
|---|---|
Manage
|
|
Izin editor aturan
| Komponen | Izin IAM (jika Anda menggunakan IAM) | Izin analis (jika Anda menggunakan RBAC lama) |
|---|---|---|
| Halaman editor Aturan |
|
detectRulesView
|
| Bagian daftar referensi terkait |
|
referenceListView
|
| Bagian tabel data terkait |
|
T/A |
| Tombol Buat aturan baru |
|
detectRulesCreate
|
| Tombol Uji aturan | chronicle.legacies.legacyRunTestRule
|
detectRulesRun
|
| Menu Cakupan aturan | chronicle.rules.update
|
detectRulesEdit
|
| Tombol Simpan aturan | chronicle.rules.update
|
detectRulesEdit
|
| Tombol Simpan sebagai aturan baru | chronicle.rules.create
|
detectRulesCreate
|
| Tombol Perburuan retrospektif aturan | chronicle.retrohunts.create
|
detectRulesRun
|
| Tombol Aturan aktif | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Tombol Pemberitahuan aturan | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Tombol Frekuensi menjalankan aturan | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Tombol Arsipkan dan batalkan pengarsipan aturan | chronicle.ruleDeployments.update
|
detectRulesEdit
|
| Melihat aturan pilihan di editor | chronicle.featuredContentRules.list
|
T/A |
Mengelola preferensi antarmuka terpadu
Anda dapat beralih antara pengalaman terpadu dan tampilan lama untuk dasbor aturan dan editor aturan. Setelah Anda membuat pilihan, instance Anda akan menyimpan preferensi Anda dan memuat versi tertentu tersebut secara default.
Dasbor aturan: Untuk mengaktifkan dasbor aturan terpadu, buka dasbor aturan dan klik Coba halaman aturan terpadu baru kami. Untuk menonaktifkan, klik Kembali ke dasbor aturan lama.
Editor aturan: Untuk mengaktifkan editor aturan baru, buka halaman editor aturan dan klik Halaman editor aturan baru. Untuk menonaktifkan, klik Halaman editor aturan lama.
Tampilan tersimpan pilihan
Dasbor aturan terpadu menyertakan tampilan tersimpan default yang memungkinkan Anda memfilter dan mengatur aturan dengan cepat. Tabel berikut menjelaskan tampilan tersimpan pilihan default ini:
| Tampilan Tersimpan | Deskripsi | Filter Criteria |
|---|---|---|
| Aturan Tidak Responsif | Menampilkan aturan yang mengalami masalah eksekusi atau dalam status eksekusi non-default. | Aturan yang tidak diarsipkan dengan execution_state tidak sama dengan default. |
| Aturan Google yang Aktif dan Memberikan Pemberitahuan | Menampilkan aturan pilihan yang dibuat oleh Google yang aktif dan dikonfigurasi untuk membuat pemberitahuan. | Aturan dengan rule_owner ditetapkan ke GOOGLE, archived ditetapkan ke false, alerting_enabled ditetapkan ke true, dan live_mode_enabled ditetapkan ke true. |
| Aturan yang Menggunakan ECG | Menampilkan aturan yang memanfaatkan data Entity Context Graph (ECG). | Aturan yang tidak diarsipkan yang menggunakan entity.graph. |
| Aturan Persistensi &Eskalasi Akses | Menampilkan aturan yang terkait dengan taktik persistensi dan eskalasi akses. | Aturan yang tidak diarsipkan dan diberi tag dengan TA0003 (Persistensi) atau TA0004 (Eskalasi Akses). |
Mempercepat deteksi ancaman dengan aturan pilihan
Anda dapat menggunakan antarmuka aturan terpadu untuk mengidentifikasi deteksi taktik MITRE ATT&CK tertentu. Untuk menemukan aturan dengan pemberitahuan yang diaktifkan dan terkait dengan akses awal, lakukan hal berikut:
Buka dasbor Aturan.
Gunakan kotak penelusuran untuk memfilter ancaman tertentu.
Misalnya, untuk menemukan aturan pilihan yang terkait dengan akses awal (taktik MITRE ATT&CK
TA0001), gunakan kueri penelusuran berikut:alerting_enabled = true AND tags:"TA0001"Untuk pemfilteran yang kompleks, lihat sintaksis lanjutan di halaman Penelusuran aturan.
Opsional: Pilih aturan dari hasil penelusuran untuk melihat detail aturan.
Klik Menu di samping aturan yang ingin Anda deploy.
Klik tombol Aturan aktif dan Pemberitahuan untuk mulai mendeteksi ancaman secara aktif.
Anda dapat melacak eksekusi, status, dan histori pemberitahuan aturan dari dasbor.
Pemecahan masalah
Latensi dan batas
Eksekusi aturan: Mungkin ada penundaan propagasi singkat (biasanya beberapa menit) antara menyimpan aturan dan melihat metrik eksekusi pertamanya di dasbor.
Batas perburuan retrospektif: Deteksi pilihan tidak dapat dijalankan sebagai perburuan retrospektif. Selain itu, perburuan retrospektif tunduk pada batas periode lihat ke belakang berdasarkan tingkat retensi data Anda.
Perbaikan error
| Kode error | Deskripsi masalah | Perbaiki |
|---|---|---|
| 403 Dilarang | Tidak ada izin untuk melihat konten pilihan. | Pastikan chronicle.featuredContentRules.list ditambahkan ke peran IAM Anda.
|
| Deployment gagal | Error atau konflik sintaksis aturan. | Gunakan tombol Uji Aturan di editor Aturan untuk memvalidasi sintaksis YARA-L. |
user does not have access to scope <scope_name>
|
Pengguna tidak memiliki izin Data RBAC yang diperlukan untuk cakupan yang ditetapkan ke aturan. | Pastikan Anda memiliki akses ke cakupan yang diperlukan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi Data RBAC untuk pengguna. |
The rule has been modified by someone else
|
Pengguna lain telah menyimpan versi baru aturan sejak Anda membukanya. | Salin perubahan Anda, muat ulang halaman untuk memuat versi terbaru, lalu terapkan kembali dan simpan perubahan Anda. |
rules editing not enabled
|
Pengeditan aturan dinonaktifkan untuk instance Google SecOps Anda. | Hubungi administrator Anda untuk mengaktifkan pengeditan aturan. |
Langkah berikutnya
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.