Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Detectar ameaças

Compatível com:

Google SecOps SIEM

Este guia é destinado a engenheiros de detecção que querem detectar ameaças para a organização. Ele explica como aproveitar a interface de regras unificadas para acelerar os recursos de detecção de ameaças.

Casos de uso comuns

Os casos de uso comuns desse fluxo de trabalho incluem o seguinte:

Implantação acelerada de regras

Objetivo:identificar e ativar rapidamente detecções especializadas para táticas específicas de adversários (por exemplo, Initial Access).

Valor:reduz o tempo médio de detecção (MTTD) para vetores de ataque comuns sem exigir o desenvolvimento manual de regras.

Gerenciamento centralizado do ciclo de vida das regras

Objetivo:monitorar a execução, o status e o histórico de implantação de regras em um único console.

Valor:melhora a supervisão operacional e garante que as detecções ativas estejam funcionando conforme o esperado.

Terminologia importante

Detecções especializadas: conjuntos de detecção pré-criados gerenciados por Google Cloud especialistas em segurança.
Interface de regras unificadas:um console de gerenciamento consolidado para regras YARA-L personalizadas e conteúdo selecionado.
Implantação de regras:o estado de uma regra (ativa ou arquivada) e a configuração de alertas associada a ela.
Retro hunt:um processo que executa uma regra em dados históricos para encontrar instâncias anteriores de uma ameaça.

Antes de começar

Se a equipe usa papéis personalizados do IAM, verifique se você tem as permissões a seguir para trabalhar com o painel e o editor de regras unificadas.

Permissões do painel de regras

Permissão Permissão do IAM necessária

Permissão	Permissão do IAM necessária
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends` `chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.rules.get` `chronicle.rules.listRevisions` `chronicle.legacies.legacyTestRuleStreaming` `chronicle.legacies.legacyFetchAlertsView`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules` `chronicle.rules.create` `chronicle.rules.update` `chronicle.rules.verifyRuleText`

View

chronicle.rules.list
chronicle.retrohunts.list
chronicle.ruleDeployments.list
chronicle.legacies.legacySearchCustomerStats
chronicle.legacies.legacyGetRuleCounts
chronicle.legacies.legacyGetRulesTrends
chronicle.legacies.legacyGetCuratedRulesTrends
chronicle.sharedPreferenceSets.get
chronicle.sharedPreferenceSets.list
chronicle.rules.get
chronicle.rules.listRevisions
chronicle.legacies.legacyTestRuleStreaming
chronicle.legacies.legacyFetchAlertsView

Edit

chronicle.retrohunts.create
chronicle.ruleDeployments.update
chronicle.ModifyRules
chronicle.rules.create
chronicle.rules.update
chronicle.rules.verifyRuleText

Visualizações salvas: listar e criar visualizações de regras salvas

Permissão	Permissão do IAM necessária
`Manage`	`chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.sharedPreferenceSets.create` `chronicle.sharedPreferenceSets.update` `chronicle.sharedPreferenceSets.delete`

Permissões do editor de regras

Componente	Permissão do IAM (se você usa o IAM)	Permissão do analista (se você usa o RBAC legado)
Página do editor de regras	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
Seção da lista de referências relacionadas	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
Seção da tabela de dados relacionados	`chronicle.dataTables.get` `chronicle.dataTables.list`	N/A
Botão Criar nova regra	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
Botão Testar regra	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
Menu Escopo da regra	`chronicle.rules.update`	`detectRulesEdit`
Botão Salvar regra	`chronicle.rules.update`	`detectRulesEdit`
Botão Salvar como nova regra	`chronicle.rules.create`	`detectRulesCreate`
Botão Retro hunt de regras	`chronicle.retrohunts.create`	`detectRulesRun`
Alternância Regra ativa	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Alternância Alerta de regra	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Alternância Frequência de execução de regras	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Alternância Arquivar e desarquivar regras	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Ver regra selecionada no editor	`chronicle.featuredContentRules.list`	N/A

Gerenciar as preferências da interface unificada

É possível alternar entre a experiência unificada e a visualização legada do painel e do editor de regras. Depois de fazer uma seleção, a instância salva sua preferência e carrega essa versão específica por padrão.

Painel de regras:para ativar o painel de regras unificadas, acesse o painel de regras e clique em Experimente nossa nova página de regras unificadas. Para desativar, clique em Voltar ao painel de regras legadas.
Editor de regras:para ativar o novo editor de regras, acesse a página do editor de regras e clique em Nova página do editor de regras. Para desativar, clique em Página do editor de regras legadas.

Acelerar a detecção de ameaças com regras selecionadas

É possível usar a interface de regras unificadas para identificar detecções de táticas específicas do MITRE ATT&CK. Para encontrar regras com alertas ativados e relacionados ao acesso inicial, faça o seguinte:

Acesse o painel Regras.
Use a barra de pesquisa para filtrar ameaças específicas.

Por exemplo, para encontrar regras selecionadas relacionadas ao acesso inicial (tática TA0001 do MITRE ATT&CK), use a seguinte consulta de pesquisa:

alerting_enabled = true AND tags:"TA0001"

Para filtragem complexa, consulte a sintaxe avançada na Pesquisar regras página.
Opcional: selecione uma regra nos resultados da pesquisa para conferir os detalhes dela.
Clique em Menu ao lado da regra que você quer implantar.
Clique nas alternâncias Regra ativa e Alertas para começar a detectar ameaças ativamente.

É possível acompanhar a execução, o status e o histórico de alertas da regra no painel.

Solução de problemas

Latência e limites

Execução de regras:pode haver um pequeno atraso de propagação (normalmente alguns minutos) entre o salvamento de uma regra e a exibição das primeiras métricas de execução no painel.
Limites de retro hunt:as detecções especializadas não podem ser executadas como retro hunts. Além disso, as retro hunts estão sujeitas a limites de janela de lookback com base no nível de retenção de dados.

Correção de erros

Código do erro	Descrição do problema	Corrigir
403 Proibido	Não há permissões para visualizar conteúdo selecionado.	Verifique se `chronicle.featuredContentRules.list` foi adicionado ao seu papel do IAM.
Falha na implantação	Erro de sintaxe ou conflito de regras.	Use o botão Testar regra no editor de regras para validar a sintaxe YARA-L.

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.