Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Detectar ameaças

Compatível com:

Google SecOps SIEM

Este guia é destinado a engenheiros de detecção que querem identificar ameaças para a organização. Ele explica como aproveitar a interface unificada de regras para acelerar seus recursos de detecção de ameaças.

Casos de uso comuns

Os casos de uso comuns para esse fluxo de trabalho incluem:

Implantação acelerada de regras

Objetivo:identificar e ativar rapidamente detecções especializadas para táticas específicas de adversários (por exemplo, Initial Access).

Valor:reduz o tempo médio de detecção (MTTD) para vetores de ataque comuns sem exigir o desenvolvimento manual de regras.

Gerenciamento centralizado do ciclo de vida das regras

Objetivo:monitorar a execução, o status e o histórico de implantação de regras em um único console.

Valor:melhora a supervisão operacional e garante que as detecções ativas estejam funcionando conforme o esperado.

Terminologia importante

Detecções especializadas:conjuntos de detecção pré-criados gerenciados por especialistas em segurança do Google Cloud.
Interface de regras unificada:um console de gerenciamento consolidado para regras YARA-L personalizadas e conteúdo selecionado.
Implantação de regra:o estado de uma regra (ativa ou arquivada) e a configuração de alerta associada.
Caça retroativa:um processo que executa uma regra com base em dados históricos para encontrar instâncias passadas de uma ameaça.

Antes de começar

Se sua equipe usa papéis personalizados do IAM, verifique se você tem as seguintes permissões para trabalhar com o painel e o editor de regras unificadas.

Permissões do painel de regras

Permissão	Permissão obrigatória do IAM
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules`

Permissões do editor de regras

Componente	Permissão do IAM (se você usa o IAM)	Permissão de analista (se você usa o RBAC legado)
Página do editor de regras	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
Seção da lista de referências relacionadas	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
Seção da tabela de dados relacionada	`chronicle.dataTables.get` `chronicle.dataTables.list`	N/A
Botão Criar nova regra	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
Botão Testar regra	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
Menu Escopo da regra	`chronicle.rules.update`	`detectRulesEdit`
Botão Salvar regra	`chronicle.rules.update`	`detectRulesEdit`
Botão Salvar como nova regra	`chronicle.rules.create`	`detectRulesCreate`
Botão RetroHunt de regra	`chronicle.retrohunts.create`	`detectRulesRun`
Botão Regra ativa	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Botão de alternância Alerta de regra	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Chave Frequência de execução da regra	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Chave Arquivar e desarquivar regras	`chronicle.ruleDeployments.update`	`detectRulesEdit`
Ver regra selecionada no editor	`chronicle.featuredContentRules.list`	N/A

Gerenciar suas preferências de interface unificada

É possível alternar entre a experiência unificada e a visualização legada para o painel e o editor de regras. Depois de fazer uma seleção, a instância salva sua preferência e carrega essa versão específica por padrão.

Painel de regras:para ativar o painel unificado, acesse o painel de regras e clique em Teste nossa nova página de regras unificadas. Para desativar, clique em Voltar ao painel de regras legadas.
Editor de regras:para ativar o novo editor de regras, acesse a página do editor e clique em Nova página do editor de regras. Para desativar, clique em Página do editor de regras legadas.

Acelere a detecção de ameaças com regras selecionadas

É possível usar a interface unificada de regras para identificar detecções de táticas específicas do MITRE ATT&CK. Para encontrar regras com alertas ativados e relacionadas ao acesso inicial, faça o seguinte:

Acesse o painel Regras.
Use a barra de pesquisa para filtrar ameaças específicas.

Por exemplo, para encontrar regras selecionadas relacionadas ao acesso inicial (tática TA0001 do MITRE ATT&CK), use a seguinte consulta de pesquisa:

alerting_enabled = true AND tags:"TA0001"

Para filtragem complexa, consulte a sintaxe avançada na página de regras de Pesquisa.
Opcional: selecione uma regra nos resultados da pesquisa para ver os detalhes dela.
Clique no Menu ao lado da regra que você quer implantar.
Clique nos botões Regra ativa e Alertas para começar a detectar ameaças ativamente.

Você pode acompanhar a execução, o status e o histórico de alertas da regra no painel.

Solução de problemas

Latência e limites

Execução de regras:pode haver um pequeno atraso de propagação (normalmente alguns minutos) entre o salvamento de uma regra e a exibição das primeiras métricas de execução no painel.
Limites de busca retroativa:as detecções especializadas não podem ser executadas como buscas retroativas. Além disso, as caças retroativas estão sujeitas a limites de janela de lookback com base no nível de retenção de dados.

Correção de erros

Código do erro	Descrição do problema	Corrigir
403 Proibido	Você não tem permissões para acessar o conteúdo selecionado.	Verifique se `chronicle.featuredContentRules.list` foi adicionado ao seu papel do IAM.
Falha na implantação	Erro ou conflito na sintaxe da regra.	Use o botão Testar regra no editor de regras para validar a sintaxe YARA-L.

A seguir

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.