检测威胁

支持平台:

本指南适用于想要为其组织检测威胁的检测工程师。它介绍了如何利用统一规则界面来提升威胁检测能力。

常见使用场景

此工作流的常见使用场景包括:

加快规则部署速度

目标:快速识别并启用针对 特定攻击者策略(例如Initial Access)的精选检测。

价值 :缩短常见攻击媒介的平均检测时间 (MTTD),而无需手动开发规则。

集中式规则生命周期管理

目标 :通过单个控制台监控规则执行情况、状态和部署历史记录。

价值 :提升运营监督能力,并确保活跃检测按预期执行。

主要术语

  • 精选检测:由 Google Cloud 安全专家管理的预构建检测集。

  • 统一规则界面 :用于管理自定义 YARA-L 规则和精选内容的统一管理控制台。

  • 规则部署 :规则的状态(有效或已归档)及其关联的提醒配置。

  • Retro hunt :针对历史数据运行规则以查找过去威胁实例的过程。

准备工作

如果您的团队使用自定义 IAM 角色,请确保您拥有以下权限,以便使用统一规则信息中心和编辑器。

规则信息中心权限

权限 必需的 IAM 权限
View
  • chronicle.rules.list
  • chronicle.retrohunts.list
  • chronicle.ruleDeployments.list
  • chronicle.legacies.legacySearchCustomerStats
  • chronicle.legacies.legacyGetRuleCounts
  • chronicle.legacies.legacyGetRulesTrends
  • chronicle.legacies.legacyGetCuratedRulesTrends
Edit
  • chronicle.retrohunts.create
  • chronicle.ruleDeployments.update
  • chronicle.ModifyRules

规则编辑器权限

组件 IAM 权限(如果您使用 IAM) 分析师权限(如果您使用旧版 RBAC)
规则编辑器 页面

chronicle.ruleDeployments.list

chronicle.rules.list

 detectRulesView
相关参考列表部分

chronicle.referenceLists.get

chronicle.referenceLists.list

 referenceListView
相关数据表部分

chronicle.dataTables.get

chronicle.dataTables.list

 不适用
创建新规则 按钮

chronicle.rules.verifyRuleText

chronicle.rules.create

 detectRulesCreate
测试规则 按钮 chronicle.legacies.legacyRunTestRule detectRulesRun
规则范围 菜单 chronicle.rules.update detectRulesEdit
保存规则 按钮 chronicle.rules.update detectRulesEdit
另存为新规则 按钮 chronicle.rules.create detectRulesCreate
规则 Retro hunt 按钮 chronicle.retrohunts.create detectRulesRun
规则有效 开关 chronicle.ruleDeployments.update detectRulesEdit
规则提醒 开关 chronicle.ruleDeployments.update detectRulesEdit
规则运行频率 开关 chronicle.ruleDeployments.update detectRulesEdit
规则归档和取消归档 开关 chronicle.ruleDeployments.update detectRulesEdit
在编辑器中查看精选规则 chronicle.featuredContentRules.list 不适用

管理统一界面偏好设置

您可以为规则信息中心和规则编辑器在统一体验和旧版视图之间切换。做出选择后,您的实例会保存您的偏好设置,并默认加载该特定版本。

  • 规则信息中心 :如需选择使用统一规则信息中心,请前往规则信息中心,然后点击试用新的统一规则页面 。如需选择停用,请点击返回旧版规则信息中心

  • 规则编辑器 :如需选择使用新规则编辑器,请前往规则编辑器页面,然后点击新规则编辑器页面 。如需选择停用,请点击旧版规则编辑器页面

利用精选规则加快威胁检测速度

您可以使用统一规则界面来识别针对特定 MITRE ATT&CK 策略的检测。如需查找已启用提醒且与初始访问相关的规则,请执行以下操作:

  1. 前往规则 信息中心。

  2. 使用搜索栏按特定威胁进行过滤。

    例如,如需查找与初始访问(MITRE ATT&CK 策略 TA0001)相关的精选规则,请使用以下搜索查询:

    alerting_enabled = true AND tags:"TA0001"

    如需进行复杂的过滤,请参阅 搜索规则页面上的高级语法。

  3. 可选:从搜索结果中选择一条规则,以查看规则详情。

  4. 点击要部署的规则旁边的 菜单

  5. 点击有效规则提醒 开关,开始主动检测威胁。

您可以在信息中心内跟踪规则的执行情况、状态和提醒历史记录。

问题排查

延迟时间和限制

  • 规则执行 :保存规则后,可能需要短暂的传播延迟时间(通常为几分钟),才能在信息中心内看到规则的首次执行指标。

  • Retro hunt 限制 :精选检测无法作为 Retro hunt 运行。 此外,Retro hunt 还受回溯期限制,具体取决于您的数据保留层级。

错误修复

错误代码 问题描述 修复方法
403 Forbidden 缺少查看精选内容的权限。 确保将 chronicle.featuredContentRules.list 添加到您的 IAM 角色。
部署失败 规则语法错误或冲突。 使用规则编辑器中的测试规则 按钮验证 YARA-L 语法。

后续步骤

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。