Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

检测威胁

支持的平台：

Google SecOps SIEM

本指南面向希望为组织检测威胁的检测工程师。本文介绍了如何利用统一规则界面来提升威胁检测能力。

常见使用场景

此工作流程的常见应用场景包括：

加快规则部署速度

目标：快速识别并启用针对特定攻击者策略（例如 Initial Access）的精选检测。

价值：无需手动开发规则，即可缩短常见攻击途径的平均检测时间 (MTTD)。

集中式规则生命周期管理

目标：通过单个控制台监控规则执行情况、状态和部署历史记录。

价值：有助于改进运营监督，并确保有效检测按预期运行。

主要术语

精选检测：由 Google Cloud安全专家管理的预构建检测集。
统一的规则界面：一个整合的管理控制台，用于管理自定义 YARA-L 规则和精选内容。
规则部署：规则的状态（有效或已归档）及其关联的提醒配置。
回溯搜索：一种针对历史数据运行规则以查找过去威胁实例的过程。

准备工作

如果您的团队使用自定义 IAM 角色，请确保您拥有以下权限，以便使用统一规则信息中心和编辑器。

规则信息中心权限

权限必需的 IAM 权限

权限	必需的 IAM 权限
`View`	`chronicle.rules.list` `chronicle.retrohunts.list` `chronicle.ruleDeployments.list` `chronicle.legacies.legacySearchCustomerStats` `chronicle.legacies.legacyGetRuleCounts` `chronicle.legacies.legacyGetRulesTrends` `chronicle.legacies.legacyGetCuratedRulesTrends` `chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.rules.get` `chronicle.rules.listRevisions` `chronicle.legacies.legacyTestRuleStreaming` `chronicle.legacies.legacyFetchAlertsView`
`Edit`	`chronicle.retrohunts.create` `chronicle.ruleDeployments.update` `chronicle.ModifyRules` `chronicle.rules.create` `chronicle.rules.update` `chronicle.rules.verifyRuleText`

View

chronicle.rules.list
chronicle.retrohunts.list
chronicle.ruleDeployments.list
chronicle.legacies.legacySearchCustomerStats
chronicle.legacies.legacyGetRuleCounts
chronicle.legacies.legacyGetRulesTrends
chronicle.legacies.legacyGetCuratedRulesTrends
chronicle.sharedPreferenceSets.get
chronicle.sharedPreferenceSets.list
chronicle.rules.get
chronicle.rules.listRevisions
chronicle.legacies.legacyTestRuleStreaming
chronicle.legacies.legacyFetchAlertsView

Edit

chronicle.retrohunts.create
chronicle.ruleDeployments.update
chronicle.ModifyRules
chronicle.rules.create
chronicle.rules.update
chronicle.rules.verifyRuleText

已保存的视图 - 列出和创建已保存的规则视图

权限	必需的 IAM 权限
`Manage`	`chronicle.sharedPreferenceSets.get` `chronicle.sharedPreferenceSets.list` `chronicle.sharedPreferenceSets.create` `chronicle.sharedPreferenceSets.update` `chronicle.sharedPreferenceSets.delete`

规则编辑器权限

组件	IAM 权限（如果您使用 IAM）	分析师权限（如果您使用的是旧版 RBAC）
规则编辑器页面	`chronicle.ruleDeployments.list` `chronicle.rules.list`	`detectRulesView`
相关参考列表部分	`chronicle.referenceLists.get` `chronicle.referenceLists.list`	`referenceListView`
“相关数据表”部分	`chronicle.dataTables.get` `chronicle.dataTables.list`	不适用
创建新规则按钮	`chronicle.rules.verifyRuleText` `chronicle.rules.create`	`detectRulesCreate`
测试规则按钮	`chronicle.legacies.legacyRunTestRule`	`detectRulesRun`
规则范围菜单	`chronicle.rules.update`	`detectRulesEdit`
保存规则按钮	`chronicle.rules.update`	`detectRulesEdit`
另存为新规则按钮	`chronicle.rules.create`	`detectRulesCreate`
规则 Retro Hunt 按钮	`chronicle.retrohunts.create`	`detectRulesRun`
规则实时切换开关	`chronicle.ruleDeployments.update`	`detectRulesEdit`
规则提醒切换开关	`chronicle.ruleDeployments.update`	`detectRulesEdit`
规则运行频率切换开关	`chronicle.ruleDeployments.update`	`detectRulesEdit`
规则归档和取消归档切换开关	`chronicle.ruleDeployments.update`	`detectRulesEdit`
在编辑器中查看精选规则	`chronicle.featuredContentRules.list`	不适用

管理统一界面偏好设置

您可以针对规则信息中心和规则编辑器，在统一体验和旧版视图之间切换。选择后，实例会保存您的偏好设置，并默认加载该特定版本。

规则信息中心：如需选择启用统一规则信息中心，请前往规则信息中心，然后点击试用新的统一规则页面。如需选择停用，请点击返回旧版规则信息中心。
规则编辑器：如需选择启用新的规则编辑器，请前往规则编辑器页面，然后点击新规则编辑器页面。如需选择停用，请点击旧版规则编辑器页面。

利用精选规则加快威胁检测

您可以使用统一的规则界面来识别针对特定 MITRE ATT&CK 策略的检测。如需查找已启用提醒且与初始访问相关的规则，请执行以下操作：

前往规则信息中心。
使用搜索栏按特定威胁进行过滤。

例如，如需查找与初始访问（MITRE ATT&CK 策略 TA0001）相关的精选规则，请使用以下搜索查询：

alerting_enabled = true AND tags:"TA0001"

如需了解复杂的过滤条件，请参阅搜索规则页面上的高级语法。
可选：从搜索结果中选择一条规则，以查看规则详情。
点击要部署的规则旁边的菜单。
点击实时规则和提醒切换开关，开始主动检测威胁。

您可以在信息中心内跟踪规则的执行情况、状态和提醒历史记录。

问题排查

延迟和限制

规则执行：保存规则后，在信息中心内看到其首次执行指标之前，可能会出现短暂的传播延迟（通常为几分钟）。
回溯性搜索限制：精选检测无法作为回溯性搜索运行。此外，回溯性搜索还受回溯期限制，具体取决于您的数据保留层级。

错误修正

错误代码	问题描述	修复
403 Forbidden	缺少查看精选内容的权限。	确保已将 `chronicle.featuredContentRules.list` 添加到您的 IAM 角色。
部署失败	规则语法错误或冲突。	使用规则编辑器中的测试规则按钮验证 YARA-L 语法。