偵測威脅

支援的國家/地區:

本指南適用於想為機構偵測威脅的偵測工程師。本文說明如何運用統一規則介面,加快威脅偵測速度。

常見用途

這項工作流程的常見用途包括:

加速部署規則

目標:快速找出並啟用特定攻擊者策略 (例如 Initial Access) 的精選偵測規則。

價值:縮短常見攻擊向量的平均偵測時間 (MTTD),且不需要手動開發規則。

集中式規則生命週期管理

目標:透過單一控制台監控規則執行、狀態和部署記錄。

價值:提升營運監督成效,確保有效偵測功能正常運作。

重要術語

  • 精選偵測規則:由 Google Cloud安全專家管理的預建偵測組合。

  • 統一規則介面:集中管理自訂 YARA-L 規則和精選內容的管理控制台。

  • 規則部署:規則的狀態 (有效或已封存) 和相關聯的快訊設定。

  • 回溯搜尋:依據歷來資料執行規則,找出過去的威脅事件。

事前準備

如果團隊使用自訂 IAM 角色,請確認您具備下列權限,可使用統一規則資訊主頁和編輯器。

規則資訊主頁權限

權限 必要 IAM 權限
View
  • chronicle.rules.list
  • chronicle.retrohunts.list
  • chronicle.ruleDeployments.list
  • chronicle.legacies.legacySearchCustomerStats
  • chronicle.legacies.legacyGetRuleCounts
  • chronicle.legacies.legacyGetRulesTrends
  • chronicle.legacies.legacyGetCuratedRulesTrends
Edit
  • chronicle.retrohunts.create
  • chronicle.ruleDeployments.update
  • chronicle.ModifyRules

規則編輯器權限

元件 IAM 權限 (如果您使用 IAM) 分析師權限 (如果您使用舊版 RBAC)
規則編輯器頁面

chronicle.ruleDeployments.list

chronicle.rules.list

 detectRulesView
相關參考資料清單部分

chronicle.referenceLists.get

chronicle.referenceLists.list

 referenceListView
相關資料表部分

chronicle.dataTables.get

chronicle.dataTables.list

 不適用
「建立新規則」按鈕

chronicle.rules.verifyRuleText

chronicle.rules.create

 detectRulesCreate
「測試規則」按鈕 chronicle.legacies.legacyRunTestRule detectRulesRun
「規則範圍」選單 chronicle.rules.update detectRulesEdit
「儲存規則」按鈕 chronicle.rules.update detectRulesEdit
「另存為新規則」按鈕 chronicle.rules.create detectRulesCreate
「規則回溯搜尋」按鈕 chronicle.retrohunts.create detectRulesRun
規則即時切換鈕 chronicle.ruleDeployments.update detectRulesEdit
規則快訊切換鈕 chronicle.ruleDeployments.update detectRulesEdit
規則執行頻率切換鈕 chronicle.ruleDeployments.update detectRulesEdit
「規則封存和取消封存」切換鈕 chronicle.ruleDeployments.update detectRulesEdit
在編輯器中查看精選規則 chronicle.featuredContentRules.list 不適用

管理整合介面偏好設定

您可以在規則資訊主頁和規則編輯器中,切換使用整合式體驗和舊版檢視畫面。選取後,執行個體會儲存偏好設定,並預設載入該特定版本。

  • 規則資訊主頁:如要啟用統整規則資訊主頁,請前往規則資訊主頁,然後按一下「試用全新統整規則頁面」。如要停用,請按一下「返回舊版規則資訊主頁」

  • 規則編輯器:如要啟用新版規則編輯器,請前往規則編輯器頁面,然後按一下「新版規則編輯器頁面」。如要停用,請按一下「舊版規則編輯器頁面」

運用精選規則加速偵測威脅

您可以使用統一規則介面,找出特定 MITRE ATT&CK 戰術的偵測結果。如要找出已啟用快訊功能且與初始存取權相關的規則,請按照下列步驟操作:

  1. 前往「規則」資訊主頁。

  2. 使用搜尋列篩選特定威脅。

    舉例來說,如要尋找與初始存取相關的精選規則 (MITRE ATT&CK 策略 TA0001),請使用下列搜尋查詢:

    alerting_enabled = true AND tags:"TA0001"

    如需複雜的篩選條件,請參閱「搜尋」規則頁面的進階語法。

  3. 選用:從搜尋結果中選取規則,即可查看規則詳細資料。

  4. 按一下要部署規則旁的「選單」

  5. 按一下「即時規則」和「警報」切換鈕,開始主動偵測威脅。

您可以在資訊主頁追蹤規則的執行情況、狀態和快訊記錄。

疑難排解

延遲和限制

  • 規則執行:儲存規則後,儀表板通常會在幾分鐘內顯示第一組執行指標,但可能會有短暫的傳播延遲。

  • 回溯搜尋限制:無法以回溯搜尋方式執行精選偵測規則。此外,回溯搜尋的回溯期限制取決於資料保留層級。

錯誤修正

錯誤代碼 問題說明 修正
403 Forbidden 缺少權限,無法查看精選內容。 確認 chronicle.featuredContentRules.list 已新增至 IAM 角色。
部署失敗 規則語法錯誤或衝突。 在規則編輯器中使用「測試規則」按鈕,驗證 YARA-L 語法。

後續步驟

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。