Menggunakan deteksi pilihan untuk mengidentifikasi ancaman

Tim Google Threat Intelligence (GCTI) menawarkan analisis ancaman yang telah ditentukan sebelumnya. Sebagai bagian dari deteksi pilihan ini, GCTI menyediakan dan mengelola serangkaian aturan YARA-L untuk membantu pelanggan mengidentifikasi ancaman terhadap perusahaan mereka.

Aturan yang dikelola GCTI melakukan hal berikut:

• Memberikan intelijen yang dapat langsung ditindaklanjuti kepada pelanggan yang dapat digunakan terhadap data yang mereka masukkan.

• Memanfaatkan Google Threat Intelligence dengan memberi pelanggan cara menggunakan informasi ini melalui deteksi yang dikurasi.

Dokumen ini merangkum langkah-langkah yang diperlukan untuk menggunakan deteksi terkurasi guna mengidentifikasi ancaman, termasuk cara mengaktifkan kumpulan aturan deteksi terkurasi, melihat deteksi yang dihasilkan oleh kumpulan aturan, dan menyelidiki pemberitahuan.

Menyerap data yang diperlukan

Setiap set aturan telah dirancang untuk mengidentifikasi pola di sumber data tertentu dan mungkin memerlukan set data yang berbeda, termasuk yang berikut:

• Data peristiwa: menjelaskan aktivitas dan peristiwa yang terjadi terkait dengan layanan.
• Data konteks: menjelaskan entitas, perangkat, layanan, atau pengguna yang ditentukan dalam data peristiwa. Data ini juga disebut data entitas.

Dalam dokumentasi yang menjelaskan setiap rangkaian aturan, tinjau juga data yang diperlukan oleh rangkaian aturan.

Memverifikasi penyerapan data

Metode berikut tersedia untuk memverifikasi keberhasilan penyerapan data:

• Dasbor Penyerapan dan Kesehatan Data: memungkinkan Anda memantau penyerapan dari semua sumber.
• Aturan pengujian Managed Detection: Aktifkan aturan pengujian untuk memverifikasi bahwa data masuk yang diperlukan ada dan dalam format yang diperlukan oleh set aturan deteksi terkurasi tertentu.

Menggunakan dasbor pilihan

Gunakan dasbor pilihan—dasbor yang telah ditentukan sebelumnya dan didesain untuk visibilitas di berbagai kasus penggunaan keamanan. Anda dapat membuat salinan dan menyesuaikan dasbor pilihan untuk memenuhi persyaratan Anda. Untuk mengetahui informasi selengkapnya, lihat Ringkasan dasbor pilihan.

Opsional: Menggunakan aturan pengujian Managed Detection Testing

Kategori tertentu juga disediakan sebagai kumpulan aturan pengujian yang dapat membantu Anda memverifikasi bahwa data yang diperlukan untuk setiap kumpulan aturan berada dalam format yang benar.

Aturan pengujian ini berada di kategori Pengujian Deteksi Terkelola. Setiap set aturan memvalidasi bahwa data yang diterima oleh perangkat pengujian berada dalam format yang diharapkan oleh aturan untuk kategori yang ditentukan tersebut.

Hal ini berguna jika Anda ingin memverifikasi penyiapan penyerapan atau jika Anda ingin memecahkan masalah. Untuk mengetahui langkah-langkah mendetail tentang cara menggunakan aturan pengujian ini, lihat Memverifikasi penyerapan data menggunakan aturan pengujian.

Mengaktifkan set aturan

Deteksi pilihan adalah analisis ancaman yang disampaikan sebagai set aturan YARA-L yang membantu Anda mengidentifikasi ancaman terhadap perusahaan Anda. Kumpulan aturan ini melakukan hal berikut:

• Memberi Anda intelijen yang dapat langsung ditindaklanjuti yang dapat digunakan terhadap data yang di-ingest.
• Menggunakan Google Threat Intelligence dengan memberi Anda cara untuk menggunakan informasi ini.

Setiap set aturan mengidentifikasi pola aktivitas mencurigakan tertentu. Untuk mengaktifkan dan melihat detail tentang kumpulan aturan, lakukan langkah berikut:

1. Pilih Deteksi > Aturan & Deteksi dari menu utama. Tab default adalah Deteksi yang dikurasi dan tampilan default adalah set aturan.
2. Klik Deteksi yang Dikurasi untuk membuka tampilan Kumpulan Aturan.
3. Pilih set aturan dalam kategori Cloud Threats, seperti CDIR SCC Enhanced Exfiltration Alerts.
4. Tetapkan Status ke Diaktifkan dan Peringatan ke Aktif untuk aturan Luas dan Presisi. Aturan akan mengevaluasi data yang masuk untuk menemukan pola yang cocok dengan logika aturan. Dengan Status = Diaktifkan, aturan akan menghasilkan deteksi saat kecocokan pola ditemukan. Dengan Pemberitahuan = Aktif, aturan juga akan menghasilkan notifikasi saat kecocokan pola ditemukan.

Untuk mengetahui informasi tentang cara menggunakan halaman deteksi yang dikurasi, lihat artikel berikut:

• Halaman deteksi pilihan dan kumpulan aturan
• Melihat detail tentang kumpulan aturan

Jika Anda tidak menerima deteksi atau pemberitahuan setelah mengaktifkan set aturan, Anda dapat melakukan langkah-langkah untuk memicu satu atau beberapa aturan pengujian yang memverifikasi bahwa data yang diperlukan untuk set aturan diterima dan dalam format yang benar. Untuk mengetahui informasi selengkapnya, lihat Memverifikasi penyerapan data log.

Mengidentifikasi deteksi yang dibuat oleh kumpulan aturan

Dasbor deteksi yang dikurasi menampilkan informasi tentang setiap aturan yang menghasilkan deteksi terhadap data Anda. Untuk membuka dasbor deteksi yang dikurasi, lakukan tindakan berikut:

1. Pilih Deteksi > Aturan & Deteksi dari menu utama.
2. Klik Deteksi yang Dikurasi > Dasbor untuk membuka tampilan Dasbor. Anda akan melihat daftar set aturan dan aturan individual yang menghasilkan deteksi. Aturan dikelompokkan menurut set aturan.
3. Buka set aturan yang diinginkan, seperti CDIR SCC Enhanced Exfiltration Alerts.
4. Untuk melihat deteksi yang dihasilkan oleh aturan tertentu, klik aturan tersebut. Tindakan ini akan membuka halaman Deteksi yang menampilkan deteksi, serta data peristiwa atau entitas yang menghasilkan deteksi.
5. Anda dapat memfilter dan menelusuri data dalam tampilan ini.

Untuk mengetahui informasi selengkapnya, lihat Melihat deteksi yang dikurasi dan Membuka dasbor deteksi yang dikurasi.

Menyesuaikan pemberitahuan yang ditampilkan oleh satu atau beberapa set aturan

Anda mungkin mendapati bahwa deteksi yang dikurasi menghasilkan terlalu banyak deteksi atau pemberitahuan. Anda dapat mengurangi jumlah deteksi yang dihasilkan oleh aturan atau kumpulan aturan menggunakan pengecualian aturan. Pengecualian aturan hanya digunakan dengan deteksi pilihan, bukan dengan aturan kustom.

Pengecualian aturan menentukan kriteria yang digunakan untuk mengecualikan peristiwa agar tidak dievaluasi oleh set aturan, atau oleh aturan tertentu dalam set aturan. Buat satu atau beberapa pengecualian aturan untuk membantu mengurangi volume deteksi. Misalnya, Anda dapat mengecualikan peristiwa berdasarkan kolom Model Data Terpadu (UDM) berikut:

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Menyelidiki pemberitahuan yang dibuat oleh kumpulan aturan

Halaman Pemberitahuan & IOC memberikan konteks tentang pemberitahuan dan entitas terkait. Anda dapat melihat detail tentang notifikasi, mengelola notifikasi, dan melihat hubungan dengan entitas.

1. Pilih Detections > Alerts & IOCs dari menu utama. Tampilan Peringatan menampilkan daftar peringatan yang dihasilkan oleh semua aturan.
2. Pilih rentang waktu untuk memfilter daftar notifikasi.
3. Filter daftar menurut nama set aturan, seperti CDIR SCC Enhanced Exfiltration. Anda juga dapat memfilter daftar menurut nama aturan, seperti SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Klik notifikasi dalam daftar untuk membuka halaman Pemberitahuan & IOC.
5. Tab Peringatan & IOC > Ringkasan menampilkan detail tentang peringatan.

Mengumpulkan konteks investigasi menggunakan grafik entitas

Tab Alert & IOC > Grafik menampilkan grafik pemberitahuan yang secara visual merepresentasikan hubungan antara pemberitahuan dan pemberitahuan lainnya, atau antara pemberitahuan dan entitas lainnya.

1. Pilih Detections > Alerts & IOCs dari menu utama. Tampilan Peringatan menampilkan daftar peringatan yang dihasilkan oleh semua aturan.
2. Pilih rentang waktu untuk memfilter daftar notifikasi.
3. Filter daftar menurut nama set aturan, seperti CDIR SCC Enhanced Exfiltration. Anda juga dapat memfilter daftar menurut nama aturan, seperti SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Klik notifikasi dalam daftar untuk membuka halaman Pemberitahuan & IOC.
5. Tab Alerts & IOCs > Graph menampilkan grafik pemberitahuan.
6. Pilih node dalam grafik pemberitahuan untuk melihat detail tentang node tersebut.

Mengumpulkan konteks investigasi menggunakan Penelusuran UDM

Anda dapat menggunakan kemampuan penelusuran UDM selama penyelidikan untuk mengumpulkan konteks tambahan tentang peristiwa yang terkait dengan pemberitahuan asli. Penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan UDM yang dihasilkan oleh aturan. Penelusuran UDM mencakup berbagai opsi penelusuran, sehingga Anda dapat menjelajahi data UDM. Anda dapat menelusuri peristiwa UDM individual dan grup peristiwa UDM yang terkait dengan istilah penelusuran tertentu.

Pilih Penelusuran dari menu utama untuk membuka halaman Penelusuran UDM.

Untuk mengetahui informasi tentang kueri Penelusuran UDM, lihat Memasukkan penelusuran UDM. Untuk panduan tentang cara menulis kueri Penelusuran UDM yang dioptimalkan untuk performa dan kemampuan fitur, lihat Praktik terbaik Penelusuran UDM.

Membuat respons dari pemberitahuan

Jika pemberitahuan atau deteksi memerlukan respons insiden, Anda dapat memulai respons menggunakan fitur SOAR. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kasus dan Ringkasan layar Playbook.

Langkah berikutnya

• Tinjau kumpulan aturan di bagian berikut:

  • Ringkasan kategori Cloud Threats
  • Ringkasan kategori Ancaman Windows
  • Ringkasan kategori Ancaman Linux
  • Ringkasan Analisis Risiko untuk kategori UEBA

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.