Utilizzare i rilevamenti selezionati per identificare le minacce

Il team di Google Threat Intelligence (GCTI) offre analisi delle minacce predefinite. Nell'ambito di questi rilevamenti curati, GCTI fornisce e gestisce un insieme di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda.

Le regole gestite da GCTI svolgono le seguenti operazioni:

• Fornisci ai clienti informazioni immediatamente utilizzabili che possono essere utilizzate rispetto ai dati importati.

• Sfrutta Google Threat Intelligence fornendo ai clienti un modo per utilizzare queste informazioni tramite rilevamenti curati.

Questo documento riassume i passaggi necessari per utilizzare i rilevamenti curati per identificare le minacce, tra cui come attivare i set di regole di rilevamento curati, visualizzare i rilevamenti generati dai set di regole e analizzare gli avvisi.

Importare i dati richiesti

Ogni insieme di regole è stato progettato per identificare pattern in origini dati specifiche e potrebbe richiedere un insieme diverso di dati, tra cui:

• Dati sugli eventi: descrivono le attività e gli eventi che si sono verificati in relazione ai servizi.
• Dati di contesto: descrivono le entità, i dispositivi, i servizi o gli utenti definiti nei dati evento. Questi dati sono anche chiamati dati delle entità.

Nella documentazione che descrive ogni set di regole, esamina anche i dati richiesti dal set di regole.

Verificare l'importazione dei dati

Sono disponibili i seguenti metodi per verificare la riuscita dell'importazione dati:

• Dashboard Ingestione e integrità dei dati: consente di monitorare l'importazione da tutte le origini.
• Regole di test di Managed Detection Testing: abilita le regole di test per verificare che i dati in entrata richiesti esistano e siano nel formato richiesto dal set di regole di rilevamento specifico e curato.

Utilizzare le dashboard curate

Utilizza le dashboard curate, ovvero dashboard predefinite progettate per la visibilità in vari casi d'uso della sicurezza. Puoi creare una copia e personalizzare le dashboard curate in base alle tue esigenze. Per saperne di più, consulta Panoramica delle dashboard curate.

(Facoltativo) Utilizza le regole di test di Managed Detection and Response

Alcune categorie vengono fornite anche come insieme di regole di test che possono aiutarti a verificare che i dati richiesti per ogni insieme di regole siano nel formato corretto.

Queste regole di test rientrano nella categoria Test di rilevamento gestito. Ogni insieme di regole verifica che i dati ricevuti dal dispositivo di test siano nel formato previsto dalle regole per la categoria specificata.

Questa opzione è utile se vuoi verificare la configurazione dell'importazione o se vuoi risolvere un problema. Per la procedura dettagliata su come utilizzare queste regole di test, vedi Verificare l'importazione dei dati utilizzando le regole di test.

Abilitare le serie di regole

I rilevamenti curati sono analisi delle minacce fornite come set di regole YARA-L che ti aiutano a identificare le minacce alla tua azienda. Questi set di regole svolgono le seguenti operazioni:

• Fornirti informazioni immediatamente utilizzabili che possono essere utilizzate rispetto ai dati inseriti.
• Utilizzare Google Threat Intelligence fornendoti un modo per utilizzare queste informazioni.

Ogni insieme di regole identifica un pattern specifico di attività sospetta. Per attivare e visualizzare i dettagli sui set di regole:

1. Seleziona Rilevamenti > Regole e rilevamenti dal menu principale. La scheda predefinita è Rilevamenti curati e la visualizzazione predefinita è quella dei set di regole.
2. Fai clic su Rilevamenti curati per aprire la visualizzazione Set di regole.
3. Seleziona un insieme di regole nella categoria Minacce cloud, ad esempio CDIR SCC Enhanced Exfiltration Alerts.
4. Imposta Stato su Attivato e Avvisi su On per le regole Generali e Precise. Le regole valuteranno i dati in arrivo per individuare pattern che corrispondono alla logica delle regole. Se Stato = Attivato, le regole generano un rilevamento quando viene trovata una corrispondenza con un pattern. Se Avvisi = On, le regole generano anche un avviso quando viene trovata una corrispondenza con un pattern.

Per informazioni su come utilizzare la pagina delle rilevazioni curate, consulta quanto segue:

• Pagina Rilevamenti selezionati e set di regole
• Visualizzare i dettagli di un insieme di regole

Se non ricevi rilevamenti o avvisi dopo aver attivato un insieme di regole, puoi eseguire i passaggi per attivare una o più regole di test che verificano che i dati richiesti per l'insieme di regole vengano ricevuti e siano nel formato corretto. Per saperne di più, consulta Verificare l'importazione dei dati di log.

Identifica i rilevamenti creati dal set di regole

La dashboard delle rilevazioni curate mostra informazioni su ogni regola che ha generato un rilevamento nei tuoi dati. Per aprire la dashboard di rilevamento curata:

1. Seleziona Rilevamenti > Regole e rilevamenti dal menu principale.
2. Fai clic su Rilevamenti curati > Dashboard per aprire la visualizzazione Dashboard. Verrà visualizzato un elenco di set di regole e regole individuali che hanno generato rilevamenti. Le regole sono raggruppate per set di regole.
3. Vai al set di regole che ti interessa, ad esempio CDIR SCC Enhanced Exfiltration Alerts.
4. Per visualizzare i rilevamenti generati da una regola specifica, fai clic sulla regola. Si apre la pagina Rilevamenti, che mostra i rilevamenti, nonché i dati di entità o evento che li hanno generati.
5. Puoi filtrare e cercare i dati in questa visualizzazione.

Per saperne di più, vedi Visualizzare i rilevamenti curati e Aprire la dashboard dei rilevamenti curati.

Ottimizzare gli avvisi restituiti da uno o più insiemi di regole

Potresti notare che i rilevamenti curati generano troppi rilevamenti o avvisi. Puoi ridurre il numero di rilevamenti generati da una regola o da un insieme di regole utilizzando le esclusioni delle regole. Le esclusioni delle regole vengono utilizzate solo con i rilevamenti selezionati e non con le regole personalizzate.

Un'esclusione di regole definisce i criteri utilizzati per escludere un evento dalla valutazione da parte del set di regole o di regole specifiche nel set di regole. Crea una o più esclusioni di regole per ridurre il volume dei rilevamenti. Ad esempio, puoi escludere gli eventi in base ai seguenti campi Unified Data Model (UDM):

• metadata.product_event_type
• principal.user.userid
• target.resource.name
• target.resource.product_object_id
• additional.fields["recipientAccountId"]
• principal.ip
• network.http.user_agent

Esaminare gli avvisi creati dall'insieme di regole

La pagina Avvisi e IOC fornisce il contesto dell'avviso e le entità correlate. Puoi visualizzare i dettagli di un avviso, gestirlo e visualizzare le relazioni con le entità.

1. Seleziona Rilevamenti > Avvisi e IOC dal menu principale. La visualizzazione Avvisi mostra un elenco di avvisi generati da tutte le regole.
2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
3. Filtra l'elenco in base al nome del set di regole, ad esempio CDIR SCC Enhanced Exfiltration. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
5. La scheda Avvisi e indicatori di compromissione > Panoramica mostra i dettagli dell'avviso.

Raccogliere il contesto investigativo utilizzando il grafico delle entità

La scheda Avvisi e IOC > Grafico mostra un grafico degli avvisi che rappresenta visivamente le relazioni tra un avviso e altri avvisi o tra un avviso e altre entità.

1. Seleziona Rilevamenti > Avvisi e IOC dal menu principale. La visualizzazione Avvisi mostra un elenco di avvisi generati da tutte le regole.
2. Seleziona l'intervallo di tempo per filtrare l'elenco degli avvisi.
3. Filtra l'elenco in base al nome del set di regole, ad esempio CDIR SCC Enhanced Exfiltration. Puoi anche filtrare l'elenco in base al nome della regola, ad esempio SCC: BigQuery Exfiltration to Google Drive with DLP Context.
4. Fai clic su un avviso nell'elenco per aprire la pagina Avvisi e IOC.
5. La scheda Avvisi e IOC > Grafico mostra il grafico degli avvisi.
6. Seleziona un nodo nel grafico degli avvisi per visualizzare i dettagli.

Raccogliere il contesto investigativo utilizzando la ricerca UDM

Puoi utilizzare la funzionalità di ricerca UDM durante l'indagine per raccogliere ulteriore contesto sugli eventi correlati all'avviso originale. La ricerca UDM ti consente di trovare eventi UDM e avvisi generati dalle regole. La ricerca UDM include una serie di opzioni di ricerca, che ti consentono di navigare tra i dati UDM. Puoi cercare sia singoli eventi UDM sia gruppi di eventi UDM correlati a termini di ricerca specifici.

Seleziona Cerca dal menu principale per aprire la pagina Ricerca UDM.

Per informazioni sulle query di ricerca UDM, consulta Inserire una ricerca UDM. Per indicazioni su come scrivere query di ricerca UDM ottimizzate per il rendimento e le funzionalità della funzionalità, consulta Best practice per la ricerca UDM.

Creare una risposta da un avviso

Se un avviso o un rilevamento richiede una risposta all'incidente, puoi avviarla utilizzando le funzionalità SOAR. Per ulteriori informazioni, consulta Panoramica dei casi e Panoramica della schermata Playbook.

Passaggi successivi

• Esamina i set di regole in:

  • Panoramica della categoria Minacce cloud
  • Panoramica della categoria Minacce per Windows
  • Panoramica della categoria Minacce per Linux
  • Panoramica di Risk Analytics per la categoria UEBA

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.