Investigar una alerta de GCTI

Se admite en los siguientes sistemas operativos:

Las alertas de Google Cloud Threat Intelligence (GCTI) se derivan de la infraestructura interna de detección de amenazas de Google y de la investigación proporcionada por los analistas de seguridad de GCTI.

En el caso de los clientes de Google Security Operations, las alertas de GCTI se muestran en la página Alertas y IOC. Se encuentran en la columna Fuente. Las alertas que generó GCTI se etiquetan como Detecciones seleccionadas.

Cómo ver una alerta de GCTI

Para ver tus alertas de la GCTI, sigue estos pasos:

  1. En la barra de navegación, haz clic en Detección > Alertas y IOC.
  2. En la pestaña Fuente, las alertas de la GCTI se etiquetan como Detecciones seleccionadas. Haz clic en Fuente para que todas las alertas con la etiqueta Detecciones seleccionadas se muevan a la parte superior.
  3. Haz clic en el vínculo de la columna Nombre de la alerta que deseas investigar.

Cuando haces clic en el texto de la columna Nombre, se abre una página con tres pestañas: Descripción general, Gráfico y Historial de alertas. Gráfico es un gráfico interactivo que te permite expandir tu búsqueda. En el historial de alertas, se muestra información importante sobre la alerta.

Para aprender a usar Gráfico y Historial de alertas, sigue los pasos que se indican en Investiga una alerta.

En el panel Curated detections, se encuentran todas las reglas relacionadas con la GCTI.

Para acceder al panel de Detecciones seleccionadas, sigue estos pasos:

  1. En la barra de navegación, haz clic en Detección > Reglas y detecciones.
  2. Hay cuatro pestañas: Panel de reglas, Editor de reglas, Detecciones seleccionadas y Exclusiones. Haz clic en Detecciones seleccionadas. En Curated detections, se encuentran todas las reglas de la GCTI y las alertas que generan.

Investiga las reglas de GCTI

Sobre la tabla, hay dos pestañas: Conjuntos de reglas y Panel.

En Conjuntos de reglas, hay una tabla que muestra todas las reglas y los conjuntos de reglas (grupos de reglas que se usan en conjunto). En esta pestaña, puedes hacer lo siguiente:

  • Cómo contraer o expandir diferentes secciones
  • Habilita o inhabilita Alerting y Status
  • Usa las casillas de verificación que se encuentran en la esquina izquierda de la tabla para aplicar cambios a un solo conjunto de reglas o a todos.

Detecciones seleccionadas

En la sección Panel, se muestran las reglas separadas por categoría.

Panel de reglas

Si haces clic en una alerta en la sección Panel, se abrirá una página en la que se muestra una cronología de las detecciones recientes de esa alerta.

Usa reglas precisas y generales

Existen dos tipos de reglas en Conjuntos de reglas: Precisa y General. Puedes habilitar o inhabilitar las reglas Precisa o Amplia por separado según el tipo de búsqueda que realices.

  • Las reglas precisas detectan comportamiento malicioso que es muy probable que sea malicioso y requiere investigación. Habilita reglas precisas cuando esperes que tu equipo de seguridad tome medidas de corrección directas sobre los eventos de seguridad que generen.

  • Las reglas amplias identifican y etiquetan el comportamiento que podría ser malicioso o anómalo, y sirven como indicadores de seguridad potencialmente relevantes. Habilita reglas amplias cuando el objetivo sea recopilar datos contextuales para la detección. Las detecciones de estas reglas no están diseñadas para acciones individuales.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.