调查 GCTI 提醒

Google Cloud 威胁情报 (GCTI) 提醒来自 Google 内部威胁检测基础架构以及由 GCTI 安全分析师提供的研究成果。

对于 Google Security Operations 客户，GCTI 提醒会显示在提醒和 IOC 页面上。它们位于来源列下。由 GCTI 生成的提醒会标记为精选检测。

查看 GCTI 提醒

如需查看 GCTI 提醒，请按以下步骤操作：

1. 在导航栏中，依次点击检测 > 提醒和 IOC。
2. 在来源标签页下，GCTI 提醒标记为精选检测。点击来源，即可将所有带有精选检测标签的提醒移至顶部。
3. 点击要调查的提醒的名称列中的链接。

点击名称列中的文字后，系统会打开一个包含三个标签页的页面：概览、图表和提醒历史记录。图表是一种交互式图表，可让您扩大搜索范围。提醒历史记录会显示有关相应提醒的重要信息。

如需了解如何使用图表和提醒历史记录，请按照调查提醒中的步骤操作。

前往 GCTI 规则信息中心

精选检测信息中心是所有与 GCTI 相关的规则所在的位置。

如需前往精选检测结果信息中心，请按以下步骤操作：

1. 在导航栏中，依次点击检测 > 规则和检测。
2. 有四个标签页：规则信息中心、规则编辑器、精选检测和排除对象。点击精选检测。 精选检测页面会显示所有 GCTI 规则及其生成的提醒。

调查 GCTI 规则

表格上方有两个标签页：规则集和信息中心。

在规则集中，有一个表格显示了所有规则和规则集（一起使用的一组规则）。在此标签页中，您可以执行以下操作：

• 收起或展开不同部分
• 启用或停用提醒和状态
• 使用表格左上角的方框，将更改应用于单个规则集或所有规则集

信息中心部分会显示按类别分隔的规则。

如果您点击信息中心部分中的某个提醒，系统会打开一个页面，其中显示该提醒的近期检测时间轴。

使用精确规则和宽泛规则

规则集中有两种类型的规则：精确和宽泛。您可以根据搜索类型，分别启用或停用精确规则或宽泛规则。

• 精确规则可发现极有可能是恶意行为且需要调查的恶意行为。如果您希望安全团队针对其生成的安全事件采取直接补救措施，请启用精确规则。

• 宽泛规则可识别并标记可能具有恶意性或异常性的行为，从而提供可能相关的安全信号。如果目标是收集用于检测的内容相关数据，请启用广泛规则。 这些规则的检测结果不适用于个人操作。

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。