Investigue um alerta do GCTI

Suportado em:

Os alertas da Google Cloud Threat Intelligence (GCTI) são derivados da infraestrutura de deteção de ameaças interna da Google e da investigação fornecida pelos analistas de segurança da GCTI.

Para clientes do Google Security Operations, os alertas da GCTI são apresentados na página Alertas e IOCs. Estão localizados na coluna Origem. Os alertas gerados pelo GCTI são etiquetados como Deteções organizadas.

Veja um alerta da GCTI

Para ver os seus alertas da GCTI, siga estes passos:

  1. Na barra de navegação, clique em Deteção > Alertas e IOCs.
  2. No separador Origem, os alertas da GCTI estão etiquetados como Deteções organizadas. Clique em Fonte para mover todos os alertas com a etiqueta Deteções organizadas para a parte superior.
  3. Clique no link na coluna Nome do alerta que quer investigar.

Quando clica no texto na coluna Nome, é aberta uma página com três separadores: Vista geral, Gráfico e Histórico de alertas. O gráfico é um gráfico interativo que lhe permite expandir a pesquisa. O Histórico de alertas mostra informações importantes sobre o alerta.

Para saber como usar o gráfico e o histórico de alertas, siga os passos em Investigue um alerta.

O painel de controlo Deteções organizadas é onde se encontram todas as regras relacionadas com a GCTI.

Para aceder ao painel de controlo Deteções organizadas, siga estes passos:

  1. Na barra de navegação, clique em Deteção > Regras e deteções.
  2. Existem quatro separadores: Painel de controlo de regras, Editor de regras, Deteções organizadas e Exclusões. Clique em Deteções organizadas. As deteções organizadas são o local onde se encontram todas as regras da GCTI e os alertas que geram.

Investigue regras da GCTI

Acima da tabela, existem dois separadores: Conjuntos de regras e Painel de controlo.

Em Conjuntos de regras, existe uma tabela que mostra todas as regras e conjuntos de regras (grupos de regras que são usados em conjunto). Neste separador, pode fazer o seguinte:

  • Reduzir ou expandir diferentes secções
  • Ative ou desative os Alertas e o Estado
  • Use as caixas no canto superior esquerdo da tabela para aplicar alterações a um único conjunto de regras ou a todos os conjuntos de regras

Deteções organizadas

A secção Painel de controlo apresenta as regras separadas por categoria.

Painel de controlo de regras

Se clicar num alerta na secção Painel de controlo, é aberta uma página que lhe mostra uma cronologia das deteções recentes desse alerta.

Usar regras precisas e amplas

Existem dois tipos de regras nos conjuntos de regras: precisas e abrangentes. Pode ativar ou desativar as regras Precisas ou Amplas separadamente, consoante o tipo de pesquisa que estiver a fazer.

  • As regras precisas encontram comportamentos maliciosos com uma probabilidade elevada de serem maliciosos e requerem investigação. Ative regras precisas quando espera que a sua equipa de segurança tome medidas de remediação diretas nos eventos de segurança que geram.

  • As regras gerais identificam e etiquetam comportamentos que podem ser maliciosos ou anómalos, servindo como sinais de segurança potencialmente relevantes. Ative as regras gerais quando o objetivo for recolher dados contextuais para fins de deteção. As deteções destas regras não se destinam a ações individuais.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.