Menyelidiki pemberitahuan GCTI

Didukung di:

Pemberitahuan Google Cloud Threat Intelligence (GCTI) berasal dari infrastruktur deteksi ancaman internal Google dan riset yang disediakan oleh analis keamanan GCTI.

Untuk pelanggan Google Security Operations, pemberitahuan GCTI ditampilkan di halaman Pemberitahuan dan IOC. Kolom tersebut berada di bawah kolom Sumber. Peringatan yang telah dibuat oleh GCTI diberi label Deteksi pilihan.

Melihat Pemberitahuan GCTI

Untuk melihat pemberitahuan GCTI, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, klik Deteksi > Pemberitahuan dan IOC.
  2. Di tab Source, pemberitahuan GCTI diberi label Curated detections. Klik Sumber agar semua Notifikasi dengan tag Deteksi yang dikurasi berpindah ke bagian atas.
  3. Klik link di kolom Nama pada pemberitahuan yang ingin Anda selidiki.

Saat Anda mengklik teks di kolom Nama, halaman akan terbuka dengan tiga tab: Ringkasan, Grafik, dan Histori pemberitahuan. Grafik adalah grafik interaktif yang memungkinkan Anda memperluas penelusuran. Histori notifikasi menampilkan informasi penting tentang notifikasi.

Untuk mempelajari cara menggunakan Grafik dan Histori pemberitahuan, ikuti langkah-langkah di Menyelidiki Pemberitahuan.

Dasbor Deteksi terseleksi adalah tempat semua aturan terkait GCTI berada.

Untuk membuka dasbor Deteksi pilihan, ikuti langkah-langkah berikut:

  1. Dari menu navigasi, klik Deteksi > Aturan & deteksi.
  2. Ada empat tab: Dasbor aturan, Editor aturan, Deteksi pilihan, dan Pengecualian. Klik Deteksi pilihan. Deteksi pilihan adalah tempat semua aturan GCTI dan pemberitahuan yang dihasilkan berada.

Menyelidiki aturan GCTI

Di atas tabel terdapat dua tab: Set aturan dan Dasbor.

Di Set aturan, ada tabel yang menampilkan semua aturan dan set aturan (grup aturan yang digunakan bersama). Di tab ini, Anda dapat melakukan hal berikut:

  • Menciutkan atau meluaskan bagian yang berbeda
  • Mengaktifkan atau menonaktifkan Pemberitahuan dan Status
  • Gunakan kotak di sudut kiri atas tabel untuk menerapkan perubahan pada satu set aturan atau semua set aturan

Deteksi pilihan

Bagian Dasbor menampilkan aturan yang dipisahkan menurut kategori.

Dasbor aturan

Jika Anda mengklik pemberitahuan di bagian Dasbor, halaman akan terbuka yang menampilkan linimasa deteksi terbaru untuk pemberitahuan tersebut.

Menggunakan aturan Presisi dan Luas

Ada dua jenis aturan di Set aturan: Presisi dan Luas. Anda dapat mengaktifkan atau menonaktifkan aturan Presisi atau Luas secara terpisah, bergantung pada jenis penelusuran yang Anda lakukan.

  • Aturan akurat menemukan perilaku berbahaya yang kemungkinan besar berbahaya dan memerlukan penyelidikan. Aktifkan aturan yang akurat jika Anda ingin tim keamanan Anda mengambil tindakan perbaikan langsung pada peristiwa keamanan yang mereka hasilkan.

  • Aturan luas mengidentifikasi dan memberi label perilaku yang berpotensi berbahaya atau anomali, yang berfungsi sebagai sinyal keamanan yang berpotensi relevan. Aktifkan aturan luas jika tujuannya adalah mengumpulkan data kontekstual untuk tujuan deteksi. Deteksi dari aturan ini tidak dimaksudkan untuk tindakan individu.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.