Indagine su un avviso GCTI

Supportato in:

Gli avvisi di Google Cloud Threat Intelligence (GCTI) derivano sia dall'infrastruttura interna di rilevamento delle minacce di Google sia dalla ricerca fornita dagli analisti della sicurezza di GCTI.

Per i clienti di Google Security Operations, gli avvisi GCTI vengono visualizzati nella pagina Avvisi e IOC. Si trovano nella colonna Origine. Gli avvisi generati da GCTI sono etichettati come Rilevamenti selezionati.

Visualizzare un avviso GCTI

Per visualizzare gli avvisi GCTI:

  1. Dalla barra di navigazione, fai clic su Rilevamento > Avvisi e IOC.
  2. Nella scheda Origine, gli avvisi GCTI sono etichettati come Rilevamenti curati. Fai clic su Fonte per spostare in alto tutti gli avvisi con il tag Rilevamenti curati.
  3. Fai clic sul link nella colonna Nome dell'avviso che vuoi esaminare.

Quando fai clic sul testo nella colonna Nome, si apre una pagina con tre schede: Panoramica, Grafico e Cronologia avvisi. Grafico è un grafico interattivo che ti consente di espandere la ricerca. La cronologia avvisi mostra informazioni importanti sull'avviso.

Per scoprire come utilizzare Grafico e Cronologia avvisi, segui i passaggi descritti in Esaminare un avviso.

Nella dashboard Rilevamenti curati si trovano tutte le regole correlate a GCTI.

Per accedere alla dashboard Rilevamenti curati:

  1. Nella barra di navigazione, fai clic su Rilevamento > Regole e rilevamenti.
  2. Sono presenti quattro schede: Dashboard delle regole, Editor delle regole, Rilevamenti selezionati ed Esclusioni. Fai clic su Rilevamenti selezionati. In Rilevamenti selezionati si trovano tutte le regole GCTI e gli avvisi che generano.

Esaminare le regole GCTI

Sopra la tabella si trovano due schede: Set di regole e Dashboard.

In Set di regole, è presente una tabella che mostra tutte le regole e i set di regole (gruppi di regole utilizzate insieme). In questa scheda puoi:

  • Comprimere o espandere diverse sezioni
  • Attivare o disattivare Avvisi e Stato
  • Utilizza le caselle nell'angolo in alto a sinistra della tabella per applicare le modifiche a un singolo insieme di regole o a tutti gli insiemi di regole.

Rilevamenti selezionati

La sezione Dashboard mostra le regole separate per categoria.

Dashboard regole

Se fai clic su un avviso nella sezione Dashboard, si apre una pagina che mostra una cronologia dei rilevamenti recenti per l'avviso.

Utilizzo di regole precise e generali

Esistono due tipi di regole nei set di regole: precise e ampie. Puoi attivare o disattivare le regole Precise o Generiche separatamente a seconda del tipo di ricerca che stai eseguendo.

  • Le regole precise rilevano comportamenti dannosi che hanno un'alta probabilità di essere dannosi e richiedono un'indagine. Attiva regole precise quando prevedi che il tuo team di sicurezza intraprenda un'azione di correzione diretta sugli eventi di sicurezza che genera.

  • Le regole generali identificano ed etichettano comportamenti che potrebbero essere dannosi o anomali, fungendo da indicatori di sicurezza potenzialmente pertinenti. Attiva regole generali quando l'obiettivo è raccogliere dati contestuali a scopo di rilevamento. I rilevamenti di queste regole non sono destinati all'azione individuale.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.