調查 GCTI 快訊

Google Cloud 威脅情報 (GCTI) 快訊的來源包括 Google 內部威脅偵測基礎架構，以及 GCTI 安全分析師提供的研究資料。

Google Security Operations 客戶可以在「快訊和 IOC」頁面查看 GCTI 快訊。這些項目位於「來源」欄下方。由 GCTI 產生的警示會標示為「精選偵測項目」。

查看 GCTI 快訊

如要查看 GCTI 快訊，請按照下列步驟操作：

1. 在導覽列中，依序點選「偵測」>「快訊和 IOC」。
2. 在「來源」分頁中，GCTI 快訊會標示為「精選偵測結果」。 按一下「來源」，將所有附有「精選偵測」標籤的快訊移至頂端。
3. 在要調查的快訊「名稱」欄中，按一下連結。

按一下「名稱」欄中的文字，即可開啟包含「總覽」、「圖表」和「快訊記錄」三個分頁的頁面。圖表：互動式圖表，可擴大搜尋範圍。「快訊記錄」會顯示快訊的重要資訊。

如要瞭解如何使用「圖表」和「快訊記錄」，請按照「調查快訊」一文中的步驟操作。

前往 GCTI 規則資訊主頁

所有與 GCTI 相關的規則都位於「精選偵測」資訊主頁。

如要前往「精選偵測」資訊主頁，請按照下列步驟操作：

1. 按一下導覽列中的「偵測」>「規則和偵測」。
2. 共有四個分頁：「規則資訊主頁」、「規則編輯器」、「精選偵測項目」和「排除項目」。按一下「精選偵測項目」。 「精選偵測項目」會列出所有 GCTI 規則和產生的快訊。

調查 GCTI 規則

表格上方有兩個分頁：「規則集」和「資訊主頁」。

「規則集」表格會顯示所有規則和規則集 (一起使用的規則群組)。您可以在這個分頁中執行下列操作：

• 收合或展開不同區段
• 啟用或停用「警報」和「狀態」
• 使用表格左上角的方塊，將變更套用至單一或所有規則集

「資訊主頁」部分會依類別顯示規則。

在「資訊主頁」部分中點選快訊，系統會開啟頁面，顯示該快訊近期偵測到的時間軸。

使用精確和廣泛規則

規則集有兩種類型的規則：精確和廣泛。您可以根據搜尋類型，分別啟用或停用「精確」或「廣泛」規則。

• 精確規則可找出極有可能為惡意行為，且需要調查的惡意行為。如果希望安全團隊對產生的安全事件採取直接補救措施，請啟用精確規則。

• 廣泛規則會找出並標示可能屬於惡意或異常的行為，做為潛在的相關安全信號。如果目標是收集內容資料以供偵測，請啟用廣泛規則。這些規則的偵測結果不適用於個別行動。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。