Menggunakan Agen Penilai Tingkat Prioritas dan Penyelidikan (TIN) untuk menyelidiki pemberitahuan

Didukung di:

Google secops

Agen Penilai Tingkat Prioritas dan Penyelidikan (TIN) adalah asisten penyelidikan berteknologi AI yang disematkan di Google Security Operations. Fitur ini menentukan apakah peringatan adalah positif palsu atau positif benar, lalu memberikan penjelasan ringkas untuk penilaiannya.

TIN menganalisis pemberitahuan di Google SecOps menggunakan prinsip Mandiant dan praktik terbaik industri. Alat ini mengevaluasi pemberitahuan yang masuk, menjalankan rencana penyelidikan, dan memberikan analisis terstruktur yang mencakup temuan dan alasan.

Untuk mengetahui daftar izin IAM yang diperlukan untuk menggunakan agen, lihat Agen Penilaian dan Investigasi (TIN).

Fitur investigasi

Agen menggunakan alat bawaan berikut untuk menyelesaikan analisisnya:

Kueri penelusuran dinamis: Menjalankan dan menyaring penelusuran di SecOps untuk mengumpulkan konteks tambahan untuk pemberitahuan.
Pengayaan GTI: Memperkaya IoC dengan data Google Threat Intelligence (GTI), termasuk domain, URL, dan hash.
Analisis command line: Menganalisis command line untuk menjelaskan tindakan dalam bahasa alami.
Rekonstruksi hierarki proses: Menganalisis proses dalam pemberitahuan untuk menampilkan urutan lengkap aktivitas sistem terkait.

TIN Pemicu

Anda dapat memicu TIN secara otomatis atau manual. Setiap tenant dapat menjalankan hingga 10 penyelidikan per jam (5 manual dan 5 otomatis). Setiap penyelidikan biasanya selesai dalam rata-rata 60 detik dan berjalan maksimal selama 20 menit. Tidak ada antrean investigasi. Agen tidak otomatis menganalisis pemberitahuan yang dibuat di luar batas.

Investigasi otomatis

Agen secara otomatis menyelidiki pemberitahuan yang berisi peristiwa dengan nilai metadata.log_type yang relevan.

Tabel berikut mencantumkan nilai metadata.log_type yang didukung dan sumbernya:

Sumber	`metadata.log_type` nilai
Amazon	`AWS_CLOUDTRAIL`, `AWS_IAM`, `AWS_NETWORK_FIREWALL`, `AWS_VPC_FLOW`
Cisco	`CISCO_ASA_FIREWALL, CISCO_FIREPOWER_FIREWALL, CISCO_ISE, CISCO_MERAKI`
CrowdStrike	`CROWDSTRIKE_IOC`, `CS_ALERTS`, `CS_CEF_EDR`, `CS_DETECTS`, `CS_EDR`, `CS_IDP`
Fortinet	`FORTINET_FIREWALL`, `FORTINET_FORTIEDR`, `FORTINET_WEBPROXY`
Google	`GCP_CLOUDAUDIT`, `GCP_CLOUDIDENTITY_DEVICES`, `GCP_CLOUDIDENTITY_DEVICEUSERS`, `GCP_DNS`, `GCP_NGFW_ENTERPRISE`, `GCP_VPC_FLOW`, `WORKSPACE_ACTIVITY`, `WORKSPACE_ALERTS`, `WORKSPACE_USERS`
Microsoft	`ADFS`, `AZURE_AD`, `AZURE_AD_AUDIT`, `AZURE_AD_CONTEXT`, `AZURE_AD_SIGNIN`, `AZURE_FIREWALL`, `AZURE_NSG_FLOW`, `GITHUB`, `MICROSOFT_DEFENDER_ATP`, `MICROSOFT_DEFENDER_ENDPOINT`, `MICROSOFT_DEFENDER_ENDPOINT_IOS`, `MICROSOFT_DEFENDER_IDENTITY`, `MICROSOFT_GRAPH_ALERT`, `OFFICE_365`, `SENTINELONE_ACTIVITY`, `SENTINELONE_ALERT`, `SENTINELONE_CF`, `SENTINEL_DV`, `SENTINEL_EDR`, `WINDOWS_AD`, `WINDOWS_DEFENDER_ATP`, `WINDOWS_DEFENDER_AV`, `WINDOWS_DHCP`, `WINDOWS_DNS`, `WINDOWS_FIREWALL`, `WINDOWS_SYSMON`, `WINEVTLOG`
Okta	`OKTA`, `OKTA_ACCESS_GATEWAY`, `OKTA_USER_CONTEXT`
Lainnya	`BARRACUDA_FIREWALL`, `BOX`, `BRO_DNS`, `CB_APP_CONTROL`, `CB_DEFENSE`, `CB_EDR`, `CHECKPOINT_EDR`, `CHECKPOINT_FIREWALL`, `CLOUDFLARE_WAF`, `CYBERARK_EPM`, `CYBEREASON_EDR`, `DUO_AUTH`, `DUO_USER_CONTEXT`, `ELASTIC_EDR`, `F5_AFM`, `F5_ASM`, `F5_BIGIP_LTM`, `FIREEYE_HX`, `FIREEYE_NX`, `FORCEPOINT_FIREWALL`, `INFOBLOX_DNS`, `JUNIPER_FIREWALL`, `KEYCLOAK`, `LIMACHARLIE_EDR`, `MALWAREBYTES_EDR`, `MCAFEE_EDR`, `NETFILTER_IPTABLES`, `ONELOGIN_SSO`, `ONE_IDENTITY_IDENTITY_MANAGER`, `OPENSSH`, `PAN_FIREWALL`, `PING`, `SALESFORCE`, `SEP`, `SOPHOS_EDR`, `SOPHOS_FIREWALL`, `SQUID_WEBPROXY`, `SURICATA_EVE`, `SURICATA_IDS`, `SYMANTEC_EDR`, `TANIUM_EDR`, `TANIUM_THREAT_RESPONSE`, `TRENDMICRO_EDR`, `UMBRELLA_DNS`, `UMBRELLA_FIREWALL`, `UMBRELLA_WEBPROXY`, `ZEEK`, `ZSCALER_FIREWALL`, `ZSCALER_WEBPROXY`.

Investigasi manual

Untuk menjalankan investigasi secara manual:

Di Google SecOps, buka halaman Alerts & IoCs.
Pilih pemberitahuan, lalu klik Jalankan Investigasi.

Anda juga dapat membuka pemberitahuan dalam kasus dan menjalankan penyelidikan untuk pemberitahuan tersebut. Banner akan diperbarui menjadi Lihat Investigasi setelah proses selesai. Anda dapat mengklik banner ini untuk melihat detail investigasi.

Membuka investigasi

Anda dapat mengakses penyelidikan yang lalu atau sedang berlangsung dari mana saja di Google SecOps.

Klik di antarmuka Google SecOps.
Klik di panel navigasi.
Klik keyboard_arrow_down di samping daftar penyelidikan untuk meluaskan panel.
Dalam daftar, pilih item untuk membuka hasil investigasi.

Setiap entri investigasi mencakup nama pemberitahuan, waktu penyelesaian, dan ringkasan investigasi Gemini. Jika peringatan yang sama diselidiki beberapa kali, setiap penyelidikan akan muncul sebagai entri terpisah dalam daftar penyelidikan.

Meninjau investigasi

Setiap penyelidikan terbuka dalam tampilan mendetail yang merangkum analisis Gemini, alasannya, dan data pendukung yang digunakannya.

Tampilan ini memiliki komponen berikut:

Ringkasan
Linimasa investigasi
Melihat pemberitahuan atau menjalankan ulang penyelidikan
Langkah selanjutnya yang disarankan
Masukan

Ringkasan

Di bagian atas panel, bagian Ringkasan oleh Gemini memberikan deskripsi singkat tentang pemberitahuan dan temuan investigasi.

Ringkasan memberikan informasi berikut:

Disposisi: Menunjukkan apakah Gemini menentukan bahwa pemberitahuan tersebut adalah positif asli atau positif palsu.
Tingkat keyakinan: Menjelaskan keyakinan Gemini dalam penilaiannya. Penilaian ini didasarkan pada pemberitahuan dan data investigasi yang tersedia.
Penjelasan ringkasan: Menjelaskan pemberitahuan dan cara Gemini mencapai kesimpulan.

Linimasa investigasi

Investigasi TIN mengikuti linimasa multi-tahap yang terstruktur yang dirancang untuk mengubah notifikasi mentah menjadi intelijen yang dapat ditindaklanjuti. Meskipun langkah-langkah perantara ini terutama digunakan oleh agen untuk membangun konteks dan menyempurnakan analisisnya, langkah-langkah ini juga terlihat dalam Linimasa investigasi di antarmuka web, sehingga memberikan visibilitas yang jelas kepada analis keamanan terkait progres investigasi agen.

Penilaian awal dan penentuan prioritas risiko

Investigasi dimulai dengan evaluasi langsung terhadap notifikasi untuk menetapkan konteks dasar. Selama tahap ini, agen akan otomatis menganalisis detail dan metadata pemberitahuan untuk mengidentifikasi aktivitas tidak berbahaya dengan tingkat keyakinan tinggi. Jika notifikasi diklasifikasikan sebagai risiko rendah, agen akan mengakhiri penyelidikan.

Pengayaan kontekstual dan pengumpulan bukti

Agen menjalankan beberapa langkah analisis paralel untuk membangun gambaran yang komprehensif tentang aktivitas mencurigakan dengan memanfaatkan intelijen internal dan eksternal:

Pengayaan Google Threat Intelligence (GTI): Mengidentifikasi dan mengevaluasi indikator kompromi (IoC), seperti hash file, alamat IP, dan domain terhadap Google Threat Intelligence dan VirusTotal untuk mengidentifikasi entitas berbahaya yang diketahui.
Analisis Grafik Konteks Entitas (ECG): Mengambil data prevalensi, seperti kapan suatu entitas pertama kali atau terakhir kali terlihat, untuk memberikan konteks lingkungan yang lebih mendalam dan menganalisis hubungan antar-entitas.
Pengumpulan konteks jaringan: Mengekstrak konteks tambahan terkait traffic jaringan dengan melakukan penelusuran yang ditargetkan untuk mengidentifikasi pola mencurigakan.
Integrasi metadata kasus: Mengambil konteks yang lebih luas dari kasus tempat pemberitahuan berada, dengan menggabungkan metadata seperti tag dan prioritas ke dalam penyelidikan.
Konstruksi pohon proses: Membangun hierarki eksekusi proses sistem untuk membantu analis memahami secara persis bagaimana tindakan mencurigakan dimulai dan tindakan selanjutnya yang diambil.

Investigasi Adaptif

Berdasarkan temuan dari langkah-langkah investigasi sebelumnya, agen akan menentukan tindakan selanjutnya secara dinamis:

Mengevaluasi temuan: Menilai informasi yang dikumpulkan pada langkah-langkah sebelumnya untuk mengidentifikasi potensi kesenjangan atau cara baru untuk melakukan penyelidikan.
Melakukan riset mendalam: Secara berulang membuat rencana baru dan menjalankan alat khusus, seperti pengayaan GTI, analisis EKG, analisis command line lanjutan, atau penelusuran yang ditargetkan untuk mengungkap ancaman tersembunyi.

Melihat pemberitahuan atau menjalankan ulang penyelidikan

Panel investigasi memungkinkan Anda melakukan tindakan berikut:

Lihat pemberitahuan: Membuka detail pemberitahuan di tampilan SIEM Google SecOps.
Jalankan kembali penyelidikan: Menjalankan kembali analisis untuk pemberitahuan yang sama.

Langkah berikutnya yang disarankan

Untuk semua penyelidikan, Gemini memberikan langkah-langkah penyelidikan lebih lanjut. Langkah-langkah ini merekomendasikan tindakan atau sumber data tambahan untuk dieksplorasi oleh analis.

Saat agen diperbarui, saran ini dapat diperluas untuk menyertakan panduan perbaikan.

Masukan

Setiap penyelidikan mencakup ikon thumb_up Suka dan thumb_down Tidak Suka untuk mengumpulkan masukan. Fokuskan masukan Anda pada putusan tingkat keparahan karena hal ini membantu menyempurnakan klasifikasi ancaman Gemini.

Logging audit Cloud

Untuk mengaktifkan logging audit untuk TIN:

Di konsol Google Google Cloud , buka IAM > Audit Logging.
Telusuri Chronicle API.
Di tab Permission Types pada panel Chronicle API, centang kotak Admin Read.

Lihat log audit

Untuk melihat log audit:

Di konsol Google Cloud Google, buka Monitoring > Logs Explorer.
Telusuri log yang ingin Anda lihat.
- Untuk melihat semua log audit Google SecOps, telusuri protoPayload.serviceName: "chronicle.googleapis.com".
- Untuk melihat hanya log TIN, telusuri metode terkait.
  
  Misalnya, protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.TriggerInvestigation" dan protoPayload.method: "google.cloud.chronicle.v1alpha.InvestigationService.GetInvestigation".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.