Utilizzare la pagina dei rilevamenti selezionati

Questo documento descrive come utilizzare le pagine delle rilevazioni curate.

Per i clienti di Google Security Operations, Google Cloud il team Threat Intelligence (GCTI) offre analisi delle minacce pronte all'uso nell'ambito del Google Cloud modello di destino condiviso per la sicurezza. Nell'ambito di questi rilevamenti curati, GCTI fornisce e gestisce un insieme di regole YARA-L per aiutare i clienti a identificare le minacce alla loro azienda. Queste regole gestite da GCTI:

• Fornisci ai clienti informazioni immediatamente utilizzabili che possono essere utilizzate in base ai dati inseriti.

• Sfrutta la threat intelligence di Google fornendo ai clienti un modo per utilizzarla in Google SecOps.

Prima di iniziare

Per informazioni sui criteri di rilevamento delle minacce predefiniti, consulta quanto segue:

• Panoramica della categoria Minacce cloud
• Panoramica della categoria Minacce di Chrome Enterprise
• Panoramica della categoria Minacce per Windows
• Panoramica della categoria Minacce per Linux
• Panoramica della categoria Minacce per macOS
• Panoramica di Risk Analytics per la categoria UEBA
• Panoramica della categoria Threat Intelligence applicata

Per verificare che i dati richiesti per ogni norma siano nel formato corretto, consulta Verificare l'importazione dati di log utilizzando regole di test.

Funzionalità dei rilevamenti selezionati

Di seguito sono riportate alcune delle principali funzionalità di rilevamento curate:

• Rilevamento curato: rilevamento curato creato e gestito da GCTI per i clienti di Google SecOps.

• Set di regole: raccolta di regole gestite da GCTI per i clienti di Google SecOps. GCTI fornisce e gestisce più insiemi di regole. Il cliente ha la possibilità di attivare o disattivare queste regole all'interno del proprio account Google SecOps e di attivare o disattivare gli avvisi per queste regole. Man mano che il panorama delle minacce cambia, GCTI fornirà periodicamente nuove regole e nuovi set di regole.

Aprire la pagina dei rilevamenti e dei set di regole curati

Per aprire la pagina delle rilevazioni curate, completa i seguenti passaggi:

1. Seleziona Regole dal menu principale.

2. Fai clic su Rilevamenti curati per aprire la visualizzazione dei set di regole.

La pagina Rilevamento curato fornisce informazioni su ciascuno dei set di regole attivi per il tuo account Google SecOps, tra cui:

• Ultimo aggiornamento: l'ora in cui GCTI ha aggiornato per l'ultima volta il set di regole.

• Regole abilitate: indica quali regole precise e generali sono abilitate per ogni serie di regole. Le regole precise rilevano minacce dannose con un alto grado di affidabilità. Le regole generali cercano comportamenti sospetti che potrebbero essere più comuni e produrre più falsi positivi. Per un insieme di regole potrebbero essere disponibili sia regole precise che generali.

• Avvisi: indica per quali regole precise e generali sono stati abilitati gli avvisi per ogni insieme di regole.

• Tattiche Mitre: identificatore delle tattiche Mitre ATT&CK® coperte da ogni insieme di regole. Le tattiche MITRE ATT&CK® rappresentano l'intento alla base del comportamento dannoso.

• Tecniche MITRE: identificatore delle tecniche MITRE ATT&CK® coperte da ogni insieme di regole. Le tecniche MITRE ATT&CK® rappresentano azioni specifiche del comportamento dannoso

Da questa pagina puoi anche attivare o disattivare la regola e gli avvisi per la regola. Puoi farlo per le regole generali o precise.

Apri la dashboard di rilevamento curato

La dashboard di rilevamento curato mostra informazioni su ogni rilevamento curato che ha prodotto un rilevamento rispetto ai dati di log nel tuo account Google SecOps. Le regole con rilevamenti sono raggruppate per insieme di regole.

Per aprire la dashboard di rilevamento curato:

1. Seleziona Regole dal menu principale. La scheda predefinita è Rilevamenti curati e la visualizzazione predefinita è Set di regole.

2. Fai clic su Dashboard.

   

   Figura 2: dashboard Rilevamenti selezionati

3. La dashboard Rilevamenti curati mostra ciascuno dei set di regole disponibili per il tuo account Google SecOps. Ogni display include quanto segue:

   • Grafico che monitora l'attività corrente per ciascuna delle regole associate a un insieme di regole.

   • Data e ora dell'ultimo rilevamento.

   • Stato di ogni regola.

   • Gravità dei rilevamenti recenti.

   • Indica se la generazione degli avvisi è attivata o disattivata.

4. Puoi modificare le impostazioni della regola facendo clic sull'icona del menu more_vert o sul nome del set di regole.

5. Fai clic su Set di regole per tornare alla visualizzazione dei set di regole. La visualizzazione dei set di regole fornisce informazioni su ogni set di regole attivo per il tuo account Google SecOps.

Visualizzare i dettagli di un set di regole

Puoi modificare le impostazioni di qualsiasi rilevamento curato facendo clic sull'icona del menu more_vert per il set di regole e poi selezionando Visualizza e modifica le impostazioni delle regole.

Puoi attivare o disattivare il set di regole nella sezione Impostazioni. I pulsanti di attivazione/disattivazione Stato e Avvisi consentono di attivare o disattivare le regole precise e generali nel set di regole. Puoi anche attivare o disattivare gli avvisi.

Puoi anche visualizzare tutte le esclusioni configurate per il set di regole. Puoi modificare le esclusioni facendo clic su Visualizza. Per ulteriori informazioni, consulta Configurare le esclusioni delle regole.

Figura 3: impostazioni della regola

Modifica di tutte le regole di un set di regole

La sezione Impostazioni mostra le impostazioni per tutte le regole di un insieme di regole. Puoi modificare le impostazioni per creare rilevamenti curati specifici per l'utilizzo e le esigenze della tua organizzazione.

• Regole precise: rilevano comportamenti dannosi con un grado di affidabilità più elevato e con meno falsi positivi grazie alla natura più specifica della regola.

• Regole generali: rilevano comportamenti potenzialmente dannosi o anomali, ma con un numero di falsi positivi tipicamente maggiore a causa della natura più generale della regola.

• Stato: attiva lo stato di una regola come preciso o generico impostando l'opzione Stato corrispondente su Attivato.

• Avvisi: attiva gli avvisi per ricevere i rilevamenti creati da regole precise o generali corrispondenti impostando l'opzione Avvisi su On.

Configurare le esclusioni delle regole

Per gestire il volume di avvisi dei rilevamenti selezionati di GCTI, puoi configurare le esclusioni delle regole. Per ulteriori informazioni, vedi Configurare le esclusioni delle regole.

Visualizza i rilevamenti selezionati

Puoi visualizzare uno qualsiasi dei rilevamenti selezionati nella visualizzazione Rilevamenti selezionati. Questa visualizzazione ti consente di esaminare qualsiasi rilevamento associato alla regola e di passare ad altre visualizzazioni, ad esempio la visualizzazione delle risorse dalla Timeline.

Per aprire la visualizzazione Rilevamento curato, completa i seguenti passaggi:

1. Fai clic su Dashboard.

2. Fai clic sul link del nome della regola nella colonna Regola.

Passaggi successivi

• Indaga su un avviso GCTI
• Ottimizzare gli avvisi restituiti dai set di regole in questa categoria

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.