Esta página foi traduzida pela API Cloud Translation.

Investigue um alerta do GCTI

Compatível com:

Google secops SIEM

Os alertas da Google Cloud Threat Intelligence (GCTI) são derivados da infraestrutura de deteção de ameaças interna da Google e da investigação fornecida pelos analistas de segurança da GCTI.

Para os clientes do Google Security Operations, os alertas da GCTI são apresentados na página Alertas e IOCs. Estão localizados na coluna Origem. Os alertas gerados pelo GCTI são etiquetados como Deteções organizadas.

Veja um alerta do GCTI

Para ver os seus alertas da GCTI, siga estes passos:

Na barra de navegação, clique em Deteção > Alertas e IOCs.
No separador Origem, os alertas da GCTI estão etiquetados como Deteções organizadas. Clique em Fonte para mover todos os alertas com a etiqueta Deteções organizadas para a parte superior.
Clique no link na coluna Nome do alerta que quer investigar.

Quando clica no texto na coluna Nome, é aberta uma página com três separadores: Vista geral, Gráfico e Histórico de alertas. O gráfico é um gráfico interativo que lhe permite expandir a pesquisa. O Histórico de alertas mostra informações importantes sobre o alerta.

Para saber como usar o gráfico e o histórico de alertas, siga os passos em Investigue um alerta.

Navegue para o painel de controlo das regras da GCTI

O painel de controlo Deteções organizadas é onde se encontram todas as regras relacionadas com a GCTI.

Para aceder ao painel de controlo Deteções organizadas, siga estes passos:

Na barra de navegação, clique em Deteção > Regras e deteções.
Existem quatro separadores: Painel de controlo de regras, Editor de regras, Deteções organizadas e Exclusões. Clique em Deteções organizadas. As deteções organizadas são o local onde se encontram todas as regras da GCTI e os alertas que geram.

Investigue regras da GCTI

Acima da tabela, existem dois separadores: Conjuntos de regras e Painel de controlo.

Em Conjuntos de regras, existe uma tabela que mostra todas as regras e conjuntos de regras (grupos de regras que são usados em conjunto). Neste separador, pode fazer o seguinte:

Reduzir ou expandir diferentes secções
Ative ou desative as opções Alertas e Estado
Use as caixas no canto superior esquerdo da tabela para aplicar alterações a um único conjunto de regras ou a todos os conjuntos de regras

Deteções organizadas

A secção Painel de controlo apresenta as regras separadas por categoria.

Painel de controlo de regras

Se clicar num alerta na secção Painel de controlo, é aberta uma página que lhe mostra uma cronologia das deteções recentes desse alerta.

Usar regras precisas e amplas

Existem dois tipos de regras nos conjuntos de regras: precisas e abrangentes. Pode ativar ou desativar as regras Precisas ou Amplas separadamente, consoante o tipo de pesquisa que estiver a fazer.

As regras precisas são regras que encontram comportamento malicioso com um grau de confiança mais elevado e menos falsos positivos devido à natureza mais específica da regra.
As regras Amplias encontram comportamentos potencialmente maliciosos ou anómalos. Uma vez que estas regras são mais gerais do que as Precisas, existe uma maior probabilidade de falsos positivos.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.