Seite „Ausgewählte Erkennungsmechanismen“ verwenden

In diesem Dokument wird beschrieben, wie Sie die Seiten mit ausgewählten Erkennungen verwenden.

Für Google Security Operations-Kunden bietet das Google Cloud Threat Intelligence-Team (GCTI) im Rahmen des Google Cloud Security Shared Fate-Modells sofort einsatzbereite Bedrohungsanalysen an. Im Rahmen dieser ausgewählten Erkennungen stellt GCTI eine Reihe von YARA-L-Regeln bereit und verwaltet diese, um Kunden bei der Identifizierung von Bedrohungen für ihr Unternehmen zu unterstützen. Diese von GCTI verwalteten Regeln:

• Kunden sofort umsetzbare Informationen zur Verfügung stellen, die sie auf ihre aufgenommenen Daten anwenden können.

• Nutzt die Bedrohungsinformationen von Google, indem Kunden die Möglichkeit geboten wird, sie in Google SecOps zu verwenden.

Hinweise

Weitere Informationen zu vordefinierten Richtlinien zur Bedrohungserkennung finden Sie hier:

• Übersicht über die Kategorie „Cloud-Bedrohungen“
• Übersicht über die Chrome Enterprise-Kategorie „Bedrohungen“
• Übersicht über die Kategorie „Windows-Bedrohungen“
• Übersicht über die Kategorie „Linux-Bedrohungen“
• Übersicht über Risikoanalysen für die Kategorie „UEBA“
• Übersicht über die Kategorie „Angewandte Bedrohungsinformationen“

Wie Sie prüfen, ob die für die einzelnen Richtlinien erforderlichen Daten im richtigen Format vorliegen, erfahren Sie unter Aufnahme von Protokolldaten mithilfe von Testregeln überprüfen.

Funktionen für ausgewählte Erkennungen

Im Folgenden finden Sie einige der wichtigsten Funktionen für ausgewählte Erkennungen:

• Ausgewählte Erkennung: Von GCTI für Google SecOps-Kunden erstellte und verwaltete Erkennung.

• Regelsätze: Sammlung von Regeln, die von GCTI für Google SecOps-Kunden verwaltet werden. GCTI stellt mehrere Regelsätze bereit und verwaltet sie. Der Kunde kann diese Regeln in seinem Google SecOps-Konto aktivieren oder deaktivieren und Benachrichtigungen für diese Regeln aktivieren oder deaktivieren. Neue Regeln und Regelsätze werden von GCTI regelmäßig bereitgestellt, wenn sich die Bedrohungslage ändert.

Seite mit ausgewählten Erkennungen und Regelsätzen öffnen

So rufen Sie die Seite mit den ausgewählten Erkennungen auf:

1. Wählen Sie im Hauptmenü Regeln aus.

2. Klicken Sie auf Ausgewählte Erkennungen, um die Ansicht „Regelsätze“ zu öffnen.

Auf der Seite „Ausgewählte Erkennung“ finden Sie Informationen zu den einzelnen Regelsätzen, die für Ihr Google SecOps-Konto aktiv sind. Dazu gehören:

• Letzte Aktualisierung: Zeitpunkt, zu dem GCTI den Regelsatz zuletzt aktualisiert hat.

• Aktivierte Regeln: Gibt an, welche der genauen und allgemeinen Regeln für jeden Regelsatz aktiviert sind. Mithilfe genauer Regeln können Sie schädliche Bedrohungen mit hoher Wahrscheinlichkeit erkennen. Bei allgemeinen Regeln wird nach verdächtigem Verhalten gesucht, das häufiger auftritt und zu mehr falsch positiven Ergebnissen führt. Für einen Regelsatz können sowohl genaue als auch ungefähre Regeln verfügbar sein.

• Benachrichtigungen: Gibt an, für welche der genauen und allgemeinen Regeln Benachrichtigungen für jeden Regelsatz aktiviert sind.

• Mitre-Taktiken: Kennung der MITRE ATT&CK®-Taktiken, die von jedem Regelsatz abgedeckt werden. MITRE ATT&CK®-Taktiken repräsentieren die Absicht hinter schädlichem Verhalten.

• Mitre-Techniken: Kennung der MITRE ATT&CK®-Techniken, die von jedem Regelsatz abgedeckt werden. Mitre ATT&CK®-Techniken repräsentieren spezifische Aktionen von schädlichem Verhalten

Auf dieser Seite können Sie auch die Regel und die Benachrichtigungen für die Regel aktivieren oder deaktivieren. Das ist sowohl für allgemeine als auch für präzise Regeln möglich.

Dashboard für ausgewählte Erkennungsmechanismen öffnen

Auf dem Dashboard für ausgewählte Erkennungen werden Informationen zu jeder ausgewählten Erkennung angezeigt, die eine Erkennung in den Protokolldaten in Ihrem Google SecOps-Konto ausgelöst hat. Regeln mit erkannten Verstößen werden nach Regelsatz gruppiert.

So öffnen Sie das Dashboard für ausgewählte Erkennungen:

1. Wählen Sie im Hauptmenü Regeln aus. Der Standardtab ist „Ausgewählte Erkennungen“ und die Standardansicht ist „Regelsätze“.

2. Klicken Sie auf Dashboard.

   

   Abbildung 2: Dashboard „Zusammengestellte Erkennungen“

3. Im Dashboard „Ausgewählte Erkennungen“ werden alle Regelsätze angezeigt, die für Ihr Google SecOps-Konto verfügbar sind. Jede Anzeige enthält Folgendes:

   • Diagramm, in dem die aktuelle Aktivität für jede der mit einem Regelsatz verknüpften Regeln erfasst wird.

   • Zeitpunkt der letzten Erkennung.

   • Status der einzelnen Regeln.

   • Schweregrad der letzten Erkennungen.

   • Gibt an, ob Benachrichtigungen aktiviert oder deaktiviert sind.

4. Sie können die Regeleinstellungen bearbeiten, indem Sie auf das Dreipunkt-Menü more_vert oder den Namen der Regelgruppe klicken.

5. Klicken Sie auf Regelsätze, um zur Ansicht „Regelsätze“ zurückzukehren. Die Ansicht „Regeln“ enthält Informationen zu allen Regeln, die für Ihr Google SecOps-Konto aktiv sind.

Details zu einem Regelsatz ansehen

Sie können die Einstellungen für jede ausgewählte Erkennung ändern, indem Sie auf das Dreipunkt-Menü more_vert für den Regelsatz klicken und dann Regelneinstellungen ansehen und bearbeiten auswählen.

Sie können den Regelsatz unter Einstellungen aktivieren oder deaktivieren. Mit den Ein-/Aus-Schaltflächen Status und Benachrichtigungen können Sie die genauen und allgemeinen Regeln im Regelsatz aktivieren oder deaktivieren. Sie können auch Benachrichtigungen aktivieren oder deaktivieren.

Außerdem können Sie sich alle für den Regelsatz konfigurierten Ausschlüsse ansehen. Sie können die Ausschlüsse bearbeiten, indem Sie auf Ansehen klicken. Weitere Informationen finden Sie unter Ausschlüsse für Regeln konfigurieren.

Abbildung 3: Regeleinstellungen

Änderung aller Regeln in einem Regelsatz

Im Bereich Einstellungen werden die Einstellungen für alle Regeln in einem Regelsatz angezeigt. Sie können die Einstellungen ändern, um benutzerdefinierte Erkennungen für die Nutzung und Anforderungen Ihrer Organisation zu erstellen.

• Genaue Regeln: Mithilfe genauer Regeln können Sie schädliches Verhalten mit höherer Konfidenz und weniger falsch positiven Ergebnissen erkennen, da die Regel spezifischer ist.

• Allgemeine Regeln: Sie können damit Verhalten erkennen, das potenziell schädlich oder anomal ist. Aufgrund der allgemeinen Natur der Regel gibt es aber in der Regel mehr falsch positive Ergebnisse.

• Status: Sie können den Status einer Regel als präzise oder weit gefasst aktivieren, indem Sie die entsprechende Option Status auf Aktiviert setzen.

• Benachrichtigungen: Aktivieren Sie Benachrichtigungen, um über Erkennungen informiert zu werden, die durch entsprechende genaue oder allgemeine Regeln erstellt wurden. Legen Sie dazu die Option Benachrichtigungen auf An fest.

Regelausschlüsse konfigurieren

Sie können Regelausschlüsse konfigurieren, um die Anzahl der Benachrichtigungen zu verwalten, die von GCTI-geprüften Erkennungen stammen. Weitere Informationen finden Sie unter Ausnahmen für Regeln konfigurieren.

Ausgewählte Erkennungen ansehen

Sie können sich alle ausgewählten Erkennungen in der Ansicht „Ausgewählte Erkennungen“ ansehen. In dieser Ansicht können Sie alle mit der Regel verknüpften Erkennungen prüfen und über die Zeitachse zu anderen Ansichten wechseln, z. B. zur Asset-Ansicht.

So öffnen Sie die Ansicht „Zusammengestellte Erkennung“:

1. Klicken Sie auf Dashboard.

2. Klicken Sie in der Spalte „Regel“ auf den Link zum Regelnamen.

Nächste Schritte

• GCTI-Benachrichtigung prüfen
• Benachrichtigungen anpassen, die von Regelsätzen in dieser Kategorie zurückgegeben werden

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten