Benachrichtigungen prüfen

Warnungen sind mit Daten verknüpft, die von Ihren Sicherheitssystemen als Bedrohung identifiziert wurden. Wenn Sie Benachrichtigungen prüfen, erhalten Sie Kontext zur Benachrichtigung und zu den zugehörigen Entitäten.

Wenn Sie auf eine Benachrichtigung klicken, werden Sie auf eine Seite mit den Benachrichtigungsdetails weitergeleitet, die in die folgenden drei Tabs unterteilt sind:

• Übersicht: Enthält eine Zusammenfassung wichtiger Details zur Benachrichtigung, einschließlich des Benachrichtigungsstatus und des Erkennungsfensters.
• Grafik: Visualisiert Benachrichtigungen, die über eine YARA-L-Regel generiert werden. Sie stellt die Beziehung der Benachrichtigung zu anderen Entitäten grafisch dar. Wenn eine Benachrichtigung ausgelöst wird, werden mit der Benachrichtigung verknüpfte Entitäten im Diagramm und auf der linken Seite des Bildschirms angezeigt – jeweils mit einer eigenen Karte. In der Benachrichtigungsgrafik werden die folgenden Entitäten in einem UDM-Ereignis verwendet: principal, target, src, observer, intermediary und about.
• Benachrichtigungsverlauf: Hier werden alle Änderungen aufgelistet, die an dieser Benachrichtigung vorgenommen wurden, einschließlich der Änderung des Status einer Benachrichtigung oder Hinzufügen eines Hinweises.

Unter dem Diagramm, in dem die Beziehungen zwischen den Entitäten und der Benachrichtigung visualisiert werden, befinden sich die folgenden drei Untertabs mit mehr Kontext zur Benachrichtigung:

• Ereignisse: Enthält Details zu den Ereignissen, die mit der Benachrichtigung zusammenhängen.
• Entitäten: Enthält Details zu allen Entitäten, die der Benachrichtigung zugeordnet sind.
• Kontext für Benachrichtigungen: Stellt zusätzlichen Kontext zur Benachrichtigung bereit.

Hinweise

Wenn Sie Daten in das Benachrichtigungsdiagramm einfügen möchten, müssen Sie eine YARA-L-Regel erstellen, die Benachrichtigungen generiert. Die Qualität der Benachrichtigungsgrafik hängt vom Kontext ab, der in die YARA-L-Regel integriert ist. Der Abschnitt Ergebnis einer Regel enthält Kontext für die durch die Regel ausgelösten Erkennungen.

Wir empfehlen, dem Ergebnisabschnitt die folgenden UDM-Nomen hinzuzufügen, da sie im Benachrichtigungsdiagramm verwendet werden: principal, target, src, observer, intermediary und about. Für diese UM-Nomen werden im Benachrichtigungsdiagramm die folgenden Felder verwendet:

• artifact.ip
• asset.asset_id
• asset.hostname
• asset.ip
• asset.mac
• asset.product_object_id
• asset_id
• domain.name
• file.md5
• file.sha1
• file.sha256
• hostname
• ip
• mac
• process.file.md5
• process.file.sha1
• process.file.sha256
• resource.name
• url
• user.email_addresses
• user.employee_id
• user.product_object_id
• user.userid
• user.windows_sid

Die Werte in der obigen Liste der UDM-Felder sind auch mit der UDM-Suche auf dem Unter-Tab Benachrichtigungskontext verknüpft. Weitere Informationen finden Sie unter Kontext zur Benachrichtigung ansehen.

In der folgenden YARA-L-Regel wird eine Benachrichtigung generiert, wenn eine erhebliche Anzahl von Google Cloud-Dienst-APIs innerhalb kurzer Zeit (1 Stunde) deaktiviert wurde.

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Nachdem eine Benachrichtigung generiert wurde, können Sie die Seite Benachrichtigungsdiagramm aufrufen, um mehr Kontext zur Benachrichtigung zu erhalten und sie weiter zu untersuchen.

Benachrichtigungsgrafik aufrufen

Sie können über die Seite Benachrichtigungen und IOCs oder die Seite UDM-Suche auf die Grafik zugreifen.

Über Benachrichtigungen und Bedrohungsindikatoren auf das Benachrichtigungsdiagramm zugreifen

Auf der Seite Alerts and Indicators of Compromise (IOC) können Sie alle Benachrichtigungen und IOCs filtern und ansehen, die derzeit Ihr Unternehmen betreffen. Weitere Informationen zu dieser Seite und zum Aufrufen von IOC-Übereinstimmungen finden Sie unter Benachrichtigungen und IOCs ansehen.

So rufen Sie weitere Informationen zu einer Benachrichtigung auf der Seite „Benachrichtigungen und IOCs“ auf:

1. Klicken Sie in der Navigationsleiste auf Erkennungen > Warnungen und Bedrohungsindikatoren.
2. Suchen Sie in der Tabelle mit den Benachrichtigungen nach der Benachrichtigung, die Sie prüfen möchten.
3. Klicken Sie in der Zeile der Benachrichtigung auf den Text in der Namensspalte, um das Benachrichtigungsdiagramm zu öffnen.

Auf das Benachrichtigungsdiagramm über die UDM-Suche zugreifen

1. Wählen Sie oben in der Navigationsleiste Suchen aus.
2. Laden Sie eine Suche mit dem Search Manager oder erstellen Sie eine neue Suche. Weitere Informationen zum Durchführen einer Suche in UDM in der UDM-Suche.
   1. Es werden drei Tabs angezeigt: Übersicht, Entität und Benachrichtigungen. Klicken Sie auf Benachrichtigungen.
3. Klicken Sie auf die Benachrichtigung, die Sie untersuchen möchten. Die Benachrichtigungsansicht wird angezeigt.
4. Klicken Sie auf Details ansehen, um die Benachrichtigungsansicht zu öffnen.
5. Klicken Sie auf den Tab Grafik, um die Benachrichtigungsgrafik aufzurufen.

Details zu einer Benachrichtigung ansehen

In der Benachrichtigungsansicht werden auf dem Tab Übersicht die folgenden Informationen zu der Benachrichtigung angezeigt:

• Benachrichtigungsdetails: Status, Erstellungsdatum, Schweregrad, Priorität und Risikobewertung.
• Zusammenfassung der Erkennung: Die Erkennungsregel, die die Benachrichtigung generiert hat. Sie können auch andere Benachrichtigungen über dieselbe Erkennungsregel aufrufen.
• Ereignisse: Ereignisse, die dieser Benachrichtigung zugeordnet sind.

Sie können nicht nur wichtige Informationen aufrufen, sondern auch den Status der Benachrichtigung anpassen.

Benachrichtigungsstatus ändern

1. Klicken Sie rechts oben auf Benachrichtigungsstatus ändern.
2. Aktualisieren Sie im angezeigten Fenster den Schweregrad und die Prioritätsstufen entsprechend.
3. Klicken Sie auf Speichern.

Benachrichtigung schließen

1. Klicken Sie auf Benachrichtigung schließen.
2. Daraufhin wird ein Fenster eingeblendet. Dort können Sie eine Notiz hinterlassen und mehr darüber erfahren, warum Sie die Benachrichtigung geschlossen haben.
3. Geben Sie Ihre Informationen ein und klicken Sie auf Speichern.

Entitätsbeziehungen ansehen

In der Grafik sehen Sie, wie verschiedene Benachrichtigungen und Entitäten zusammenhängen. Mit diesem Feature erhalten Sie ein visuelles, interaktives Diagramm, in dem Sie Beziehungsinformationen zu vorhandenen Entitäten erweitern können, um unbekannte Beziehungen anzuzeigen. Sie können die Suche auch ausweiten, indem Sie den Zeitraum verlängern und Benachrichtigungen zu einem bestimmten Zeitpunkt erweitern, um detailliertere Benachrichtigungspfade zu erhalten.

Sie können die Suche auch erweitern, indem Sie rechts oben in einem beliebigen Knoten auf das Symbol + klicken. Dadurch werden alle Knoten angezeigt, die zu dieser Entität gehören.

Grafiksymbole

Verschiedene Objekte werden durch unterschiedliche Symbole dargestellt.

Symbol	Entitäten, die das Symbol repräsentiert	Erläuterung
account_circle	Nutzer	Ein Nutzer ist eine Person oder eine andere Entität, die Zugriff auf Ihr Netzwerk anfordert und diese Informationen verwendet. Beispiele: melanie, cloudysanfrancisco@gmail.com
Datenbank	Ressource	„Ressourcen“ ist ein Oberbegriff für Entitäten, die einen eigenen eindeutigen Ressourcennamen haben. Beispiele: BigQuery-Tabelle, ‐Datenbank und ‐Projekt.
	IP-Adresse
Beschreibung	Datei
	Domainname
	URL
device_unknown	Unbekannter Entitätstyp	Ein Entitätstyp, der von der Software von Google Security Operations nicht erkannt wird.
Arbeitsspeicher	Asset	Ein Asset ist alles, was einen Mehrwert für Ihre Organisation schafft. Dazu können Hostnamen, MAC-Adressen und interne IP-Adressen gehören. Beispiele: 10.120.89.92 (interne IP-Adresse), 00:53:00:4a:56:07 (MAC-Adresse)

Wenn zwei oder mehr Benachrichtigungen aus derselben Regel stammen, werden sie in einem Gruppensymbol gruppiert. Indikatoren, die dieselbe Entität darstellen, werden zu einem Symbol zusammengefasst.

Weitere Informationen zu den einzelnen Symbolen finden Sie in den folgenden Dokumenten:

• Nutzer untersuchen
• Ressourcenorientiertes Design
• Asset prüfen
• Domain untersuchen
• Datei prüfen
• IP-Adresse prüfen

Navigation im Benachrichtigungsdiagramm

Wenn Sie auf Benachrichtigungsdiagramm klicken, werden im Diagramm alle Ergebnisse 12 Stunden vor und nach der Benachrichtigung angezeigt. Wenn für die Benachrichtigung keine Entitäten vorhanden sind, wird nur die ursprüngliche Benachrichtigung im Diagramm angezeigt.

Die Hauptwarnung wird in einem roten Kreis hervorgehoben. Benachrichtigungen sind durch eine durchgezogene Linie mit Entitäten und andere Benachrichtigungen mit einer gepunkteten Linie verbunden. Wenn Sie den Mauszeiger über eine Kante halten (die Linie, die zwei Knoten verbindet), wird die Ergebnis- oder Übereinstimmungsvariable angezeigt, die ihn mit einem Knoten in der Grafik verbindet.

Auf der linken Seite gibt es Karten für jeden Knoten, die Details zu verknüpften Regeln, Erkennungsfenstern, Schweregrad, Prioritätsstatus und mehr enthalten.

Direkt über der Grafik befindet sich die Schaltfläche Grafikoptionen. Wenn Sie auf Grafikoptionen klicken, werden zwei Optionen angezeigt: Erkennung ohne Benachrichtigungen und Risikowert. Beide sind standardmäßig aktiviert und können nach Bedarf ein- oder ausgeschaltet werden.

Um die Knoten zu verschieben, ziehen Sie einfach die Knoten um das Diagramm. Wenn Sie den Knoten freigeben, wird er an der ursprünglichen Stelle angepinnt, bis Sie auf Aktualisieren klicken.

Knoten hinzufügen und entfernen

Wenn Sie auf einen Knoten klicken, wird am unteren Bildschirmrand eine Tabelle angezeigt. Sie können für jeden Knoten die folgenden Aktionen ausführen:

Benachrichtigung

• Zugehörige Entitäten, Benachrichtigungen und Ereignisse ansehen
• Ergebnisse und Übereinstimmungen aus der Benachrichtigung ansehen
• Beliebige Teilgrafik entfernen
• Fügen Sie zugehörige Entitäten und Benachrichtigungen zur Grafik hinzu oder entfernen Sie sie, indem Sie die Kästchen in der Spalte „On Graph“ (On Graph) anklicken.

Entität

• Alle zugehörigen Benachrichtigungen ansehen
• Beliebige Teilgrafik entfernen
• Sie können zugehörige Benachrichtigungen zur Grafik hinzufügen oder daraus entfernen, indem Sie die Kästchen in der Spalte "On Graph" (Im Diagramm) aktivieren bzw. deaktivieren.

Gruppe

• Alle Entitäten oder Benachrichtigungen ansehen, aus denen diese Gruppe besteht
• Um die Gruppierung einzelner Knoten aufzuheben, klicken Sie in der Tabelle unten auf der Seite auf Im Diagramm.

Klicken Sie über der Tabelle das Kästchen Risikowert an bzw. entfernen Sie das Häkchen, um den Risikowert zu den Knoten hinzuzufügen oder zu entfernen.

Benachrichtigungsdiagramm maximieren

Wenn Sie weitere zugehörige Knoten sehen möchten, klicken Sie unten in der Benachrichtigung auf das Symbol +. Die Entitäten und Benachrichtigungen, die sich auf das ausgewählte Symbol beziehen, werden angezeigt. Jede neue Benachrichtigung hat an der Seite eine Karte mit weiteren Details.

Grafik zurücksetzen

Wenn Sie das Diagramm löschen möchten, können Sie den Zeitraum im rechten Fenster anpassen. Der maximale Zeitraum beträgt 90 Tage. Außerdem wird die Grafik auf ihren ursprünglichen Zustand zurückgesetzt. Durch das Aktualisieren des Zeitraums wird die Grafik mit allen zusätzlichen Knoten gelöscht und auf ihren ursprünglichen Zustand zurückgesetzt.

Klicken Sie auf Aktualisieren, um die Knoten zurück an die Standardposition zu verschieben.

Kontext zur Benachrichtigung ansehen

Der Abschnitt Benachrichtigungskontext enthält eine Liste von Werten, die zusätzlichen Kontext zur Benachrichtigung liefern.

Der Benachrichtigungskontext enthält die Spalte Typ, aus der hervorgeht, welcher Teil der Regel die ausgewählte Benachrichtigung generiert hat – Ergebnis oder Übereinstimmung. Die nächste Spalte heißt Variable. Diese Variablennamen basieren auf den Namen der Übereinstimmungs- und Ergebnisvariablen, die in der Regel definiert sind. Die Spalte ganz rechts ist das UDM-Feld. Variablen, für die ein UDM-Feld aufgeführt ist, sind auch in der Spalte Werte verknüpft.

Zusätzlich zu den im Abschnitt Vorbereitung aufgeführten UDM-Feldern sind die folgenden UDM-Felder auch mit der UDM-Suchseite verknüpft:

• file.full_path
• process.command_line
• process.file.full_path
• process.parent_process.product_specific_process_id
• process.pid
• process.product_specific_process_id
• resource.product_object_id

Die spezifischen UDM-Nomen, die mit diesen Feldern verknüpft sind, sind principal, target, src, observer, intermediary und about. Wenn Sie auf einen Wert klicken, wird eine UDM-Suche ausgelöst, bei der der Wert zusammen mit dem Zeitraum des letzten Tages übergeben wird.

In der YARA-L-Beispielregel aus dem Abschnitt Vorbereitung werden die folgenden UDM-Felder mit der UDM-Suchseite verknüpft:

• principal.ip
• principal.user.userid
• principal.user.user_display_name
• target.resource.name

Benachrichtigungsverlauf aufrufen

Auf dem Tab Benachrichtigungsverlauf können Sie den vollständigen Verlauf aller Aktionen ansehen, die für diese Benachrichtigung ausgeführt wurden. Dazu zählen:

• Wann die Warnung zum ersten Mal angezeigt wurde
• Notizen, die Personen in Ihrem Team zu dieser Benachrichtigung hinterlassen haben
• Wenn sich der Schweregrad geändert hat
• Wenn die Priorität geändert wurde
• Wenn die Warnung geschlossen wurde

Benachrichtigungen von Google Security Operations SOAR

Benachrichtigungen von Google Security Operations SOAR enthalten zusätzliche Informationen zum Google Security Operations SOAR-Fall. Diese Benachrichtigungen enthalten auch einen Link zum Öffnen des Falls in Google Security Operations SOAR. Weitere Informationen findest du in der Übersicht über SOAR-Fälle von Google Security Operations.

Benachrichtigung bei SOAR-Fall von Google Security Operations