Benachrichtigung prüfen

Benachrichtigungen sind mit Daten verknüpft, die von Ihren Sicherheitssystemen als Bedrohung eingestuft wurden. Wenn Sie Benachrichtigungen untersuchen, erhalten Sie Kontextinformationen zu der Benachrichtigung und den zugehörigen Entitäten.

Wenn Sie auf eine Benachrichtigung klicken, werden Sie zu einer Seite mit Benachrichtigungsdetails weitergeleitet. Diese sind auf den folgenden drei Tabs organisiert:

• Übersicht: Hier finden Sie eine Zusammenfassung wichtiger Details zur Benachrichtigung, einschließlich Benachrichtigungsstatus und Erkennungsfenster.
• Diagramm: Hier werden Benachrichtigungen visualisiert, die von einer YARA-L-Regel generiert wurden. Es enthält ein Diagramm der Beziehung der Benachrichtigung zu anderen Entitäten. Wenn eine Benachrichtigung ausgelöst wird, werden die mit der Benachrichtigung verknüpften Entitäten im Diagramm und links auf dem Bildschirm mit einer eigenen Karte angezeigt. Im Benachrichtigungsdiagramm werden die folgenden Entitäten in einem UDM-Ereignis verwendet: principal, target, src, observer, intermediary und about.
• Benachrichtigungsverlauf: Hier werden alle Änderungen an dieser Benachrichtigung aufgeführt, z. B. wenn sich der Status einer Benachrichtigung geändert oder ein Hinweis hinzugefügt wurde.

Unter dem Diagramm, in dem die Beziehungen zwischen den Entitäten und der Benachrichtigung dargestellt werden, befinden sich die folgenden drei Untertabs mit weiteren Informationen zur Benachrichtigung:

• Ereignisse: Enthält Details zu den Ereignissen im Zusammenhang mit der Benachrichtigung.
• Entitäten: Enthält Details zu den einzelnen Entitäten, die mit der Benachrichtigung verknüpft sind.
• Benachrichtigungskontext: Bietet zusätzlichen Kontext zur Benachrichtigung.

Hinweise

Um das Benachrichtigungsdiagramm zu füllen, müssen Sie eine YARA-L-Regel erstellen, die Benachrichtigungen generiert. Die Qualität des Benachrichtigungsdiagramms hängt vom Kontext ab, der in der YARA-L-Regel enthalten ist. Der Ergebnisabschnitt einer Regel liefert Kontext zu den Erkennungen, die durch die Regel ausgelöst wurden.

Wir empfehlen, dem Bereich „Ergebnis“ die folgenden UDM-Subjekte hinzuzufügen, da sie in der Benachrichtigungsgrafik verwendet werden: principal, target, src, observer, intermediary und about. Für diese UDM-Subjekte werden im Benachrichtigungsdiagramm die folgenden Felder verwendet:

• artifact.ip
• asset.asset_id
• asset.hostname
• asset.ip
• asset.mac
• asset.product_object_id
• asset_id
• domain.name
• file.md5
• file.sha1
• file.sha256
• hostname
• ip
• mac
• process.file.md5
• process.file.sha1
• process.file.sha256
• resource.name
• url
• user.email_addresses
• user.employee_id
• user.product_object_id
• user.userid
• user.windows_sid

Die Werte in der Liste der UDM-Felder oben sind auch über den Untertab Kontext der Benachrichtigung mit der UDM-Suche verknüpft. Weitere Informationen finden Sie unter Kontext zur Benachrichtigung aufrufen.

In der folgenden YARA-L-Regel wird eine Benachrichtigung generiert, wenn innerhalb eines kurzen Zeitraums (1 Stunde) eine erhebliche Anzahl von Google Cloud-Dienst-APIs deaktiviert wurde.

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Nachdem eine Benachrichtigung generiert wurde, können Sie die Seite Benachrichtigungsdiagramm aufrufen, um mehr Kontext zu der Benachrichtigung zu erhalten und sie genauer zu untersuchen.

Benachrichtigungsgrafik aufrufen

Sie können den Graphen über die Seite Benachrichtigungen und IOCs oder die Seite UDM-Suche aufrufen.

Über „Benachrichtigungen und IOCs“ auf das Benachrichtigungsdiagramm zugreifen

Auf der Seite Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IOC) können Sie alle Warnungen und IOCs filtern und aufrufen, die sich derzeit auf Ihr Unternehmen auswirken. Weitere Informationen zu dieser Seite und dazu, wie Sie IOC-Übereinstimmungen aufrufen, finden Sie unter Benachrichtigungen und IOCs aufrufen.

So rufen Sie auf der Seite „Benachrichtigungen und IOCs“ weitere Informationen zu einer Benachrichtigung auf:

1. Klicken Sie in der Navigationsleiste auf Erkenntnisse > Benachrichtigungen und IOCs.
2. Suchen Sie in der Tabelle mit den Benachrichtigungen nach der Benachrichtigung, die Sie untersuchen möchten.
3. Klicken Sie in der Zeile der Benachrichtigung auf den Text in der Spalte „Name“, um den Benachrichtigungsdiagramm zu öffnen.

Über die UDM-Suche auf die Benachrichtigungsgrafik zugreifen

1. Wählen Sie oben in der Navigationsleiste Suchen aus.
2. Laden Sie eine Suche mit dem Suchmanager oder erstellen Sie eine neue Suche. Weitere Informationen zur Suche in UDM finden Sie unter UDM-Suche.
   1. Es werden drei Tabs angezeigt: Übersicht, Entität und Benachrichtigungen. Klicken Sie auf Benachrichtigungen.
3. Klicken Sie auf die Benachrichtigung, die Sie sich genauer ansehen möchten. Der Benachrichtigungs-Viewer wird angezeigt.
4. Klicken Sie auf Details ansehen, um die Benachrichtigungsübersicht zu öffnen.
5. Klicken Sie auf den Tab Diagramm, um das Benachrichtigungsdiagramm aufzurufen.

Details zu einer Benachrichtigung aufrufen

In der Benachrichtigungsansicht werden auf dem Tab Übersicht die folgenden Informationen zur Benachrichtigung angezeigt:

• Benachrichtigungsdetails: Benachrichtigungsstatus, Erstellungsdatum, Schweregrad, Priorität und Risikobewertung.
• Erkennungsübersicht: Erkennungsregel, durch die die Benachrichtigung generiert wurde. Sie können sich weitere Benachrichtigungen für dieselbe Erkennungsregel ansehen.
• Ereignisse: Ereignisse, die mit dieser Benachrichtigung verknüpft sind.

Sie können sich nicht nur wichtige Informationen ansehen, sondern auch den Benachrichtigungsstatus anpassen.

Benachrichtigungsstatus ändern

1. Klicken Sie rechts oben auf Benachrichtigungsstatus ändern.
2. Aktualisieren Sie im angezeigten Fenster die Schwere- und Prioritätsstufen entsprechend.
3. Klicken Sie auf Speichern.

Benachrichtigung schließen

1. Klicken Sie auf Benachrichtigung schließen.
2. Im angezeigten Fenster können Sie eine Notiz hinterlassen, um weitere Informationen dazu hinzuzufügen, warum Sie die Benachrichtigung geschlossen haben.
3. Geben Sie die Informationen ein und drücken Sie die Eingabetaste.

Entitätsbeziehungen ansehen

Im Diagramm sehen Sie, wie verschiedene Benachrichtigungen und Entitäten miteinander verbunden sind. Diese Funktion bietet eine visuelle, interaktive Grafik, mit der Sie Beziehungsinformationen zu vorhandenen Entitäten erweitern können, um unbekannte Beziehungen aufzudecken. Sie können die Suche auch erweitern, indem Sie den Zeitraum verlängern und frühere Benachrichtigungen zu einem bestimmten Zeitpunkt einbeziehen, um umfassendere Benachrichtigungspfade zu erhalten.

Sie können die Suche auch erweitern, indem Sie rechts oben auf einen Knoten klicken und dann auf das Symbol + klicken. Daraufhin werden alle Knoten angezeigt, die mit dieser Entität verknüpft sind.

Diagrammsymbole

Unterschiedliche Entitäten werden durch unterschiedliche Symbole dargestellt.

Wenn zwei oder mehr Benachrichtigungen auf dieselbe Regel zurückzuführen sind, werden sie in einem Gruppensymbol zusammengefasst. Indikatoren, die dieselbe Entität darstellen, werden in einem Symbol zusammengefasst.

Weitere Informationen zu den einzelnen Symbolen finden Sie in den folgenden Dokumenten:

• Nutzer untersuchen
• Ressourcenorientiertes Design
• Asset prüfen
• Domain prüfen
• Datei prüfen
• IP-Adresse prüfen

Benachrichtigungsdiagramm verwenden

Wenn Sie auf Benachrichtigungsdiagramm klicken, werden im Diagramm alle Ergebnisse 12 Stunden vor und nach der Benachrichtigung angezeigt. Wenn für die Benachrichtigung keine Entitäten vorhanden sind, wird nur die ursprüngliche Benachrichtigung im Diagramm angezeigt.

Die Hauptbenachrichtigung ist in einem roten Kreis hervorgehoben. Benachrichtigungen sind durch eine durchgezogene Linie mit Entitäten verbunden, andere Benachrichtigungen durch eine gepunktete Linie. Wenn Sie den Mauszeiger auf eine Kante (die Linie, die zwei Knoten verbindet) bewegen, wird die Ergebnisvariable oder Abgleichsvariable angezeigt, die sie mit einem Knoten im Diagramm verbindet.

Auf der linken Seite finden Sie Karten für jeden Knoten mit Details zu den zugehörigen Regeln, Erkennungsfenstern, Schweregrad und Prioritätsstatus.

Direkt über der Grafik befindet sich die Schaltfläche Grafikoptionen. Wenn Sie auf Diagrammoptionen klicken, werden zwei Optionen angezeigt: Erkenntnisse ohne Benachrichtigung und Risikobewertung. Beide sind standardmäßig aktiviert und können nach Bedarf aktiviert oder deaktiviert werden.

Ziehen Sie die Knoten einfach im Diagramm, um sie zu verschieben. Wenn Sie den Knoten loslassen, bleibt er an der Stelle angepinnt, an der Sie ihn platziert haben, bis Sie auf Aktualisieren klicken.

Knoten hinzufügen und entfernen

Wenn Sie auf einen Knoten klicken, wird unten auf dem Bildschirm eine Tabelle angezeigt. Sie haben auf jedem Knoten folgende Möglichkeiten:

Benachrichtigung

• Zugehörige Entitäten, Benachrichtigungen und Ereignisse ansehen
• Ergebnisse und Übereinstimmungen der Benachrichtigung ansehen
• Untergraphen entfernen
• Sie können zugehörige Entitäten und Benachrichtigungen zum Diagramm hinzufügen oder daraus entfernen, indem Sie die entsprechenden Kästchen in der Spalte „Im Diagramm“ anklicken.

Entität

• Alle ähnlichen Benachrichtigungen ansehen
• Untergraphen entfernen
• Sie können dem Diagramm zugehörige Benachrichtigungen hinzufügen oder daraus entfernen, indem Sie die Kästchen in der Spalte „Im Diagramm“ aktivieren oder deaktivieren.

Gruppe

• Alle Entitäten oder Benachrichtigungen ansehen, die zu dieser Gruppe gehören
• Wenn Sie einzelne Knoten gruppieren möchten, klicken Sie unten auf der Seite in der Tabelle auf Im Diagramm.

Wenn Sie den Risikowert den Knoten hinzufügen oder daraus entfernen möchten, setzen oder entfernen Sie ein Häkchen im Kästchen Risikowert über der Tabelle.

Benachrichtigungsgrafik maximieren

Wenn Sie weitere zugehörige Knoten sehen möchten, klicken Sie unten in der Benachrichtigung auf das Symbol +. Die Entitäten und Benachrichtigungen, die sich auf das ausgewählte Symbol beziehen, werden angezeigt. Jede neue Benachrichtigung hat eine Karte daneben mit weiteren Details.

Grafik zurücksetzen

Wenn Sie das Diagramm löschen möchten, können Sie den Zeitraum im rechten Fenster anpassen. Der maximale Zeitraum beträgt 90 Tage. Wenn Sie den Zeitraum zurücksetzen, wird auch der Diagrammstatus auf den ursprünglichen Zustand zurückgesetzt. Wenn Sie den Zeitraum aktualisieren, werden alle zusätzlichen Knoten aus der Grafik entfernt und sie wird auf den ursprünglichen Zustand zurückgesetzt.

Wenn Sie die Knoten wieder an die Standardposition verschieben möchten, klicken Sie auf Aktualisieren.

Kontext zur Benachrichtigung ansehen

Der Abschnitt Benachrichtigungskontext enthält eine Liste von Werten, die zusätzlichen Kontext zur Benachrichtigung liefern.

Der Benachrichtigungskontext enthält die Spalte Typ, aus der hervorgeht, welcher Teil der Regel die ausgewählte Benachrichtigung generiert hat: Ergebnis oder Übereinstimmung. Die nächste Spalte heißt Variable. Diese Variablennamen basieren auf den Namen der Übereinstimmungs- und Ergebnisvariablen, die in der Regel definiert sind. Die Spalte ganz rechts ist UDM-Feld. Variablen, für die ein UDM-Feld aufgeführt ist, sind auch in der Spalte Werte verknüpft.

Zusätzlich zu den im Abschnitt Vorab aufgeführten UDM-Feldern sind auch die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

• file.full_path
• process.command_line
• process.file.full_path
• process.parent_process.product_specific_process_id
• process.pid
• process.product_specific_process_id
• resource.product_object_id

Die UDM-Subjekte, die mit diesen Feldern verknüpft sind, sind principal, target, src, observer, intermediary und about. Wenn Sie auf einen Wert klicken, wird eine UDM-Suche ausgelöst, bei der der Wert zusammen mit dem Zeitbereich des letzten Tages übergeben wird.

In der Beispiel-YARA-L-Regel im Abschnitt Vorab werden die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

• principal.ip
• principal.user.userid
• principal.user.user_display_name
• target.resource.name

Benachrichtigungsverlauf aufrufen

Auf dem Tab Benachrichtigungsverlauf sehen Sie einen vollständigen Verlauf aller Aktionen, die für diese Benachrichtigung ausgeführt wurden. Dazu zählen:

• Wann die Benachrichtigung zum ersten Mal angezeigt wurde
• Alle Notizen, die Teammitglieder zu dieser Benachrichtigung hinterlassen haben
• Wenn sich der Schweregrad geändert hat
• Wenn die Priorität geändert wurde
• Wenn die Benachrichtigung geschlossen wurde

Benachrichtigungen von Google Security Operations SOAR

Benachrichtigungen von Google Security Operations SOAR enthalten zusätzliche Informationen zum Fall von Google Security Operations SOAR. Diese Benachrichtigungen enthalten auch einen Link, über den der Fall in Google Security Operations SOAR geöffnet werden kann. Weitere Informationen finden Sie in der Übersicht über SOAR-Fälle von Google Security Operations.

Benachrichtigung zu einer Google Security Operations SOAR-Anfrage