Indagare un avviso
Gli avvisi sono collegati ai dati identificati come minacce dai tuoi sistemi di sicurezza. L'analisi degli avvisi fornisce il contesto relativo all'avviso e alle entità correlate.
Quando fai clic su un avviso, vieni indirizzato a una pagina che contiene i dettagli dell'avviso organizzati nelle seguenti tre schede:
- Panoramica: fornisce un riepilogo dei dettagli importanti sull'avviso, tra cui lo stato dell'avviso e la finestra di rilevamento.
- Grafico: mostra gli avvisi generati da una regola YARA-L. it
fornisce un grafico della relazione dell'avviso con altre entità. Quando
l'avviso viene attivato, le entità associate all'avviso vengono visualizzate
grafico e sul lato sinistro dello schermo, ciascuno con la propria scheda. L'avviso
utilizza le seguenti entità in un evento UDM:
principal
,target
,src
,observer
,intermediary
eabout
di Google. - Cronologia avvisi: elenca tutte le modifiche apportate a questo avviso. ad esempio quando lo stato di un avviso è cambiato o è stata aggiunta una nota.
Sotto il grafico, sono visualizzate le relazioni tra le entità e sono le seguenti tre sottotabelle che forniscono maggiore contesto in merito all'avviso:
- Eventi: contiene i dettagli degli eventi correlati all'avviso.
- Entità: contiene i dettagli di ogni entità associata all'avviso.
- Contesto dell'avviso: fornisce un contesto aggiuntivo sull' avviso.
Prima di iniziare
Per compilare il grafico degli avvisi, devi creare una regola YARA-L che generi avvisi. La del grafico degli avvisi è legata al contesto integrato nello YARA-L personalizzata. La sezione relativa al risultato di una regola fornisce il contesto dei rilevamenti attivati dalla regola.
Ti consigliamo di aggiungere i seguenti nomi UDM alla sezione degli scopi, in quanto vengono utilizzati nel grafico degli avvisi: principal
, target
, src
, observer
, intermediary
e about
. Per questi
Nomi UDM, nel grafico degli avvisi vengono utilizzati i seguenti campi:
artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid
I valori nell'elenco precedente dei campi UDM rimandano anche alla ricerca UDM dalla scheda secondaria Contesto dell'avviso. Per saperne di più, vedi Visualizzare il contesto dell'avviso.
Nella regola YARA-L seguente viene generato un avviso quando un numero significativo di API di servizio Google Cloud è stato disabilitato entro un breve lasso di tempo (1 ora).
rule gcp_multiple_service_apis_disabled {
meta:
author = "Google Cloud Security"
description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
severity = "High"
priority = "High"
events:
$gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
$gcp.metadata.log_type = "GCP_CLOUDAUDIT"
$gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
$gcp.security_result.action = "ALLOW"
$gcp.target.application = "serviceusage.googleapis.com"
$gcp.principal.user.userid = $userid
match:
$userid over 1h
outcome:
$risk_score = max(75)
$network_http_user_agent = array_distinct($gcp.network.http.user_agent)
$principal_ip = array_distinct($gcp.principal.ip)
$principal_user_id = array_distinct($gcp.principal.user.userid)
$principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
$target_resource_name = array_distinct($gcp.target.resource.name)
$dc_target_resource_name = count_distinct($gcp.target.resource.name)
condition:
$gcp and $dc_target_resource_name > 5
}
Dopo aver generato un avviso, puoi andare alla pagina Grafico di avviso per ottenere ulteriore contesto sull'avviso e per esaminarlo ulteriormente.
Vai al grafico dell'avviso
Puoi accedere al Grafico dalla pagina Avvisi e IOC oppure dalla Ricerca UDM.
Accedere al grafico degli avvisi da Avvisi e IOC
La pagina Avvisi e indicatori di compromissione (IOC) consente di filtrare e e visualizzare tutti gli avvisi e gli IOC che interessano attualmente la tua azienda. A per saperne di più su questa pagina e su come visualizzare le corrispondenze IOC, visita la pagina Visualizzare avvisi e IOC.
Per visualizzare ulteriori informazioni su un avviso dalla pagina Avvisi e indicatori di compromissione, completa i seguenti passaggi:
- Dalla barra di navigazione, fai clic su Rilevamenti > Avvisi e IOC.
- Individua l'avviso che vuoi esaminare nella tabella degli avvisi.
- Nella riga dell'avviso, fai clic sul testo nella colonna del nome per aprire Avviso grafico.
Accedi al grafico degli avvisi dalla ricerca UDM
- Nella parte superiore della barra di navigazione, seleziona Cerca.
- Carica una ricerca con Search Manager o creane una nuova. Scopri di più
relative alle ricerche in UDM in UDM
Ricerca.
- Vengono visualizzate tre schede: Panoramica, Entità e Avvisi. Clic Avvisi.
- Fai clic sull'avviso che vuoi esaminare. Viene mostrato il visualizzatore avvisi.
- Fai clic su Visualizza dettagli per aprire la visualizzazione Avviso.
- Fai clic sulla scheda Grafico per visualizzare il grafico dell'avviso.
Visualizzare i dettagli di un avviso
Nella visualizzazione Avviso, la scheda Panoramica mostra le seguenti informazioni con riguardo all'allerta:
- Dettagli avviso: stato dell'avviso, data di creazione, gravità, priorità e rischio punteggio.
- Riepilogo rilevamento: la regola di rilevamento che ha generato l'avviso. Puoi visualizzare altri avvisi dalla stessa regola di rilevamento.
- Eventi: eventi associati a questo avviso.
Oltre a visualizzare informazioni importanti, puoi modificare lo stato dell'avviso.
Modificare lo stato dell'avviso
- Fai clic su Modifica stato avviso nell'angolo in alto a destra.
- Nella finestra visualizzata, aggiorna i livelli di gravità e priorità di conseguenza.
- Fai clic su Salva.
Chiudi l'avviso
- Fai clic su Chiudi avviso.
- Nella finestra visualizzata, hai la possibilità di lasciare una nota per aggiungere ulteriore contesto sul motivo per cui hai chiuso l'avviso.
- Inserisci i dati e premi Salva.
Visualizzare le relazioni tra entità
Il grafico mostra come sono collegate entità e avvisi diversi. Questa funzionalità ti offre un grafico visivo e interattivo che puoi utilizzare per espandere le informazioni sulle relazioni delle entità esistenti in modo da evidenziare le relazioni sconosciute. Puoi anche espandere la ricerca aumentando l'intervallo di tempo e espandendo gli avvisi point-in-time per percorsi di avviso più completi.
Puoi anche espandere la ricerca facendo clic sull'icona + in alto a destra di qualsiasi nodo. In questo modo vengono visualizzati tutti i nodi correlati all'entità.
Tracciare grafici delle icone
Entità diverse sono rappresentate da icone diverse.
Icona | Entità rappresentata dall'icona | Spiegazione |
Utente | Un utente è una persona o un'altra entità che richiede l'accesso e utilizza le informazioni della tua rete. Esempi: janedoe, cloudysanfrancisco@gmail.com | |
database | Risorsa | Risorse sono un termine generico che indica entità che hanno un proprio nome risorsa univoco. Esempi: tabella, database e progetto BigQuery. |
Indirizzo IP | ||
descrizione | File | |
Nome di dominio | ||
URL | ||
device_unknown | Tipo di entità sconosciuto | Un tipo di entità non riconosciuto dal software di Google Security Operations. |
memoria | Asset | Una risorsa è qualsiasi elemento che genera valore per la tua organizzazione. Possono essere inclusi nomi host, indirizzi MAC e indirizzi IP interni. Esempi: 10.120.89.92 (indirizzo IP interno), 00:53:00:4a:56:07 (indirizzo MAC) |
Se due o più avvisi provengono dalla stessa regola, vengono raggruppati in una . Gli indicatori che rappresentano la stessa entità sono consolidati in una .
Per scoprire di più su ciascuna di queste icone, consulta i seguenti documenti:
- Eseguire un'indagine su un utente
- Design orientato alle risorse
- Esaminare un asset
- Esaminare un dominio
- Esaminare un file
- Esaminare un indirizzo IP
Esplorare il grafico degli avvisi
Quando fai clic su Grafico di avviso, il grafico mostra tutti i risultati 12 ore prima e dopo l'avviso. Se non ci sono entità per l'avviso, viene usato solo l'avviso originale viene visualizzato sul grafico.
L'avviso principale viene evidenziato in un cerchio rosso. Gli avvisi sono collegati a entità con una linea continua e altri avvisi con una linea tratteggiata. Se tieni premuto il puntatore su un bordo (la linea che collega due nodi), mostra la variabile di risultato o la variabile di corrispondenza che lo collega a un nodo del grafico.
Sul lato sinistro, ci sono schede per ogni nodo che includono dettagli regole associate, finestre di rilevamento, gravità, stato di priorità e altro ancora.
Subito sopra il grafico è presente un pulsante con l'etichetta Opzioni grafico. Quando fai clic Opzioni del grafico: vengono visualizzate due opzioni: Rilevamenti senza avvisi e Rischio. qual.. Entrambe sono attivate per impostazione predefinita e possono essere attivate o disattivate in base la tua preferenza.
Per spostare i nodi, è sufficiente trascinarli intorno al grafico. Quando rilasci rimane bloccato dove l'avevi lasciato finché non fai clic su Aggiorna.
Aggiungere e rimuovere nodi
Se fai clic su un nodo, nella parte inferiore dello schermo viene visualizzata una tabella. Puoi eseguire la le seguenti azioni su ciascun nodo:
Avviso
- Visualizzare entità, avvisi ed eventi correlati
- Visualizza i risultati e le corrispondenze dell'avviso
- Rimuovi qualsiasi grafico secondario
- Aggiungi o rimuovi dal grafico le entità e gli avvisi correlati selezionando le caselle nella colonna On Graph
Entità
- Visualizza tutti gli avvisi correlati
- Rimuovi qualsiasi grafico secondario
- Aggiungi o rimuovi dal grafico gli avvisi correlati selezionando o deselezionando le caselle nella colonna On Graph
Gruppo
- Visualizzare tutte le entità o gli avvisi che compongono il gruppo
- Per annullare il raggruppamento dei singoli nodi, fai clic su Nel grafico nella tabella in fondo alla pagina.
Per aggiungere o rimuovere il punteggio di rischio dai nodi, seleziona o deseleziona la casella Rischio Punteggio sopra la tabella.
Espandi il grafico degli avvisi
Per visualizzare altri nodi correlati, fai clic sull'icona + nella parte inferiore dell'avviso. La popup relativi a entità e avvisi relativi all'icona selezionata. Ogni nuovo avviso ha una scheda a lato con ulteriori dettagli.
Reimposta il grafico
Se desideri cancellare il grafico, puoi regolare l'intervallo di tempo con il tasto destro finestra. L'intervallo massimo è di 90 giorni. La reimpostazione dell'intervallo di tempo reimposta anche al suo stato originale. L'aggiornamento dell'intervallo di tempo elimina eventuali nodi aggiuntivi dal grafico e reimposta il grafico allo stato originale.
Per riportare i nodi alla posizione predefinita, fai clic su aggiorna.
Visualizza il contesto dell'avviso
La sezione Contesto dell'avviso contiene un elenco di valori che forniscono un contesto aggiuntivo per l'avviso.
Il contesto dell'avviso ha una colonna Tipo che indica quale parte della regola generato l'avviso che hai selezionato: risultato o corrispondenza. La colonna successiva è chiamata Variabile. I nomi di queste variabili si basano sui nomi delle corrispondenze e variabili di risultato definite nella regola. Infine, la colonna più a destra mostra Campo UDM: Le variabili in cui è indicato un campo UDM sono collegate anche nella nella colonna Valori.
Oltre ai campi UDM elencati nella sezione Prima di iniziare, anche i seguenti campi UDM sono collegati alla pagina di ricerca UDM:
file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id
I nomi UDM specifici associati a questi campi sono
principal
, target
, src
, observer
, intermediary
e about
di Google. Se
fai clic su un valore, un'unità UDM
ricerca, trasmettendo il
insieme all'intervallo di tempo dell'ultimo giorno.
Nell'esempio di regola YARA-L presente nella sezione Prima di iniziare, i seguenti campi UDM verranno collegati alla pagina di ricerca UDM:
principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name
Visualizzare la cronologia dell'avviso
La scheda Cronologia avvisi ti consente di visualizzare una cronologia completa di tutte le azioni che si sono verificate per questo avviso. tra cui:
- Quando l'avviso è stato visualizzato per la prima volta
- Eventuali note lasciate dai membri del tuo team su questo avviso
- Se la gravità è cambiata
- Se la priorità è stata modificata
- Se l'avviso è stato chiuso
Avvisi da Google Security Operations SOAR
Gli avvisi di Google Security Operations SOAR includono informazioni aggiuntive sul caso SOAR di Google Security Operations. Questi avvisi forniscono anche un link per aprire la richiesta nel SOAR di Google Security Operations. Per ulteriori informazioni, consulta Casi SOAR di Google Security Operations Panoramica.
Avviso per la richiesta SOAR di Google Security Operations