Benachrichtigungen prüfen

Benachrichtigungen sind an Daten gebunden, die von Ihren Sicherheitssystemen als Bedrohung identifiziert wurden. Wenn Sie Benachrichtigungen untersuchen, erhalten Sie Kontext zur Benachrichtigung und zu den zugehörigen Entitäten.

Wenn Sie auf eine Benachrichtigung klicken, werden Sie zu einer Seite weitergeleitet, deren Details in die folgenden drei Tabs unterteilt sind:

• Übersicht: Hier finden Sie eine Zusammenfassung der wichtigsten Details zur Benachrichtigung. einschließlich Alarmstatus und Erkennungsfenster.
• Grafik: visualisiert Benachrichtigungen, die über eine YARA-L-Regel generiert werden Es stellt ein Diagramm zur Beziehung der Benachrichtigung zu anderen Entitäten bereit. Wenn ein ausgelöst wird, werden die mit der Benachrichtigung verknüpften Entitäten auf der Diagramm und auf der linken Seite des Bildschirms, jeweils mit einer eigenen Karte. Die Benachrichtigung Graph verwendet die folgenden Entitäten in einem UDM-Ereignis: principal, target, src, observer, intermediary und about .
• Benachrichtigungsverlauf: listet alle Änderungen auf, die bei dieser Benachrichtigung vorgenommen wurden. z. B. wenn sich der Status einer Benachrichtigung geändert oder ein Hinweis hinzugefügt wurde.

Unter dem Diagramm, das die Beziehungen zwischen den Entitäten und dem Die folgenden drei Untertabs enthalten weitere Informationen zur Benachrichtigung:

• Ereignisse: Enthält Details zu den Ereignissen im Zusammenhang mit der Benachrichtigung.
• Entitäten: Enthält Details zu jeder Entität, die mit der Benachrichtigung verknüpft ist.
• Kontext der Benachrichtigung: liefert zusätzlichen Kontext zum Benachrichtigung.

Hinweise

Wenn Sie das Benachrichtigungsdiagramm ausfüllen möchten, müssen Sie eine YARA-L erstellen. Regel zum Generieren von Benachrichtigungen. Die Die Qualität der Benachrichtigungsgrafik hängt vom Kontext ab, der in das YARA-L-System eingebunden ist. Regel. Im Abschnitt zum Ergebnis einer Regel liefert Kontext zu den Erkennungen, die durch die Regel ausgelöst werden.

Wir empfehlen das Hinzufügen der folgenden UDM-Datei zu den Substantiven im Abschnitt zu den Ergebnissen, da sie im Benachrichtigungsdiagramm verwendet werden: principal, target, src, observer, intermediary und about . Für diese UDM-Substantive werden im Benachrichtigungsdiagramm die folgenden Felder verwendet:

• artifact.ip
• asset.asset_id
• asset.hostname
• asset.ip
• asset.mac
• asset.product_object_id
• asset_id
• domain.name
• file.md5
• file.sha1
• file.sha256
• hostname
• ip
• mac
• process.file.md5
• process.file.sha1
• process.file.sha256
• resource.name
• url
• user.email_addresses
• user.employee_id
• user.product_object_id
• user.userid
• user.windows_sid

Die Werte in der vorherigen Liste der UDM-Felder sind auch auf dem Unter-Tab Benachrichtigungskontext mit der UDM-Suche verknüpft. Weitere Informationen finden Sie unter Kontext der Benachrichtigung ansehen.

In der folgenden YARA-L-Regel wird eine Benachrichtigung generiert, wenn eine große Anzahl von Google Cloud-Dienst-APIs innerhalb kurzer Zeit (1 Stunde) deaktiviert wurde.

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Nachdem eine Benachrichtigung erstellt wurde, können Sie die Seite Benachrichtigungsdiagramm aufrufen, um um mehr Kontext zur Warnung zu erhalten und sie weiter zu untersuchen.

Benachrichtigungsdiagramm aufrufen

Sie können auf die Grafik über die Seite Warnungen und IOCs oder die Seite UDM-Suche:

Über Benachrichtigungen und IOCs auf das Benachrichtigungsdiagramm zugreifen

Auf der Seite Warnungen und Indicators of Compromise (IOC) können Sie alle Benachrichtigungen und IOCs ansehen, die sich derzeit auf Ihr Unternehmen auswirken. Bis Weitere Informationen zu dieser Seite und zum Anzeigen von IOC-Übereinstimmungen finden Sie unter Benachrichtigungen ansehen und IOCs

Wenn Sie weitere Informationen zu einer Benachrichtigung auf der Seite „Benachrichtigungen und IOCs“ sehen möchten, führen Sie führen Sie die folgenden Schritte aus:

1. Klicken Sie in der Navigationsleiste auf Erkennungen > Benachrichtigungen und IOCs.
2. Suchen Sie in der Tabelle die Benachrichtigung, die Sie untersuchen möchten.
3. Klicken Sie in der Zeile dieser Benachrichtigung auf den Text in der Namensspalte, um die Option Benachrichtigung Diagramm.

Über die UDM-Suche auf das Benachrichtigungsdiagramm zugreifen

1. Wählen Sie oben in der Navigationsleiste Suchen aus.
2. Laden Sie eine Suche mit dem Suchmanager oder erstellen Sie eine neue Suche. Weitere Informationen zur Durchführung einer Suche in UDM in UDM Suchen.
   1. Es werden drei Tabs angezeigt: Übersicht, Entität und Benachrichtigungen. Klicken Sie auf Benachrichtigungen:
3. Klicken Sie auf die Benachrichtigung, die Sie untersuchen möchten. Die Benachrichtigungsansicht wird angezeigt.
4. Klicken Sie auf Details ansehen, um die Benachrichtigungsansicht zu öffnen.
5. Klicken Sie auf den Tab Graph, um die Benachrichtigungsgrafik aufzurufen.

Details zu einer Benachrichtigung ansehen

In der Benachrichtigungsansicht werden auf dem Tab Übersicht die folgenden Informationen angezeigt: in Bezug auf die Benachrichtigung:

• Benachrichtigungsdetails: Benachrichtigungsstatus, Erstellungsdatum, Schweregrad, Priorität und Risiko Punkte.
• Zusammenfassung der Erkennung: Erkennungsregel, durch die die Benachrichtigung generiert wurde. Hier finden Sie Benachrichtigungen derselben Erkennungsregel.
• Ereignisse: Mit dieser Benachrichtigung verknüpfte Ereignisse.

Neben der Anzeige wichtiger Informationen können Sie auch den Benachrichtigungsstatus anpassen.

Benachrichtigungsstatus ändern

1. Klicken Sie rechts oben auf Benachrichtigungsstatus ändern.
2. Aktualisieren Sie im angezeigten Fenster den Schweregrad und die Prioritätsstufen. entsprechend anpassen.
3. Klicken Sie auf Speichern.

Benachrichtigung schließen

1. Klicken Sie auf Benachrichtigung schließen.
2. Im daraufhin eingeblendeten Fenster können Sie eine Notiz hinterlassen, um weitere Kontext dazu, warum Sie die Benachrichtigung geschlossen haben.
3. Geben Sie die Informationen ein und klicken Sie auf Speichern.

Entitätsbeziehungen ansehen

In der Grafik sehen Sie, wie verschiedene Benachrichtigungen und Entitäten miteinander verbunden sind. Dieses erhalten Sie ein visuelles, interaktives Diagramm, mit dem Sie Beziehungsinformationen über vorhandene Entitäten unbekannt Beziehungen. Sie können Ihre Suche auch ausweiten, indem Sie den Zeitraum Erweiterung vergangener Benachrichtigungen zu einem bestimmten Zeitpunkt, um umfassendere Benachrichtigungspfade zu erhalten

Sie können die Suche auch erweitern, indem Sie rechts oben auf das Symbol + klicken. auf die Seite eines Knotens. Dadurch werden alle zu dieser Entität gehörenden Knoten angezeigt.

Grafiksymbole

Verschiedene Elemente werden durch unterschiedliche Symbole dargestellt.

Symbol	Entität, die das Symbol repräsentiert	Erläuterung
account_circle	Nutzer	Ein Nutzer ist eine Person oder eine andere Entität, die Zugriff auf Ihr Netzwerk anfordert und Daten aus Ihrem Netzwerk verwendet. Beispiele: melanie, cloudysanfrancisco@gmail.com
<ph type="x-smartling-placeholder"></ph> Datenbank	Ressource	Ressourcen sind ein Oberbegriff für Entitäten mit einem eigenen eindeutigen Ressourcennamen. Beispiele: BigQuery-Tabelle, -Datenbank und -Projekt.
	IP-Adresse
<ph type="x-smartling-placeholder"></ph> Beschreibung	Datei
	Domainname
	URL
<ph type="x-smartling-placeholder"></ph> device_unknown	Unbekannter Entitätstyp	Ein Entitätstyp, der von der Google Security Operations-Software nicht erkannt wird.
<ph type="x-smartling-placeholder"></ph> Arbeitsspeicher	Asset	Ein Asset ist alles, was für Ihr Unternehmen einen Mehrwert schafft. Dazu können Hostnamen, MAC-Adressen und interne IP-Adressen gehören. Beispiele: 10.120.89.92 (interne IP-Adresse), 00:53:00:4a:56:07 (MAC-Adresse)

Falls zwei oder mehr Benachrichtigungen von derselben Regel gesendet werden, werden sie in einer Gruppensymbol. Indikatoren, die dieselbe Entität repräsentieren, werden zu einer zusammengefassten .

Weitere Informationen zu diesen Symbolen finden Sie in den folgenden Dokumenten:

• Nutzer untersuchen
• Ressourcenorientiertes Design
• Asset prüfen
• Domain prüfen
• Datei prüfen
• IP-Adresse prüfen

Benachrichtigungsdiagramm verwenden

Wenn Sie auf Benachrichtigungsdiagramm klicken, werden im Diagramm alle Ergebnisse der letzten 12 Stunden und nach der Benachrichtigung. Wenn für die Benachrichtigung keine Entitäten vorhanden sind, wird nur die ursprüngliche Benachrichtigung in der Grafik angezeigt wird.

Die Hauptbenachrichtigung wird in einem roten Kreis hervorgehoben. Benachrichtigungen sind mit Entitäten verbunden durchgezogene Linie und andere Warnungen durch eine gepunktete Linie. Wenn Sie den Zeiger über eine Kante (die Linie, die zwei Knoten verbindet), zeigt Ihnen die Ergebnisvariable die es mit einem Knoten im Diagramm verbindet.

Auf der linken Seite sehen Sie Karten für jeden Knoten, die Details zu zugehörige Regeln, Erkennungsfenster, Schweregrad und Prioritätsstatus und mehr.

Direkt über der Grafik befindet sich die Schaltfläche Grafikoptionen. Wenn Sie auf Grafikoptionen; zwei Optionen werden angezeigt: Erkennung ohne Benachrichtigungen und Risiko Faktor. Beide sind standardmäßig aktiviert und können je nach die gewünschte Einstellung auswählen.

Zum Verschieben der Knoten ziehen Sie einfach die Knoten im Diagramm. Wenn Sie die wird er an der ursprünglichen Stelle angepinnt, bis Sie auf Aktualisieren klicken.

Knoten hinzufügen und entfernen

Wenn Sie auf einen Knoten klicken, wird am unteren Bildschirmrand eine Tabelle angezeigt. Sie können Folgendes tun: folgende Aktionen auf jedem Knoten ausführen:

Benachrichtigung

• Zugehörige Entitäten, Benachrichtigungen und Ereignisse ansehen
• Ergebnisse und Übereinstimmungen in der Benachrichtigung ansehen
• Teilgrafiken entfernen
• Zugehörige Entitäten und Benachrichtigungen zur Grafik hinzufügen oder daraus entfernen, indem Sie entsprechende Kästchen anklicken in der Spalte Im Diagramm

Entität

• Alle zugehörigen Benachrichtigungen ansehen
• Teilgrafiken entfernen
• Sie können zugehörige Benachrichtigungen zur Grafik hinzufügen oder daraus entfernen, indem Sie die entsprechenden Kontrollkästchen aktivieren bzw. deaktivieren. in der Spalte Im Diagramm

Gruppe

• Alle Entitäten und Benachrichtigungen ansehen, aus denen diese Gruppe besteht
• Heben Sie die Gruppierung einzelner Knoten auf, indem Sie in der Tabelle unten auf Im Diagramm klicken der Seite.

Aktivieren oder deaktivieren Sie das Kästchen neben Risikobewertung Punktzahl über der Tabelle.

Benachrichtigungsdiagramm maximieren

Klicken Sie unten in der Benachrichtigung auf das Symbol +, um weitere zugehörige Knoten zu sehen. Die Entitäten und Warnmeldungen in Bezug auf das von Ihnen ausgewählte Pop-up-Symbol. Jede neue Benachrichtigung hat auf der Seite eine Karte mit weiteren Details.

Grafik zurücksetzen

Wenn Sie die Grafik löschen möchten, können Sie den Zeitraum rechts anpassen. . Der maximale Zeitraum beträgt 90 Tage. Durch das Zurücksetzen des Zeitraums wird auch die in ihren ursprünglichen Zustand versetzt. Wenn Sie den Zeitraum aktualisieren, Knoten hinzugefügt und die Grafik auf ihren ursprünglichen Zustand zurückgesetzt.

Klicken Sie auf Aktualisieren, um die Knoten wieder an die Standardposition zu verschieben.

Kontext zur Benachrichtigung ansehen

Der Abschnitt Benachrichtigungskontext enthält eine Liste mit Werten, die zusätzlichen Kontext zur Benachrichtigung liefern.

In der Spalte Typ im Benachrichtigungskontext sehen Sie, welcher Teil der Regel die von Ihnen ausgewählte Benachrichtigung (Ergebnis oder Übereinstimmung) generiert hat. Die nächste Spalte ist namens Variable. Diese Variablennamen basieren auf den Namen der Übereinstimmung und Ergebnisvariablen definiert werden. Die Spalte ganz rechts UDM-Feld: Variablen, für die ein UDM-Feld aufgeführt ist, sind auch im Spalte Werte:

Zusätzlich zu den UDM-Feldern, die im Abschnitt Vorbereitung aufgeführt sind, sind die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

• file.full_path
• process.command_line
• process.file.full_path
• process.parent_process.product_specific_process_id
• process.pid
• process.product_specific_process_id
• resource.product_object_id

Die spezifischen UDM-Nomen, die mit diesen Feldern verknüpft sind, sind principal, target, src, observer, intermediary und about . Wenn wenn Sie auf einen Wert klicken, wird ein UDM search ausgelöst und übergeben den Parameter Wert zusammen mit dem Zeitraum des letzten Tages.

In der YARA-L-Beispielregel aus dem Abschnitt Vorbereitung sind die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

• principal.ip
• principal.user.userid
• principal.user.user_display_name
• target.resource.name

Benachrichtigungsverlauf aufrufen

Auf dem Tab Benachrichtigungsverlauf sehen Sie einen vollständigen Verlauf aller Aktionen. die für diese Benachrichtigung erfolgt sind. Dazu zählen:

• Wann die Benachrichtigung zum ersten Mal angezeigt wurde
• Alle Notizen, die Personen aus Ihrem Team zu dieser Benachrichtigung hinterlassen haben
• Wenn sich der Schweregrad geändert hat
• Wenn die Priorität geändert wurde
• Wenn die Benachrichtigung geschlossen wurde

Benachrichtigungen von Google Security Operations SOAR

Benachrichtigungen von Google Security Operations SOAR enthalten zusätzliche Informationen über die SOAR-Anfrage zu Google Security Operations. In diesen Benachrichtigungen finden Sie auch einen Link zum Öffnen des Falls. in Google Security Operations SOAR. Weitere Informationen finden Sie in der SOAR-Fälle für Google Security Operations .

Benachrichtigung bei SOAR-Anfrage für Google Security Operations