Indagare un avviso

Gli avvisi sono collegati ai dati identificati come minacce dai tuoi sistemi di sicurezza. L'analisi degli avvisi fornisce il contesto relativo all'avviso e alle entità correlate.

Quando fai clic su un avviso, vieni indirizzato a una pagina che contiene i dettagli dell'avviso organizzati nelle seguenti tre schede:

  • Panoramica: fornisce un riepilogo dei dettagli importanti dell'avviso, tra cui lo stato dell'avviso e la finestra di rilevamento.
  • Grafico: mostra gli avvisi generati da una regola YARA-L. Fornisce un grafico della relazione dell'avviso con altre entità. Quando viene attivato un avviso, le entità associate all'avviso vengono visualizzate sul grafico e sul lato sinistro dello schermo, ciascuna con la propria scheda. Il grafico degli avvisi utilizza le seguenti entità in un evento UDM: principal, target, src, observer, intermediary e about.
  • Cronologia avvisi: elenca tutte le modifiche apportate all'avviso, incluse le modifiche apportate allo stato di un avviso o l'aggiunta di una nota.

Sotto il grafico che mostra le relazioni tra le entità e l'avviso, si trovano le seguenti tre sottotabelle che forniscono maggiore contesto sull'avviso:

  • Eventi: contiene i dettagli degli eventi correlati all'avviso.
  • Entità: contiene i dettagli di ogni entità associata all'avviso.
  • Contesto dell'avviso: fornisce un contesto aggiuntivo sull'avviso.

Prima di iniziare

Per compilare il grafico degli avvisi, devi creare una regola YARA-L che generi avvisi. La qualità del grafico degli avvisi è legata al contesto integrato nella regola YARA-L. La sezione relativa al risultato di una regola fornisce il contesto per i rilevamenti attivati dalla regola.

Ti consigliamo di aggiungere i seguenti nomi UDM alla sezione dei risultati, perché vengono utilizzati nel grafico degli avvisi: principal, target, src, observer, intermediary e about . Per questi nomi UDM, nel grafico degli avvisi vengono utilizzati i seguenti campi:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

I valori nell'elenco precedente dei campi UDM rimandano anche alla ricerca UDM dalla scheda secondaria Contesto dell'avviso. Per saperne di più, vedi Visualizzare il contesto dell'avviso.

Nella regola YARA-L seguente viene generato un avviso quando un numero significativo di API di servizio Google Cloud è stato disabilitato entro un breve lasso di tempo (1 ora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Dopo aver generato un avviso, puoi accedere alla pagina Grafico dell'avviso per ottenere ulteriori informazioni sull'avviso e analizzarlo ulteriormente.

Puoi accedere al Grafico dalla pagina Avvisi e IOC o dalla pagina Ricerca UDM.

Accedi al grafico degli avvisi da Avvisi e IOC

La pagina Avvisi e indicatori di compromissione (IOC) consente di filtrare e visualizzare tutti gli avvisi e gli IOC che attualmente interessano la tua azienda. Per saperne di più su questa pagina e su come visualizzare le corrispondenze IOC, consulta la pagina Visualizzare avvisi e IOC.

Per visualizzare ulteriori informazioni su un avviso nella pagina Avvisi e IOC, completa i seguenti passaggi:

  1. Dalla barra di navigazione, fai clic su Rilevamenti > Avvisi e IOC.
  2. Individua l'avviso che vuoi esaminare nella tabella degli avvisi.
  3. Nella riga dell'avviso, fai clic sul testo nella colonna del nome per aprire il Grafico degli avvisi.
  1. Nella parte superiore della barra di navigazione, seleziona Cerca.
  2. Carica una ricerca con Search Manager o creane una nuova. Scopri di più sull'esecuzione di una ricerca in UDM in Ricerca UDM.
    1. Vengono visualizzate tre schede: Panoramica, Entità e Avvisi. Fai clic su Avvisi.
  3. Fai clic sull'avviso che vuoi esaminare. Viene mostrato il visualizzatore avvisi.
  4. Fai clic su Visualizza dettagli per aprire la visualizzazione Avviso.
  5. Fai clic sulla scheda Grafico per visualizzare il grafico dell'avviso.

Visualizzare i dettagli di un avviso

Nella vista Avviso, la scheda Panoramica mostra le seguenti informazioni relative all'avviso:

  • Dettagli avviso: stato dell'avviso, data di creazione, gravità, priorità e punteggio di rischio.
  • Riepilogo del rilevamento: la regola di rilevamento che ha generato l'avviso. Puoi visualizzare altri avvisi dalla stessa regola di rilevamento.
  • Eventi: eventi associati a questo avviso.

Oltre a visualizzare informazioni importanti, puoi modificare lo stato dell'avviso.

Modificare lo stato dell'avviso

  1. Fai clic su Modifica stato avviso nell'angolo in alto a destra.
  2. Nella finestra visualizzata, aggiorna i livelli di gravità e priorità di conseguenza.
  3. Fai clic su Salva.

Chiudi l'avviso

  1. Fai clic su Chiudi avviso.
  2. Nella finestra visualizzata puoi lasciare una nota per aggiungere ulteriore contesto sul motivo per cui hai chiuso l'avviso.
  3. Inserisci le informazioni e premi Salva.

Visualizza relazioni tra entità

Il Grafico mostra come sono collegati i diversi avvisi ed entità. Questa funzionalità ti offre un grafico visivo e interattivo che puoi utilizzare per espandere le informazioni sulle relazioni sulle entità esistenti in modo da far emergere relazioni sconosciute. Puoi anche espandere la ricerca aumentando l'intervallo di tempo ed espandendo gli avvisi point-in-time precedenti per percorsi di avviso più completi.

Puoi anche espandere la ricerca facendo clic sull'icona + nell'angolo in alto a destra di qualsiasi nodo. In questo modo vengono visualizzati tutti i nodi correlati all'entità.

Tracciare grafici delle icone

Entità diverse sono rappresentate da icone diverse.

Icona Entità rappresentata dall'icona Spiegazione
Utente Un utente è una persona o un'altra entità che richiede l'accesso e utilizza le informazioni della tua rete. Esempi: janedoe, cloudysanfrancisco@gmail.com
database Risorsa Risorse sono un termine generico che indica entità che hanno un proprio nome risorsa univoco. Esempi: tabella, database e progetto BigQuery.
Indirizzo IP
descrizione File
Nome di dominio
URL
device_unknown Tipo di entità sconosciuto Un tipo di entità non riconosciuto dal software di Google Security Operations.
memoria Asset Un asset è tutto ciò che produce valore per la tua organizzazione. Possono essere inclusi nomi host, indirizzi MAC e indirizzi IP interni. Esempi: 10.120.89.92 (indirizzo IP interno), 00:53:00:4a:56:07 (indirizzo MAC)

Se due o più avvisi provengono dalla stessa regola, vengono raggruppati in un'icona di gruppo. Gli indicatori che rappresentano la stessa entità sono consolidati in un'unica icona.

Per saperne di più su ciascuna di queste icone, consulta i seguenti documenti:

Quando fai clic su Grafico dell'avviso, il grafico mostra tutti i risultati 12 ore prima e dopo l'avviso. Se non sono presenti entità per l'avviso, nel grafico viene visualizzato solo l'avviso originale.

L'avviso principale viene evidenziato in un cerchio rosso. Gli avvisi sono collegati a entità con una linea continua e altri avvisi con una linea tratteggiata. Se tieni il puntatore su un bordo (la linea che collega due nodi), questo mostra la variabile di risultato o di corrispondenza che lo collega a un nodo del grafico.

Sul lato sinistro, sono presenti schede per ogni nodo che includono dettagli su regole associate, finestre di rilevamento, gravità, stato di priorità e altro ancora.

Subito sopra il grafico è presente un pulsante con l'etichetta Opzioni grafico. Quando fai clic su Opzioni grafico, vengono visualizzate due opzioni: Rilevamenti senza avvisi e Punteggio di rischio. Entrambe sono attivate per impostazione predefinita e possono essere attivate o disattivate in base alle tue preferenze.

Per spostare i nodi, è sufficiente trascinarli intorno al grafico. Quando rilasci il nodo, questo rimane bloccato nel punto in cui lo avevi lasciato finché non fai clic su Aggiorna.

Aggiungere e rimuovere nodi

Se fai clic su un nodo, viene visualizzata una tabella nella parte inferiore dello schermo. Puoi eseguire le seguenti azioni su ciascun nodo:

Avviso

  • Visualizzare entità, avvisi ed eventi correlati
  • Visualizza i risultati e le corrispondenze dell'avviso
  • Rimuovi qualsiasi grafico secondario
  • Aggiungi o rimuovi dal grafico entità e avvisi correlati selezionando le caselle nella colonna On Graph

Entità

  • Visualizza tutti gli avvisi correlati
  • Rimuovi qualsiasi grafico secondario
  • Aggiungi o rimuovi dal grafico gli avvisi correlati selezionando o deselezionando le caselle nella colonna On Graph

Gruppo

  • Visualizzare tutte le entità o gli avvisi che compongono il gruppo
  • Separa i singoli nodi facendo clic su Su grafico nella tabella in fondo alla pagina.

Per aggiungere o rimuovere il punteggio di rischio dai nodi, seleziona o deseleziona la casella Punteggio di rischio sopra la tabella.

Espandi il grafico degli avvisi

Per visualizzare altri nodi correlati, fai clic sull'icona + nella parte inferiore dell'avviso. Vengono visualizzate le entità e gli avvisi relativi all'icona selezionata. Ogni nuovo avviso ha una scheda sul lato con ulteriori dettagli.

Reimposta il grafico

Se vuoi cancellare il grafico, regola l'intervallo di tempo nella finestra di destra. L'intervallo massimo è 90 giorni. Reimpostando l'intervallo di tempo si ripristina anche lo stato originale del grafico. L'aggiornamento dell'intervallo di tempo cancella dal grafico eventuali nodi aggiuntivi e reimposta il grafico allo stato originale.

Per riportare i nodi alla posizione predefinita, fai clic su aggiorna.

Visualizza il contesto dell'avviso

La sezione Contesto dell'avviso contiene un elenco di valori che forniscono un contesto aggiuntivo per l'avviso.

Il contesto dell'avviso ha una colonna Tipo che indica quale parte della regola ha generato l'avviso che hai selezionato: risultato o corrispondenza. La colonna successiva è denominata Variabile. I nomi di queste variabili si basano sui nomi delle variabili di corrispondenza e di risultato definite nella regola. Infine, la colonna più a destra è Campo UDM. Le variabili in cui è elencato un campo UDM sono collegate anche nella colonna Valori.

Oltre ai campi UDM elencati nella sezione Prima di iniziare, anche i seguenti campi UDM sono collegati alla pagina di ricerca UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

I nomi UDM specifici associati a questi campi sono principal, target, src, observer, intermediary e about . Se fai clic su un valore, viene attivata una ricerca UDM, che trasmette il valore insieme all'intervallo di tempo del giorno precedente.

Nell'esempio di regola YARA-L presente nella sezione Prima di iniziare, i seguenti campi UDM verranno collegati alla pagina di ricerca UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Visualizzare la cronologia dell'avviso

La scheda Cronologia avvisi consente di visualizzare una cronologia completa di tutte le azioni eseguite per questo avviso. Ciò include:

  • Quando l'avviso è stato visualizzato per la prima volta
  • Eventuali note lasciate dai membri del tuo team su questo avviso
  • Se la gravità è cambiata
  • Se la priorità è stata modificata
  • Se l'avviso è stato chiuso

Avvisi da Google Security Operations SOAR

Gli avvisi di Google Security Operations SOAR includono informazioni aggiuntive sul caso SOAR di Google Security Operations. Questi avvisi forniscono anche un link per aprire la richiesta in SOAR di Google Security Operations. Per ulteriori informazioni, consulta la panoramica dei casi SOAR di Google Security Operations.

Avviso per richiesta SOAR di Google Security Operations

Avviso per la richiesta SOAR di Google Security Operations