Esaminare un avviso

Gli avvisi sono collegati ai dati identificati come minaccia dai tuoi sistemi di sicurezza. L'analisi degli avvisi ti offre il contesto relativo all'avviso e alle entità correlate.

Quando fai clic su un avviso, si apre una pagina contenente i dettagli dell'avviso organizzati nelle tre schede seguenti:

  • Panoramica: fornisce un riepilogo dei dettagli importanti dell'avviso, tra cui lo stato dell'avviso e la finestra di rilevamento.
  • Grafico: visualizza gli avvisi generati da una regola YARA-L. Fornisce un grafico della relazione dell'avviso con altre entità. Quando viene attivato un avviso, le entità associate all'avviso vengono visualizzate sul grafico e sul lato sinistro dello schermo, ciascuna con la propria scheda. Il grafico degli avvisi utilizza le seguenti entità in un evento UDM: principal, target, src, observer, intermediary e about.
  • Cronologia avvisi: elenca tutte le modifiche apportate a questo avviso, anche quando lo stato di un avviso è stato modificato o è stata aggiunta una nota.

Sotto il grafico che mostra le relazioni tra le entità e l'avviso sono presenti le seguenti tre sottotabelle che forniscono maggiore contesto sull'avviso:

  • Eventi: contiene i dettagli sugli eventi relativi all'avviso.
  • Entità: contiene i dettagli di ciascuna entità associata all'avviso.
  • Contesto avviso: fornisce contesto aggiuntivo sull'avviso.

Prima di iniziare

Per compilare il grafico degli avvisi, devi creare una regola YARA-L che generi avvisi. La qualità del grafico degli avvisi è legata al contesto integrato nella regola YARA-L. La sezione dei risultati di una regola fornisce il contesto dei rilevamenti attivati dalla regola.

Ti consigliamo di aggiungere i seguenti nomi UDM alla sezione dei risultati, perché vengono utilizzati nel grafico degli avvisi: principal, target, src, observer, intermediary e about. Per questi nomi UDM, vengono utilizzati i seguenti campi nel grafico degli avvisi:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Anche i valori nell'elenco precedente dei campi UDM rimandano alla ricerca UDM dalla scheda secondaria Contesto avviso. Per saperne di più, vedi Visualizzare il contesto dell'avviso.

Nella regola YARA-L seguente, viene generato un avviso quando un numero significativo di API del servizio Google Cloud è stato disabilitato entro un breve lasso di tempo (1 ora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Dopo aver generato un avviso, puoi accedere alla pagina Grafico degli avvisi per ottenere più contesto sull'avviso ed esaminarlo ulteriormente.

Puoi accedere al Grafico dalla pagina Avvisi e IOC o dalla pagina Ricerca UDM.

Accedi al grafico degli avvisi da Avvisi e IOC

La pagina Avvisi e indicatori di compromissione (IOC) ti consente di filtrare e visualizzare tutti gli avvisi e gli indicatori di compromissione che interessano la tua azienda. Per scoprire di più su questa pagina e su come visualizzare le corrispondenze IOC, consulta la pagina Visualizzare avvisi e IOC.

Per visualizzare ulteriori informazioni su un avviso nella pagina Avvisi e IOC, completa i seguenti passaggi:

  1. Nella barra di navigazione, fai clic su Rilevamenti > Avvisi e IOC.
  2. Trova l'avviso che vuoi esaminare nella tabella degli avvisi.
  3. Nella riga dell'avviso, fai clic sul testo nella colonna del nome per aprire il grafico dell'avviso.
  1. Nella parte superiore della barra di navigazione, seleziona Cerca.
  2. Carica una ricerca con Search Manager o creane una nuova. Scopri di più su come eseguire una ricerca in UDM nella Ricerca UDM.
    1. Sono visualizzate tre schede: Panoramica, Entità e Avvisi. Fai clic su Avvisi.
  3. Fai clic sull'avviso che vuoi esaminare. Viene mostrato il visualizzatore avvisi.
  4. Fai clic su Visualizza dettagli per aprire la visualizzazione Avviso.
  5. Fai clic sulla scheda Grafico per visualizzare il grafico degli avvisi.

Visualizzare i dettagli di un avviso

Nella visualizzazione Avviso, la scheda Panoramica mostra le seguenti informazioni relative all'avviso:

  • Dettagli avviso: stato dell'avviso, data di creazione, gravità, priorità e punteggio di rischio.
  • Riepilogo rilevamento: regola di rilevamento che ha generato l'avviso. Puoi visualizzare altri avvisi della stessa regola di rilevamento.
  • Eventi: gli eventi associati all'avviso.

Oltre a visualizzare informazioni importanti, puoi modificare lo stato dell'avviso.

Modificare lo stato di un avviso

  1. Fai clic su Modifica stato avviso nell'angolo in alto a destra.
  2. Nella finestra visualizzata, aggiorna di conseguenza i livelli di gravità e di priorità.
  3. Fai clic su Salva.

Chiudi l'avviso

  1. Fai clic su Chiudi avviso.
  2. Nella finestra visualizzata puoi lasciare una nota per aggiungere ulteriore contesto sul motivo per cui hai chiuso l'avviso.
  3. Inserisci le informazioni e premi Salva.

Visualizza relazioni delle entità

Il Grafico mostra come sono collegati diversi avvisi ed entità. Questa funzionalità offre un grafico interattivo e visivo che puoi utilizzare per espandere le informazioni sulle relazioni sulle entità esistenti in modo da mostrare relazioni sconosciute. Puoi anche espandere la ricerca aumentando l'intervallo di tempo ed espandendo gli avvisi point-in-time per percorsi più completi.

Puoi anche espandere la ricerca facendo clic sull'icona + nell'angolo in alto a destra di qualsiasi nodo. In questo modo vengono visualizzati tutti i nodi correlati all'entità.

Icone dei grafici

Entità diverse sono rappresentate da icone diverse.

Icona Entità rappresentata dall'icona Spiegazione
Utente Un utente è una persona o un'altra entità che richiede l'accesso alla tua rete e le utilizza. Esempi: janedoe, cloudysanfrancisco@gmail.com
database Risorsa Risorse sono un termine generico per le entità che hanno un proprio nome risorsa univoco. Esempi: tabella, database e progetto BigQuery.
Indirizzo IP
descrizione File
Nome di dominio
URL
device_unknown Tipo di entità sconosciuto Un tipo di entità non riconosciuto dal software Google Security Operations.
memoria Asset Una risorsa è tutto ciò che produce valore per la tua organizzazione. Possono essere inclusi nomi host, indirizzi MAC e indirizzi IP interni. Esempi: 10.120.89.92 (indirizzo IP interno), 00:53:00:4a:56:07 (indirizzo MAC)

Se due o più avvisi provengono dalla stessa regola, vengono raggruppati in un'icona di gruppo. Gli indicatori che rappresentano la stessa entità vengono consolidati in un'unica icona.

Per saperne di più su ciascuna di queste icone, consulta i seguenti documenti:

Quando fai clic su Grafico degli avvisi, il grafico mostra tutti i risultati nelle 12 ore precedenti e dopo l'avviso. Se non esistono entità per l'avviso, nel grafico viene visualizzato solo l'avviso originale.

L'avviso principale è evidenziato in un cerchio rosso. Gli avvisi sono collegati alle entità con una linea continua e altri con una linea tratteggiata. Se tieni il puntatore su un bordo (la linea che collega due nodi), vedrai la variabile risultato o la variabile di corrispondenza che la collega a un nodo sul grafico.

A sinistra sono presenti schede per ogni nodo che includono dettagli su regole associate, finestre di rilevamento, gravità, stato della priorità e altro ancora.

Subito sopra il grafico è presente un pulsante con l'etichetta Opzioni grafico. Quando fai clic su Opzioni grafico, vengono visualizzate due opzioni: Rilevamenti senza avvisi e Punteggio di rischio. Entrambi sono attivati per impostazione predefinita e possono essere attivati o disattivati in base alle tue preferenze.

Per spostare i nodi, trascinali intorno al grafico. Quando rilasci il nodo, viene bloccato nel punto in cui lo hai lasciato fino a quando non fai clic su Aggiorna.

Aggiungi e rimuovi nodi

Se fai clic su un nodo, viene visualizzata una tabella nella parte inferiore dello schermo. Puoi eseguire le seguenti azioni su ciascun nodo:

Avviso

  • Visualizzare entità, avvisi ed eventi correlati
  • Vedi i risultati e le corrispondenze nell'avviso
  • Rimuovi un sottografico
  • Aggiungi o rimuovi dal grafico entità correlate e avvisi selezionando le caselle nella colonna Nel grafico

Entità

  • Visualizza tutti gli avvisi correlati
  • Rimuovi un sottografico
  • Aggiungi o rimuovi gli avvisi correlati dal grafico selezionando o deselezionando le caselle nella colonna Nel grafico

Gruppo

  • Visualizzare tutte le entità o gli avvisi che compongono il gruppo
  • Separa i singoli nodi facendo clic su Nel grafico nella tabella nella parte inferiore della pagina.

Per aggiungere o rimuovere il punteggio di rischio dai nodi, seleziona o deseleziona la casella Punteggio di rischio sopra la tabella.

Espandi il grafico degli avvisi

Per visualizzare altri nodi correlati, fai clic sull'icona + nella parte inferiore dell'avviso. Vengono visualizzati popup relativi alle entità e agli avvisi relativi all'icona selezionata. Ogni nuovo avviso ha una scheda sul lato con ulteriori dettagli.

Reimpostare il grafico

Se desideri cancellare il grafico, puoi modificare l'intervallo di tempo nella finestra a destra. L'intervallo massimo è 90 giorni. La reimpostazione dell'intervallo di tempo reimposta anche il grafico allo stato originale. L'aggiornamento dell'intervallo di tempo cancella il grafico di eventuali nodi aggiuntivi e reimposta il grafico allo stato originale.

Per riportare i nodi alla posizione predefinita, fai clic su aggiorna.

Visualizza il contesto dell'avviso

La sezione Contesto avviso contiene un elenco di valori che forniscono un contesto aggiuntivo sull'avviso.

Il contesto dell'avviso ha una colonna Tipo che indica quale parte della regola ha generato l'avviso selezionato: risultato o corrispondenza. La colonna successiva è denominata Variabile. Questi nomi di variabili si basano sui nomi delle variabili di corrispondenza e risultato definite nella regola. Infine, la colonna più a destra è Campo UDM. Le variabili con un campo UDM elencato sono collegate anche nella colonna Valori.

Oltre ai campi UDM elencati nella sezione Prima di iniziare, alla pagina Ricerca UDM sono collegati anche i seguenti campi UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

I nomi UDM specifici associati a questi campi sono principal, target, src, observer, intermediary e about. Se fai clic su un valore, viene attivata una ricerca UDM, che trasmette il valore insieme all'intervallo di tempo del giorno precedente.

Nell'esempio di regola YARA-L presente nella sezione Prima di iniziare, i seguenti campi UDM saranno collegati alla pagina Ricerca UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Visualizzare la cronologia dell'avviso

La scheda Cronologia avvisi consente di visualizzare una cronologia completa di tutte le azioni eseguite per questo avviso. Include:

  • Quando l'avviso è apparso per la prima volta
  • Eventuali note lasciate da persone del tuo team su questo avviso
  • Se la gravità è cambiata
  • Se la priorità è stata modificata
  • Se l'avviso è stato chiuso

Avvisi da Google Security Operations SOAR

Gli avvisi di Google Security Operations SOAR includono informazioni aggiuntive sul caso Google Security Operations SOAR. Questi avvisi forniscono anche un link per aprire la richiesta in Google Security Operations SOAR. Per ulteriori informazioni, consulta la panoramica dei casi SOAR di Google Security Operations.

Avviso per la richiesta SOAR per le operazioni di sicurezza di Google

Avviso per la richiesta SOAR per le operazioni di sicurezza di Google