Investigar um alerta

Os alertas são vinculados a dados identificados como uma ameaça pelos seus sistemas de segurança. A investigação de alertas fornece contexto sobre o alerta e as entidades relacionadas.

Ao clicar em um alerta, você é direcionado a uma página com detalhes organizados nas seguintes guias:

• Visão geral: fornece um resumo de detalhes importantes sobre o alerta, incluindo o status e a janela de detecção.
• Gráfico: mostra os alertas gerados por uma regra YARA-L. Ele oferece um gráfico da relação do alerta com outras entidades. Quando um alerta é acionado, as entidades associadas a ele são exibidas no gráfico e no lado esquerdo da tela, cada uma com o próprio card. O gráfico de alerta usa as seguintes entidades em um evento da UDM: principal, target, src, observer, intermediary e about.
• Histórico de alertas: lista todas as mudanças que ocorreram nesse alerta, incluindo quando o status de um alerta mudou ou uma observação foi adicionada.

Abaixo do gráfico que mostra as relações entre as entidades e o alerta, estão as três subguias a seguir, que fornecem mais contexto sobre o alerta:

• Eventos: contém detalhes sobre os eventos relacionados ao alerta.
• Entidades: contém detalhes sobre cada entidade associada ao alerta.
• Contexto do alerta: fornece mais contexto sobre o alerta.

Antes de começar

Para preencher o gráfico de alertas, é necessário criar uma regra YARA-L que gere alertas. A qualidade do gráfico de alerta está vinculada ao contexto integrado à regra YARA-L. A seção de resultados de uma regra fornece contexto para as detecções acionadas por ela.

Recomendamos adicionar os seguintes substantivos do UDM à seção de resultados, porque eles são usados no gráfico de alerta: principal, target, src, observer, intermediary e about. Para esses substantivos do UDM, os seguintes campos são usados no gráfico de alertas:

• artifact.ip
• asset.asset_id
• asset.hostname
• asset.ip
• asset.mac
• asset.product_object_id
• asset_id
• domain.name
• file.md5
• file.sha1
• file.sha256
• hostname
• ip
• mac
• process.file.md5
• process.file.sha1
• process.file.sha256
• resource.name
• url
• user.email_addresses
• user.employee_id
• user.product_object_id
• user.userid
• user.windows_sid

Os valores na lista anterior de campos do UDM também são vinculados à pesquisa do UDM na subguia Contexto do alerta. Para mais informações, consulte Conferir o contexto do alerta.

Na regra YARA-L a seguir, um alerta é gerado quando um número significativo de APIs de serviço Google Cloud é desativado em um curto período (uma hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Depois que um alerta é gerado, acesse a página Gráfico de alerta para conferir mais contexto sobre o alerta e investigar mais.

Acessar o gráfico de alertas

É possível acessar o Gráfico na página Alertas e IOCs ou na página Pesquisa de UDM.

Acessar o gráfico de alertas em "Alertas e IOCs"

Na página Alertas e indicadores de comprometimento (IOCs), você pode filtrar e acessar todos os alertas e IOCs que estão afetando sua empresa. Para saber mais sobre esta página e como conferir correspondências de IOC, acesse Conferir alertas e IOCs.

Para conferir mais informações sobre um alerta na página "Alerts and IOCs", siga estas etapas:

1. Na barra de navegação, clique em Detecções > Alertas e IOCs.
2. Encontre o alerta que você quer investigar na tabela de alertas.
3. Na linha do alerta, clique no texto na coluna de nome para abrir o gráfico de alerta.

Acessar o gráfico de alertas na pesquisa do UDM

1. Na parte de cima da barra de navegação, selecione Pesquisar.
2. Carregue uma pesquisa com o Gerenciador de pesquisa ou crie uma nova. Saiba mais sobre como realizar uma pesquisa na UDM em Pesquisa da UDM.
   1. Três guias são exibidas: Visão geral, Entidade e Alertas. Clique em Alertas.
3. Clique no alerta que você quer investigar. O visualizador de alertas é exibido.
4. Clique em Ver detalhes para abrir a visualização de alertas.
5. Clique na guia Graph para mostrar o gráfico de alertas.

Conferir detalhes sobre um alerta

Na visualização de alerta, a guia Visão geral mostra as seguintes informações sobre o alerta:

• Detalhes do alerta: status do alerta, data de criação, gravidade, prioridade e pontuação de risco.
• Resumo da detecção: regra de detecção que gerou o alerta. Você pode conferir outros alertas da mesma regra de detecção.
• Eventos: eventos associados a esse alerta.

Além de conferir informações importantes, você pode ajustar o status do alerta.

Mudar o status do alerta

1. Clique em Mudar o status do alerta no canto superior direito.
2. Na janela que aparece, atualize os níveis de gravidade e prioridade conforme necessário.
3. Clique em Salvar.

Fechar o alerta

1. Clique em Fechar alerta.
2. Na janela que aparece, você tem a opção de deixar uma observação para adicionar mais contexto sobre por que fechou o alerta.
3. Insira suas informações e pressione Salvar.

Conferir relacionamentos de entidades

O Gráfico mostra como diferentes alertas e entidades estão conectados. Esse recurso oferece um gráfico visual e interativo que pode ser usado para expandir informações de relacionamento sobre entidades existentes para mostrar relacionamentos desconhecidos. Também é possível ampliar a pesquisa aumentando o período e expandindo os alertas anteriores para caminhos de alerta mais completos.

Você também pode expandir sua pesquisa clicando no ícone + no canto superior direito de qualquer nó. Isso mostra todos os nós relacionados a essa entidade.

Ícones de gráfico

As entidades são representadas por ícones diferentes.

Se dois ou mais alertas vêm da mesma regra, eles são agrupados em um ícone de grupo. Os indicadores que representam a mesma entidade são consolidados em um ícone.

Para saber mais sobre cada um desses ícones, consulte estes documentos:

• Investigar um usuário
• Design voltado a recursos
• Investigar um recurso
• Investigar um domínio
• Investigar um arquivo
• Investigar um endereço IP

Navegar pelo gráfico de alertas

Quando você clica em Gráfico de alerta, o gráfico mostra todos os resultados 12 horas antes e depois do alerta. Se não houver entidades para o alerta, apenas o alerta original vai aparecer no gráfico.

O alerta principal é destacado em um círculo vermelho. Os alertas são conectados a entidades com uma linha sólida e outros alertas com uma linha pontilhada. Se você mantiver o ponteiro sobre uma aresta (a linha que conecta dois nós), a variável de resultado ou de correspondência que conecta a uma aresta no gráfico vai aparecer.

No lado esquerdo, há cards para cada nó que incluem detalhes sobre regras associadas, janelas de detecção, gravidade e status de prioridade, entre outros.

Diretamente acima do gráfico, há um botão chamado Opções do gráfico. Quando você clica em Opções de gráfico, duas opções aparecem: Detecções sem alertas e Pontuação de risco. Ambos são ativados por padrão e podem ser ativados ou desativados de acordo com sua preferência.

Para mover os nós, basta arrastá-los pelo gráfico. Quando você solta o nó, ele é fixado onde você o deixou até que você clique em Atualizar.

Adicionar e remover nós

Se você clicar em um nó, uma tabela vai aparecer na parte de baixo da tela. É possível realizar as seguintes ações em cada nó:

Alerta

• Conferir entidades, alertas e eventos relacionados
• Conferir os resultados e as correspondências do alerta
• Remover qualquer subgrafo
• Adicione ou remova entidades e alertas relacionados do gráfico marcando as caixas na coluna "No gráfico".

Entidade

• Ver todos os alertas relacionados
• Remover qualquer subgrafo
• Adicione ou remova alertas relacionados do gráfico marcando ou desmarcando as caixas na coluna "No gráfico".

Grupo

• Conferir todas as entidades ou alertas que compõem esse grupo
• Desgrupo os nós individuais clicando em On Graph na tabela na parte de baixo da página.

Para adicionar ou remover a pontuação de risco dos nós, marque ou desmarque a caixa Pontuação de risco acima da tabela.

Expandir o gráfico de alertas

Para conferir mais nós relacionados, clique no ícone + na parte de baixo do alerta. As entidades e os alertas relacionados ao ícone selecionado vão aparecer. Cada alerta novo tem um card ao lado com mais detalhes.

Redefinir o gráfico

Se você quiser limpar o gráfico, ajuste o período na janela à direita. O período máximo é de 90 dias. A redefinição do período também redefine o gráfico para o estado original. Atualizar o período de tempo limpa o gráfico de outros nós e o redefine para o estado original.

Para mover os nós de volta à posição padrão, clique em Atualizar.

Conferir o contexto do alerta

A seção Contexto do alerta contém uma lista de valores que fornecem mais contexto sobre o alerta.

O contexto do alerta tem uma coluna Type que informa qual parte da regra gerou o alerta selecionado: resultado ou correspondência. A próxima coluna é chamada Variável. Esses nomes são baseados nos nomes das variáveis de correspondência e resultado definidas na regra. Por fim, a coluna à direita é Campo do UDM. As variáveis que têm um campo de UDM listado também são vinculadas na coluna Valores.

Além dos campos do UDM listados na seção Antes de começar, os seguintes campos do UDM também estão vinculados à página Pesquisa do UDM:

• file.full_path
• process.command_line
• process.file.full_path
• process.parent_process.product_specific_process_id
• process.pid
• process.product_specific_process_id
• resource.product_object_id

Os substantivos específicos do UDM associados a esses campos são principal, target, src, observer, intermediary e about. Se você clicar em um valor, uma pesquisa de UDM será acionada, transmitindo o valor com o período do dia anterior.

No exemplo de regra YARA-L mostrado na seção Antes de começar, os seguintes campos do UDM serão vinculados à página Pesquisa do UDM:

• principal.ip
• principal.user.userid
• principal.user.user_display_name
• target.resource.name

Ver o histórico de alertas

Na guia Histórico do alerta, você pode conferir um histórico completo de todas as ações realizadas para esse alerta. Isso inclui:

• Quando o alerta apareceu pela primeira vez
• Todas as anotações que as pessoas da sua equipe deixaram sobre esse alerta
• Se a gravidade mudou
• Se a prioridade tiver sido alterada
• Se o alerta foi fechado

Alertas do Google Security Operations SOAR

Os alertas do Google Security Operations SOAR incluem mais informações sobre o caso. Esses alertas também fornecem um link para abrir o caso no SOAR do Google Security Operations. Para mais informações, consulte a Visão geral dos casos de SOAR do Google Security Operations.

Alerta para o caso do Google Security Operations SOAR

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.