Esta página foi traduzida pela API Cloud Translation.

Investigar um alerta

Os alertas são vinculados aos dados identificados como ameaça pelos seus sistemas de segurança. A investigação de alertas fornece um contexto sobre o alerta e as entidades relacionadas.

Ao clicar em um alerta, você é direcionado a uma página que contém detalhes organizados nas três guias a seguir:

Visão geral: fornece um resumo de detalhes importantes sobre o alerta, incluindo o status e a janela de detecção do alerta.
Gráfico: visualiza os alertas gerados a partir de uma regra da YARA-L. Ela fornece um gráfico da relação do alerta com outras entidades. Quando um alerta é acionado, as entidades associadas a ele são exibidas no gráfico e no lado esquerdo da tela, cada uma com um cartão próprio. O gráfico de alertas usa as seguintes entidades em um evento de UDM: principal, target, src, observer, intermediary e about.
Histórico de alertas: lista todas as alterações que ocorreram no alerta, inclusive quando o status de um alerta foi alterado ou quando uma observação foi adicionada.

Abaixo do gráfico que visualiza as relações entre as entidades e o alerta, há as três subguias que fornecem mais contexto sobre o alerta:

Eventos: contém detalhes sobre os eventos relacionados ao alerta.
Entidades: contém detalhes sobre cada entidade associada ao alerta.
Contexto do alerta: fornece contexto adicional sobre o alerta.

Antes de começar

Para preencher o gráfico de alertas, crie uma regra YARA-L que gere alertas. A qualidade do gráfico de alertas está vinculada ao contexto integrado à regra YARA-L. A seção de resultados de uma regra fornece contexto para as detecções acionadas por ela.

Recomendamos adicionar os seguintes substantivos UDM à seção de resultados, porque eles são usados no gráfico de alerta: principal, target, src, observer, intermediary e about . Para esses substantivos UDM, os campos a seguir são usados no gráfico de alerta:

artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid

Os valores na lista anterior de campos do UDM também estão vinculados à pesquisa do UDM na subguia Contexto do alerta. Para mais informações, consulte Visualizar contexto sobre o alerta.

Na regra YARA-L a seguir, um alerta é gerado quando um número significativo de APIs de serviço do Google Cloud é desativado em um curto período (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Depois que um alerta é gerado, você pode acessar a página Gráfico de alertas para ter mais contexto sobre o alerta e investigá-lo mais a fundo.

Navegue até o gráfico de alertas

É possível acessar o Gráfico nas páginas Alertas e IOCs ou Pesquisa de UDM.

Acesse o gráfico de alertas em Alertas e IOCs

A página Alertas e indicadores de comprometimento (IOC, na sigla em inglês) permite filtrar e visualizar todos os alertas e indicadores de comprometimento (IOCs, na sigla em inglês) que estão afetando sua empresa no momento. Para saber mais sobre esta página e como visualizar correspondências de IOC, visite Visualizar alertas e IOCs.

Para ver mais informações sobre um alerta na página "Alertas e IOCs", conclua as seguintes etapas:

Na barra de navegação, clique em Detecção > Alertas e IOCs.
Encontre o alerta que você quer investigar na tabela de alertas.
Na linha desse alerta, clique no texto na coluna do nome para abrir o Gráfico de alertas.

Acesse o gráfico de alertas na pesquisa do UDM

Na parte de cima da barra de navegação, selecione Pesquisar.
Carregue uma pesquisa com o Gerenciador de pesquisas ou crie uma nova. Saiba mais sobre como realizar uma pesquisa no UDM em Pesquisa do UDM.
1. Três guias são exibidas: Visão geral, Entidade e Alertas. Clique em Alertas.
Clique no alerta que você quer investigar. O Visualizador de alertas é exibido.
Clique em Ver detalhes para abrir a visualização do alerta.
Clique na guia Graph para exibir o gráfico de alertas.

Mais detalhes sobre um alerta

Na visualização de alertas, a guia Visão geral exibe as seguintes informações sobre o alerta:

Detalhes do alerta: status do alerta, data de criação, gravidade, prioridade e pontuação de risco.
Resumo da detecção: regra de detecção que gerou o alerta. É possível ver outros alertas da mesma regra de detecção.
Eventos: os eventos associados ao alerta.

Além de visualizar informações importantes, você pode ajustar o status do alerta.

Alterar o status de alerta

Clique em Alterar status de alerta no canto superior direito.
Na janela exibida, atualize os níveis de gravidade e prioridade.
Clique em Salvar.

Fechar o alerta

Clique em Fechar alerta.
Na janela exibida, é possível deixar uma observação para adicionar mais contexto sobre o motivo de você ter fechado o alerta.
Digite suas informações e clique em Salvar.

Exibir relacionamentos de entidades

O Gráfico mostra como alertas e entidades diferentes estão conectados. Esse recurso oferece um gráfico visual e interativo que pode ser usado para expandir as informações de relacionamento sobre entidades existentes e exibir relações desconhecidas. Também é possível expandir sua pesquisa aumentando o período e expandindo os alertas pontuais anteriores para mostrar caminhos de alerta mais detalhados.

Também é possível expandir sua pesquisa clicando no ícone + no canto superior direito de qualquer nó. Isso exibe todos os nós relacionados a essa entidade.

Ícones de gráfico

Entidades diferentes são representadas por ícones diferentes.

Icon	Entidade que o ícone representa	Explicação
	Usuário	Um usuário é uma pessoa ou outra entidade que solicita acesso e usa informações da sua rede. Exemplos: joanasilva, cloudysanfrancisco@gmail.com
banco de dados	Resource	"Recursos" é um termo genérico para entidades que têm seu próprio nome de recurso exclusivo. Exemplos: tabela, banco de dados e projeto do BigQuery.
	Endereço IP
description	Arquivo
	Nome de domínio
	URL
device_unknown	Tipo de entidade desconhecido	Um tipo de entidade não reconhecido pelo software das Operações de segurança do Google.
memory	Recurso	Um recurso é qualquer item que produz valor para sua organização. Isso pode incluir nomes de host, endereços MAC e endereços IP internos. Exemplos: 10.120.89.92 (endereço IP interno), 00:53:00:4a:56:07 (endereço MAC)

Se dois ou mais alertas vierem da mesma regra, eles serão agrupados em um ícone de grupo. Indicadores que representam a mesma entidade são consolidados em um ícone.

Para saber mais sobre cada um desses ícones, consulte os seguintes documentos:

Navegar pelo gráfico de alertas

Ao clicar em Gráfico de alerta, o gráfico mostra todos os resultados 12 horas antes e depois do alerta. Se não houver entidades para o alerta, apenas o alerta original vai aparecer no gráfico.

O alerta principal é destacado em um círculo vermelho. Os alertas são conectados a entidades com uma linha sólida e outros alertas com uma linha pontilhada. Se você segurar o ponteiro sobre uma borda (a linha que conecta dois nós), ele vai mostrar a variável de resultado ou a variável de correspondência que o conecta a um nó no gráfico.

No lado esquerdo, há cards para cada nó que incluem detalhes sobre regras associadas, janelas de detecção, gravidade e status de prioridade e muito mais.

Logo acima do gráfico, está o botão Graph options. Quando você clica em Opções de gráfico, duas opções são exibidas: Detecções sem alerta e Pontuação de risco. As duas opções são ativadas por padrão e podem ser ativadas ou desativadas de acordo com sua preferência.

Para mover os nós, basta arrastá-los pelo gráfico. Ao liberar o nó, ele é fixado no local em que você o deixou até que você clique em Atualizar.

Adicionar e remover nós

Se você clicar em um nó, uma tabela será exibida na parte inferior da tela. É possível realizar as seguintes ações em cada nó:

Alerta

Ver entidades, alertas e eventos relacionados
Confira os resultados e correspondências do alerta
Remover qualquer subgráfico
Adicione ou remova entidades e alertas relacionados do gráfico marcando as caixas na coluna "On Graph"

Entidade

Ver todos os alertas relacionados
Remover qualquer subgráfico
Adicione ou remova alertas relacionados do gráfico marcando ou desmarcando caixas na coluna "No gráfico".

Grupo

Ver todas as entidades ou alertas que compõem o grupo
Para desagrupar nós individuais, clique em No gráfico na tabela na parte de baixo da página.

Para adicionar ou remover a pontuação de risco dos nós, marque ou desmarque a caixa Pontuação de risco acima da tabela.

Abrir o gráfico de alertas

Para ver mais nós relacionados, clique no ícone + na parte inferior do alerta. As entidades e os alertas relacionados ao ícone selecionado são exibidos. Cada alerta novo tem um card na lateral com mais detalhes.

Redefinir o gráfico

Se você quiser limpar o gráfico, ajuste o período na janela à direita. O intervalo máximo é de 90 dias. Isso também redefine o gráfico para o estado original. A atualização do intervalo de tempo limpa todos os outros nós do gráfico e redefine o gráfico para o estado original.

Para mover os nós de volta à posição padrão, clique em Atualizar.

Conferir contexto sobre o alerta

A seção Contexto do alerta contém uma lista de valores que dão mais contexto sobre o alerta.

O contexto do alerta tem uma coluna Tipo que informa qual parte da regra gerou o alerta que você selecionou: resultado ou correspondência. A próxima coluna é chamada de Variável. Esses nomes são baseados nos nomes das variáveis de correspondência e resultado definidas na regra. Por fim, a coluna à direita é o Campo UDM. Aquelas que têm um campo de UDM listado também são vinculadas na coluna Valores.

Além dos campos do UDM listados na seção Antes de começar, os seguintes campos do UDM também estão vinculados à página de pesquisa do UDM:

file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id

Os substantivos UDM específicos associados a esses campos são principal, target, src, observer, intermediary e about. Se você clicar em um valor, uma pesquisa UDM será acionada, transmitindo o valor com o período do dia anterior.

No exemplo de regra YARA-L apresentado na seção Antes de começar, os seguintes campos de UDM serão vinculados à página de pesquisa UDM:

principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name

Ver o histórico de alertas

A guia Histórico de alertas permite que você veja um histórico completo de todas as ações realizadas em relação ao alerta. Isso inclui:

Quando o alerta apareceu pela primeira vez
Observações que deixaram para as pessoas na sua equipe sobre este alerta
Se a gravidade tiver mudado
Se a prioridade tiver sido alterada
Se o alerta foi encerrado

Alertas do SOAR do Google Security Operations

Os alertas do Google Security Operations SOAR incluem mais informações sobre o caso do Google Security Operations SOAR. Esses alertas também fornecem um link para abrir o caso no SOAR de Operações de Segurança do Google. Para mais informações, consulte a visão geral de casos do SOAR do Google Security Operations.

Alerta sobre o caso do SOAR do Google Security Operations

Alerta de caso do Google Security Operations SOAR