Benachrichtigungen prüfen

Unterstützt in:

Benachrichtigungen sind an Daten gebunden, die von Ihren Sicherheitssystemen als Bedrohung identifiziert wurden. Wenn Sie Benachrichtigungen untersuchen, erhalten Sie Kontext zur Benachrichtigung und zu den zugehörigen Entitäten.

Wenn Sie auf eine Benachrichtigung klicken, werden Sie zu einer Seite weitergeleitet, deren Details in die folgenden drei Tabs unterteilt sind:

  • Übersicht: Hier finden Sie eine Zusammenfassung der wichtigsten Details zur Benachrichtigung. einschließlich Alarmstatus und Erkennungsfenster.
  • Diagramm: Hier werden Benachrichtigungen visualisiert, die von einer YARA-L-Regel generiert wurden. Es stellt ein Diagramm zur Beziehung der Benachrichtigung zu anderen Entitäten bereit. Wenn ein ausgelöst wird, werden die mit der Benachrichtigung verknüpften Entitäten auf der Diagramm und auf der linken Seite des Bildschirms, jeweils mit einer eigenen Karte. Im Benachrichtigungsdiagramm werden die folgenden Entitäten in einem UDM-Ereignis verwendet: principal, target, src, observer, intermediary und about.
  • Benachrichtigungsverlauf: listet alle Änderungen auf, die bei dieser Benachrichtigung vorgenommen wurden. z. B. wenn sich der Status einer Benachrichtigung geändert oder ein Hinweis hinzugefügt wurde.

Unter dem Diagramm, in dem die Beziehungen zwischen den Entitäten und der Benachrichtigung dargestellt werden, befinden sich die folgenden drei Untertabs mit weiteren Informationen zur Benachrichtigung:

  • Ereignisse: Enthält Details zu den Ereignissen im Zusammenhang mit der Benachrichtigung.
  • Entitäten: Enthält Details zu jeder Entität, die mit der Benachrichtigung verknüpft ist.
  • Kontext der Benachrichtigung: liefert zusätzlichen Kontext zum Benachrichtigung.

Hinweise

Wenn Sie das Benachrichtigungsdiagramm ausfüllen möchten, müssen Sie eine YARA-L erstellen. Regel, die Benachrichtigungen generiert. Die Qualität des Benachrichtigungsdiagramms hängt vom Kontext ab, der in der YARA-L-Regel enthalten ist. Im Abschnitt zum Ergebnis einer Regel liefert Kontext zu den Erkennungen, die durch die Regel ausgelöst werden.

Wir empfehlen das Hinzufügen der folgenden UDM-Datei zu den Substantiven im Abschnitt zu den Ergebnissen, da sie im Benachrichtigungsdiagramm verwendet werden: principal, target, src, observer, intermediary und about . Für diese UDM-Substantive werden im Benachrichtigungsdiagramm die folgenden Felder verwendet:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Die Werte in der Liste der UDM-Felder oben sind auch über den Untertab Kontext der Benachrichtigung mit der UDM-Suche verknüpft. Weitere Informationen finden Sie unter Kontext der Benachrichtigung ansehen.

In der folgenden YARA-L-Regel wird eine Benachrichtigung generiert, wenn eine große Anzahl von Google Cloud-Dienst-APIs innerhalb kurzer Zeit (1 Stunde) deaktiviert wurde.

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Nachdem eine Benachrichtigung generiert wurde, können Sie die Seite Benachrichtigungsdiagramm aufrufen, um mehr Kontext zu der Benachrichtigung zu erhalten und sie genauer zu untersuchen.

Sie können auf die Grafik über die Seite Warnungen und IOCs oder die Seite UDM-Suche:

Über „Benachrichtigungen und IOCs“ auf das Benachrichtigungsdiagramm zugreifen

Auf der Seite Warnungen und Indikatoren für Manipulationen können Sie alle Benachrichtigungen und IOCs ansehen, die sich derzeit auf Ihr Unternehmen auswirken. Weitere Informationen zu dieser Seite und dazu, wie Sie IOC-Übereinstimmungen aufrufen, finden Sie unter Benachrichtigungen und IOCs aufrufen.

Wenn Sie weitere Informationen zu einer Benachrichtigung auf der Seite „Benachrichtigungen und IOCs“ sehen möchten, führen Sie führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der Navigationsleiste auf Erkennungen > Benachrichtigungen und IOCs.
  2. Suchen Sie in der Tabelle mit den Benachrichtigungen nach der Benachrichtigung, die Sie untersuchen möchten.
  3. Klicken Sie in der Zeile dieser Benachrichtigung auf den Text in der Namensspalte, um die Option Benachrichtigung Diagramm.
  1. Wählen Sie oben in der Navigationsleiste Suchen aus.
  2. Laden Sie eine Suche mit dem Suchmanager oder erstellen Sie eine neue Suche. Weitere Informationen zur Durchführung einer Suche in UDM in UDM Suchen.
    1. Es werden drei Tabs angezeigt: Übersicht, Entität und Benachrichtigungen. Klicken Sie auf Benachrichtigungen.
  3. Klicken Sie auf die Benachrichtigung, die Sie untersuchen möchten. Der Benachrichtigungs-Viewer wird angezeigt.
  4. Klicken Sie auf Details ansehen, um die Benachrichtigungsübersicht zu öffnen.
  5. Klicken Sie auf den Tab Graph, um die Benachrichtigungsgrafik aufzurufen.

Details zu einer Benachrichtigung ansehen

In der Benachrichtigungsansicht werden auf dem Tab Übersicht die folgenden Informationen angezeigt: in Bezug auf die Benachrichtigung:

  • Benachrichtigungsdetails: Benachrichtigungsstatus, Erstellungsdatum, Schweregrad, Priorität und Risiko Punkte.
  • Zusammenfassung der Erkennung: Erkennungsregel, durch die die Benachrichtigung generiert wurde. Hier finden Sie Benachrichtigungen derselben Erkennungsregel.
  • Ereignisse: Mit dieser Benachrichtigung verknüpfte Ereignisse.

Neben der Anzeige wichtiger Informationen können Sie auch den Benachrichtigungsstatus anpassen.

Benachrichtigungsstatus ändern

  1. Klicken Sie rechts oben auf Benachrichtigungsstatus ändern.
  2. Aktualisieren Sie im angezeigten Fenster den Schweregrad und die Prioritätsstufen. entsprechend anpassen.
  3. Klicken Sie auf Speichern.

Benachrichtigung schließen

  1. Klicken Sie auf Benachrichtigung schließen.
  2. Im daraufhin eingeblendeten Fenster können Sie eine Notiz hinterlassen, um weitere Kontext dazu, warum Sie die Benachrichtigung geschlossen haben.
  3. Geben Sie Ihre Informationen ein und klicken Sie auf Speichern.

Entitätsbeziehungen ansehen

In der Grafik sehen Sie, wie verschiedene Benachrichtigungen und Entitäten miteinander verbunden sind. Dieses erhalten Sie ein visuelles, interaktives Diagramm, mit dem Sie Beziehungsinformationen über vorhandene Entitäten unbekannt Beziehungen. Sie können Ihre Suche auch ausweiten, indem Sie den Zeitraum Erweiterung vergangener Benachrichtigungen zu einem bestimmten Zeitpunkt, um umfassendere Benachrichtigungspfade zu erhalten

Sie können die Suche auch erweitern, indem Sie rechts oben auf das Symbol + klicken. auf die Seite eines Knotens. Daraufhin werden alle Knoten angezeigt, die mit dieser Entität verknüpft sind.

Grafiksymbole

Unterschiedliche Entitäten werden durch unterschiedliche Symbole dargestellt.

Symbol Entität, die durch das Symbol dargestellt wird Erläuterung
Nutzer Ein Nutzer ist eine Person oder eine andere Entität, die Zugriff auf Ihr Netzwerk anfordert und Daten aus Ihrem Netzwerk verwendet. Beispiele: melanie, cloudysanfrancisco@gmail.com
Datenbank Ressource Ressourcen sind ein Oberbegriff für Entitäten mit einem eigenen eindeutigen Ressourcennamen. Beispiele: BigQuery-Tabelle, -Datenbank und -Projekt.
IP-Adresse
description Datei
Domainname
URL
device_unknown Unbekannter Entitätstyp Ein Entitätstyp, der von der Software von Google Security Operations nicht erkannt wird.
gemerkte Informationen Asset Ein Asset ist alles, was für Ihr Unternehmen einen Mehrwert schafft. Dazu gehören Hostnamen, MAC-Adressen und interne IP-Adressen. Beispiele: 10.120.89.92 (interne IP-Adresse), 00:53:00:4a:56:07 (MAC-Adresse)

Falls zwei oder mehr Benachrichtigungen von derselben Regel gesendet werden, werden sie in einer Gruppensymbol. Indikatoren, die dieselbe Entität darstellen, werden in einem Symbol zusammengefasst.

Weitere Informationen zu den einzelnen Symbolen finden Sie in den folgenden Dokumenten:

Wenn Sie auf Benachrichtigungsdiagramm klicken, werden im Diagramm alle Ergebnisse der letzten 12 Stunden und nach der Benachrichtigung. Wenn für die Benachrichtigung keine Entitäten vorhanden sind, wird nur die ursprüngliche Benachrichtigung im Diagramm angezeigt.

Die Hauptbenachrichtigung ist in einem roten Kreis hervorgehoben. Benachrichtigungen sind mit Entitäten verbunden durchgezogene Linie und andere Warnungen durch eine gepunktete Linie. Wenn Sie den Zeiger über eine Kante (die Linie, die zwei Knoten verbindet), zeigt Ihnen die Ergebnisvariable die es mit einem Knoten im Diagramm verbindet.

Auf der linken Seite sehen Sie Karten für jeden Knoten, die Details zu zugehörige Regeln, Erkennungsfenster, Schweregrad und Prioritätsstatus und mehr.

Direkt über der Grafik befindet sich die Schaltfläche Grafikoptionen. Wenn Sie auf Grafikoptionen; zwei Optionen werden angezeigt: Erkennung ohne Benachrichtigungen und Risiko Faktor. Beide sind standardmäßig aktiviert und können je nach die gewünschte Einstellung auswählen.

Zum Verschieben der Knoten ziehen Sie einfach die Knoten im Diagramm. Wenn Sie den Knoten loslassen, bleibt er an der Stelle angepinnt, an der Sie ihn platziert haben, bis Sie auf Aktualisieren klicken.

Knoten hinzufügen und entfernen

Wenn Sie auf einen Knoten klicken, wird am unteren Bildschirmrand eine Tabelle angezeigt. Sie können Folgendes tun: folgende Aktionen auf jedem Knoten ausführen:

Benachrichtigung

  • Zugehörige Entitäten, Benachrichtigungen und Ereignisse ansehen
  • Ergebnisse und Übereinstimmungen in der Benachrichtigung ansehen
  • Teilgrafiken entfernen
  • Zugehörige Entitäten und Benachrichtigungen zur Grafik hinzufügen oder daraus entfernen, indem Sie entsprechende Kästchen anklicken in der Spalte Im Diagramm

Entität

  • Alle ähnlichen Benachrichtigungen ansehen
  • Untergraphen entfernen
  • Sie können zugehörige Benachrichtigungen zur Grafik hinzufügen oder daraus entfernen, indem Sie die entsprechenden Kontrollkästchen aktivieren bzw. deaktivieren. in der Spalte Im Diagramm

Gruppe

  • Alle Entitäten und Benachrichtigungen ansehen, aus denen diese Gruppe besteht
  • Heben Sie die Gruppierung einzelner Knoten auf, indem Sie in der Tabelle unten auf Im Diagramm klicken der Seite.

Wenn Sie den Risikowert den Knoten hinzufügen oder daraus entfernen möchten, setzen oder entfernen Sie ein Häkchen im Kästchen Risikowert über der Tabelle.

Benachrichtigungsdiagramm maximieren

Klicken Sie unten in der Benachrichtigung auf das Symbol +, um weitere zugehörige Knoten zu sehen. Die Entitäten und Warnmeldungen in Bezug auf das von Ihnen ausgewählte Pop-up-Symbol. Jede neue Benachrichtigung hat eine Karte daneben mit weiteren Details.

Grafik zurücksetzen

Wenn Sie die Grafik löschen möchten, können Sie den Zeitraum rechts anpassen. . Der maximale Zeitraum beträgt 90 Tage. Durch das Zurücksetzen des Zeitraums wird auch die in ihren ursprünglichen Zustand versetzt. Wenn Sie den Zeitraum aktualisieren, werden alle zusätzlichen Knoten aus der Grafik entfernt und sie wird auf den ursprünglichen Zustand zurückgesetzt.

Klicken Sie auf Aktualisieren, um die Knoten wieder an die Standardposition zu verschieben.

Kontext zur Benachrichtigung ansehen

Der Abschnitt Benachrichtigungskontext enthält eine Liste mit Werten, die zusätzlichen Kontext zur Benachrichtigung liefern.

In der Spalte Typ im Benachrichtigungskontext sehen Sie, welcher Teil der Regel die von Ihnen ausgewählte Benachrichtigung (Ergebnis oder Übereinstimmung) generiert hat. Die nächste Spalte ist namens Variable. Diese Variablennamen basieren auf den Namen der Übereinstimmungs- und Ergebnisvariablen, die in der Regel definiert sind. Die Spalte ganz rechts ist UDM-Feld. Variablen, für die ein UDM-Feld aufgeführt ist, sind auch im Spalte Werte:

Zusätzlich zu den UDM-Feldern, die im Abschnitt Vorbereitung aufgeführt sind, sind die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Die spezifischen UDM-Nomen, die mit diesen Feldern verknüpft sind, sind principal, target, src, observer, intermediary und about . Wenn wenn Sie auf einen Wert klicken, wird ein UDM search ausgelöst und übergeben den Parameter Wert zusammen mit dem Zeitraum des letzten Tages.

In der YARA-L-Beispielregel aus dem Abschnitt Vorbereitung sind die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Benachrichtigungsverlauf aufrufen

Auf dem Tab Benachrichtigungsverlauf sehen Sie einen vollständigen Verlauf aller Aktionen. die für diese Benachrichtigung erfolgt sind. Dazu zählen:

  • Wann die Benachrichtigung zum ersten Mal angezeigt wurde
  • Alle Notizen, die Personen aus Ihrem Team zu dieser Benachrichtigung hinterlassen haben
  • Wenn sich der Schweregrad geändert hat
  • Wenn die Priorität geändert wurde
  • Wenn die Benachrichtigung geschlossen wurde

Benachrichtigungen von Google Security Operations SOAR

Benachrichtigungen von Google Security Operations SOAR enthalten zusätzliche Informationen über die SOAR-Anfrage zu Google Security Operations. In diesen Benachrichtigungen finden Sie auch einen Link zum Öffnen des Falls. in Google Security Operations SOAR. Weitere Informationen finden Sie in der SOAR-Fälle für Google Security Operations Übersicht.

Benachrichtigung zu Google Security Operations SOAR-Fall

Benachrichtigung bei SOAR-Anfrage für Google Security Operations