Investigar una alerta

Compatible con:

Las alertas están vinculadas a datos que tus sistemas de seguridad identificaron como una amenaza. Investigar las alertas te brinda contexto sobre la alerta y las entidades relacionadas.

Cuando haces clic en una alerta, se te dirige a una página que contiene los detalles de la alerta organizados en las siguientes tres pestañas:

  • Descripción general: Proporciona un resumen de los detalles importantes sobre la alerta, incluido el estado y la ventana de detección.
  • Gráfico: Visualiza las alertas que se generan a partir de una regla YARA-L. Proporciona un gráfico de la relación de la alerta con otras entidades. Cuando se activa una alerta, las entidades asociadas con ella se muestran en el gráfico y en el lado izquierdo de la pantalla, cada una con su propia tarjeta. El gráfico de alertas usa las siguientes entidades en un evento de la UDM: principal, target, src, observer, intermediary y about.
  • Historial de alertas: Muestra todos los cambios que se produjeron en esta alerta, incluso cuando cambió el estado de una alerta o se agregó una nota.

Debajo del gráfico que visualiza las relaciones entre las entidades y la alerta, se encuentran las siguientes tres pestañas secundarias que proporcionan más contexto sobre la alerta:

  • Eventos: Contiene detalles sobre los eventos relacionados con la alerta.
  • Entidades: Contiene detalles sobre cada entidad asociada con la alerta.
  • Contexto de la alerta: Proporciona contexto adicional sobre la alerta.

Antes de comenzar

Para propagar el gráfico de alertas, debes crear una regla YARA-L que genere alertas. La calidad del gráfico de alertas está vinculada al contexto que está integrado en la regla YARA-L. La sección de resultados de una regla proporciona contexto a las detecciones que activa la regla.

Te recomendamos que agregues los siguientes sustantivos de la UDM a la sección de resultados, ya que se usan en el gráfico de alertas: principal, target, src, observer, intermediary y about. Para estos sustantivos de la UDM, se usan los siguientes campos en el gráfico de alertas:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Los valores de la lista anterior de campos de la AUA también se vinculan a la búsqueda de la AUA desde la subpestaña Contexto de la alerta. Para obtener más información, consulta Cómo ver el contexto de la alerta.

En la siguiente regla YARA-L, se genera una alerta cuando se inhabilitó una cantidad significativa de APIs de Google Cloud servicios en un período breve (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Después de que se genera una alerta, puedes navegar a la página Gráfico de alertas para obtener más contexto sobre la alerta y seguir investigando.

Puedes acceder al gráfico desde la página Alertas y IOC o la página Búsqueda de UDM.

Accede al gráfico de alertas desde IOC y alertas

La página Alertas y indicadores de compromiso (IOC) te permite filtrar y ver todas las alertas y los IOC que afectan actualmente a tu empresa. Para obtener más información sobre esta página y cómo ver las coincidencias de IOC, consulta Cómo ver alertas y IOC.

Para ver más información sobre una alerta en la página Alertas y IOC, completa los siguientes pasos:

  1. En la barra de navegación, haz clic en Detección > Alertas y IOC.
  2. Busca la alerta que deseas investigar en la tabla de alertas.
  3. En la fila de esa alerta, haz clic en el texto de la columna de nombre para abrir el gráfico de alertas.
  1. En la parte superior de la barra de navegación, selecciona Buscar.
  2. Carga una búsqueda con el Administrador de búsquedas o crea una nueva. Obtén más información para realizar una búsqueda en la UDM en Búsqueda de la UDM.
    1. Se muestran tres pestañas: Descripción general, Entidad y Alertas. Haz clic en Alertas.
  3. Haz clic en la alerta que quieres investigar. Se mostrará el visor de alertas.
  4. Haz clic en Ver detalles para abrir la vista de alertas.
  5. Haz clic en la pestaña Graph para mostrar el gráfico de alertas.

Consulta los detalles de una alerta

En la vista Alertas, la pestaña Resumen muestra la siguiente información sobre la alerta:

  • Detalles de la alerta: Estado de la alerta, fecha de creación, gravedad, prioridad y puntuación de riesgo
  • Resumen de detección: Es la regla de detección que generó la alerta. Puedes ver otras alertas de la misma regla de detección.
  • Eventos: Son los eventos asociados con esta alerta.

Además de ver información importante, puedes ajustar el estado de la alerta.

Cambia el estado de la alerta

  1. Haz clic en Cambiar el estado de la alerta en la esquina superior derecha.
  2. En la ventana que aparece, actualiza los niveles de gravedad y prioridad según corresponda.
  3. Haz clic en Guardar.

Cerrar la alerta

  1. Haz clic en Cerrar alerta.
  2. En la ventana que aparece, tienes la opción de dejar una nota para agregar más contexto sobre el motivo por el que cerraste la alerta.
  3. Ingresa tu información y presiona Guardar.

Cómo ver las relaciones de las entidades

En el gráfico, se muestra cómo se conectan las diferentes alertas y entidades. Esta función te brinda un gráfico visual e interactivo que puedes usar para expandir la información de la relación sobre las entidades existentes y mostrar relaciones desconocidas. También puedes ampliar tu búsqueda aumentando el período y expandiendo las alertas anteriores para obtener rutas de alertas más completas.

También puedes expandir tu búsqueda haciendo clic en el ícono + en la esquina superior derecha de cualquier nodo. De esta manera, se muestran todos los nodos relacionados con esa entidad.

Íconos de gráfico

Las diferentes entidades se representan con íconos diferentes.

Ícono Entidad que representa el ícono Explicación
Usuario Un usuario es una persona o una entidad que solicita acceso a la información de tu red y la usa. Ejemplos: juanperez, nubladosanfrancisco@gmail.com
base de datos Recurso Los recursos son un término genérico para las entidades que tienen su propio nombre de recurso único. Ejemplos: Tabla, base de datos y proyecto de BigQuery.
Dirección IP
descripción Archivo
Nombre de dominio
URL
device_unknown Tipo de entidad desconocido Es un tipo de entidad que el software de Operaciones de seguridad de Google no reconoce.
memoria Recurso Un activo es cualquier elemento que genere valor para tu organización. Esto puede incluir nombres de host, direcciones MAC y direcciones IP internas. Ejemplos: 10.120.89.92 (dirección IP interna), 00:53:00:4a:56:07 (dirección MAC)

Si dos o más alertas provienen de la misma regla, se agrupan en un ícono de grupo. Los indicadores que representan la misma entidad se consolidan en un ícono.

Para obtener más información sobre cada uno de estos íconos, consulta los siguientes documentos:

Cuando haces clic en Gráfico de alertas, el gráfico muestra todos los resultados 12 horas antes y después de la alerta. Si no hay entidades para la alerta, solo la alerta original aparecerá en el gráfico.

La alerta principal se destaca en un círculo rojo. Las alertas se conectan a entidades con una línea continua y otras alertas con una línea punteada. Si mantienes el puntero sobre un borde (la línea que conecta dos nodos), se muestra la variable de resultado o la variable de coincidencia que lo conecta a un nodo en el gráfico.

En el lado izquierdo, hay tarjetas para cada nodo que incluyen detalles sobre las reglas asociadas, los períodos de detección, el estado de gravedad y prioridad, y mucho más.

Directamente sobre el gráfico, hay un botón llamado Opciones de gráfico. Cuando haces clic en Opciones de gráfico, aparecen dos opciones: Detecciones sin alertas y Puntuación de riesgo. Ambos están activados de forma predeterminada y se pueden activar o desactivar según tus preferencias.

Para mover los nodos, simplemente arrástralos por el gráfico. Cuando sueltas el nodo, se fija donde lo dejaste hasta que haces clic en Actualizar.

Agrega y quita nodos

Si haces clic en un nodo, aparecerá una tabla en la parte inferior de la pantalla. Puedes realizar las siguientes acciones en cada nodo:

Alerta

  • Consulta las entidades, alertas y eventos relacionados
  • Consulta los resultados y las coincidencias de la alerta
  • Quita cualquier subgrafo
  • Para agregar o quitar entidades y alertas relacionadas del gráfico, marca las casillas en la columna En el gráfico.

Entidad

  • Ver todas las alertas relacionadas
  • Quita cualquier subgrafo
  • Para agregar o quitar alertas relacionadas del gráfico, marca o desmarca las casillas en la columna En el gráfico.

Grupo

  • Ver todas las entidades o alertas que conforman ese grupo
  • Para desagrupar nodos individuales, haz clic en On Graph en la tabla que se encuentra en la parte inferior de la página.

Para agregar o quitar la puntuación de riesgo de los nodos, marca o desmarca la casilla Puntuación de riesgo sobre la tabla.

Expande el gráfico de alertas

Para ver más nodos relacionados, haz clic en el ícono de + que se encuentra en la parte inferior de la alerta. Aparecerán las entidades y alertas relacionadas con el ícono que seleccionaste. Cada alerta nueva tiene una tarjeta al costado con más detalles.

Restablece el gráfico

Si quieres borrar el gráfico, puedes ajustar el período en la ventana de la derecha. El intervalo máximo es de 90 días. Si restableces el período, también se restablecerá el gráfico a su estado original. Si actualizas el período, se borran los nodos adicionales del gráfico y se restablece a su estado original.

Para volver a colocar los nodos en la posición predeterminada, haz clic en Actualizar.

Ver el contexto de la alerta

La sección Contexto de la alerta contiene una lista de valores que proporcionan contexto adicional sobre la alerta.

El contexto de la alerta tiene una columna Tipo que te indica qué parte de la regla generó la alerta que seleccionaste: resultado o coincidencia. La siguiente columna se llama Variable. Estos nombres de variables se basan en los nombres de las variables de coincidencia y resultado definidas en la regla. Por último, la columna de la derecha es Campo de la UDM. Las variables que tienen un campo de UDM también se vinculan en la columna Valores.

Además de los campos de la AUA que se enumeran en la sección Antes de comenzar, los siguientes campos de la AUA también están vinculados a la página Búsqueda de la AUA:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Los sustantivos específicos de la AUA que se asocian con estos campos son principal, target, src, observer, intermediary y about. Si haces clic en un valor, se activa una búsqueda de la AUA, que pasa el valor junto con el intervalo de tiempo del día anterior.

En la regla de YARA-L de ejemplo que se muestra en la sección Antes de comenzar, los siguientes campos de la AUA se vincularán a la página Búsqueda de la AUA:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Cómo ver el historial de alertas

La pestaña Historial de alertas te permite ver un historial completo de todas las acciones que se realizaron para esta alerta. Esto incluye lo siguiente:

  • Cuándo apareció la alerta por primera vez
  • Las notas que hayan dejado las personas de tu equipo sobre esta alerta
  • Si cambió la gravedad
  • Si se cambió la prioridad
  • Si se cerró la alerta

Alertas de Google Security Operations SOAR

Las alertas de Google Security Operations SOAR incluyen información adicional sobre el caso de Google Security Operations SOAR. Estas alertas también proporcionan un vínculo para abrir el caso en el SOAR de Google Security Operations. Para obtener más información, consulta la descripción general de los casos de SOAR de Google Security Operations.

Alerta para el caso de Google Security Operations SOAR

Alerta para el caso de Google Security Operations SOAR

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.