Investigar una alerta

Se admite en los siguientes países:

Las alertas están vinculadas a datos que sus sistemas de seguridad identifican como amenaza. Investigar las alertas te brinda contexto sobre la alerta y las entidades relacionadas.

Cuando haces clic en una alerta, se te dirige a una página que contiene detalles de alerta organizados en las siguientes tres pestañas:

  • Descripción general: Proporciona un resumen de los detalles importantes sobre la alerta. incluidos el estado de alerta y la ventana de detección.
  • Gráfico: Visualiza las alertas que se generan a partir de una regla YARA-L. Integra proporciona un gráfico de la relación de la alerta con otras entidades. Cuando se activa una alerta, las entidades asociadas con ella se muestran en el gráfico y en el lado izquierdo de la pantalla, cada una con su propia tarjeta. El gráfico de alertas usa las siguientes entidades en un evento de la UDM: principal, target, src, observer, intermediary y about.
  • Historial de alertas: Muestra todos los cambios que se produjeron en esta alerta, incluso cuando cambió el estado de una alerta o se agregó una nota.

Debajo del gráfico que visualiza las relaciones entre las entidades y la alerta, se encuentran las siguientes tres pestañas secundarias que proporcionan más contexto sobre la alerta:

  • Eventos: Contiene detalles sobre los eventos relacionados con la alerta.
  • Entidades: Contiene detalles sobre cada entidad asociada con la alerta.
  • Contexto de la alerta: Proporciona contexto adicional sobre la alerta.

Antes de comenzar

Para propagar el gráfico de alertas, debes crear una regla YARA-L que genere alertas. El la calidad del gráfico de alertas se vincula con el contexto integrado en . La sección de resultados de una regla y proporciona contexto sobre las detecciones que activó la regla.

Te recomendamos que agregues los siguientes sustantivos de la UDM a la sección de resultados, ya que se usan en el gráfico de alertas: principal, target, src, observer, intermediary y about. Para estos Los siguientes campos se usan en el gráfico de alerta con los sustantivos de UDM:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Los valores de la lista anterior de campos de UDM también se vinculan a la búsqueda de UDM en la pestaña secundaria Contexto de la alerta. Para obtener más información, consulta Cómo ver el contexto de la alerta.

En la siguiente regla YARA-L, se genera una alerta cuando se inhabilitó una cantidad significativa de APIs de servicios de Google Cloud en un período breve (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Después de que se genera una alerta, puedes navegar a la página Gráfico de alertas para obtener más contexto sobre la alerta y seguir investigando.

Puedes acceder al Gráfico desde la página Alertas e IOC o desde Búsqueda de UDM.

Cómo acceder al gráfico de alertas desde las alertas y los IOC

La página Alertas y indicadores de compromiso (IOC) te permite filtrar y ver todas las alertas y los IOC que afectan actualmente a tu empresa. Para obtener más información sobre esta página y cómo ver las coincidencias de IOC, consulta Cómo ver alertas y IOC.

Para ver más información sobre una alerta de la página Alertas e IOC, completa sigue estos pasos:

  1. En la barra de navegación, haz clic en Detección > Alertas y IOC.
  2. Busca la alerta que deseas investigar en la tabla de alertas.
  3. En la fila de esa alerta, haz clic en el texto de la columna de nombre para abrir Alerta gráfico.
  1. En la parte superior de la barra de navegación, selecciona Buscar.
  2. Carga una búsqueda con el Administrador de búsquedas o crea una nueva. Más información sobre cómo realizar una búsqueda en UDM en UDM Búsqueda.
    1. Se muestran tres pestañas: Descripción general, Entidad y Alertas. Haz clic en Alertas.
  3. Haz clic en la alerta que deseas investigar. Se mostrará el visor de alertas.
  4. Haz clic en Ver detalles para abrir la vista de Alerta.
  5. Haz clic en la pestaña Graph para mostrar el gráfico de alertas.

Consulta los detalles de una alerta

En la vista Alertas, la pestaña Resumen muestra la siguiente información sobre la alerta:

  • Detalles de la alerta: Estado de la alerta, fecha de creación, gravedad, prioridad y puntuación de riesgo
  • Resumen de detección: Es la regla de detección que generó la alerta. Puedes ver otras alertas a partir de la misma regla de detección.
  • Eventos: Son los eventos asociados con esta alerta.

Además de ver información importante, puedes ajustar el estado de la alerta.

Cambia el estado de la alerta

  1. Haz clic en Cambiar el estado de la alerta en la esquina superior derecha.
  2. En la ventana que aparece, actualiza los niveles de gravedad y prioridad. según corresponda.
  3. Haz clic en Guardar.

Cómo cerrar la alerta

  1. Haz clic en Cerrar alerta.
  2. En la ventana que aparece, puedes dejar una nota para agregar otras. contextual sobre por qué cerraste la alerta.
  3. Ingresa la información y presiona Guardar.

Cómo ver las relaciones de las entidades

En el gráfico, se muestra cómo se conectan las diferentes alertas y entidades. Esta te brinda un gráfico interactivo y visual que puedes usar para expandir información de relación sobre las entidades existentes que se va a mostrar relaciones. También puedes ampliar la búsqueda aumentando el intervalo de tiempo y la expansión de alertas de un momento determinado del pasado para rutas de alerta más completas.

También puedes expandir tu búsqueda haciendo clic en el ícono + en la esquina superior derecha de cualquier nodo. De esta manera, se muestran todos los nodos relacionados con esa entidad.

Íconos de gráficos

Las distintas entidades se representan con distintos íconos.

Ícono Entidad que representa el ícono Explicación
Usuario Un usuario es una persona o entidad de otro tipo que solicita acceso a la información de tu red y la usa. Ejemplos: juanperez, nubladosanfrancisco@gmail.com
base de datos Recurso Los recursos son un término genérico para las entidades que tienen su propio nombre de recurso único. Ejemplos: Tabla, base de datos y proyecto de BigQuery.
Dirección IP
descripción Archivo
Nombre de dominio
URL
device_unknown Tipo de entidad desconocido El software de Google Security Operations no reconoce un tipo de entidad.
memoria Recurso Un recurso es cualquier elemento que produce valor para tu organización. Esto puede incluir nombres de host, direcciones MAC y direcciones IP internas. Ejemplos: 10.120.89.92 (dirección IP interna), 00:53:00:4a:56:07 (dirección MAC)

Si dos o más alertas provienen de la misma regla, se agrupan en un ícono de grupo. Los indicadores que representan la misma entidad se consolidan en un ícono.

Para obtener más información sobre cada uno de estos íconos, consulta los siguientes documentos:

Cuando haces clic en Gráfico de alertas, el gráfico muestra todos los resultados 12 horas antes y después de la alerta. Si no hay entidades para la alerta, solo la alerta original aparecerá en el gráfico.

La alerta principal se destaca en un círculo rojo. Las alertas están conectadas a entidades con una línea continua y otras alertas con una línea de puntos. Si mantienes el puntero sobre un borde (la línea que conecta dos nodos), se muestra la variable de resultado o la variable de coincidencia que lo conecta a un nodo en el gráfico.

En el lado izquierdo, hay tarjetas de cada nodo que incluyen detalles sobre reglas asociadas, ventanas de detección, estados de gravedad y prioridad, y mucho más.

Justo encima del gráfico, hay un botón etiquetado como Opciones de gráfico. Cuando haces clic en Opciones de gráfico, aparecen dos opciones: Detecciones sin alertas y Puntuación de riesgo. Ambas están activadas de forma predeterminada y se pueden activar o desactivar según tu preferencia.

Para mover los nodos, simplemente arrástralos por el gráfico. Cuando sueltas el nodo, se fija donde lo dejaste hasta que haces clic en Actualizar.

Agrega y quita nodos

Si haces clic en un nodo, aparece una tabla en la parte inferior de la pantalla. Puedes hacer lo siguiente: las siguientes acciones en cada nodo:

Alerta

  • Ver entidades, alertas y eventos relacionados
  • Consulta los resultados y las coincidencias de la alerta
  • Quitar cualquier subgrafo
  • Agregar o quitar entidades y alertas relacionadas del gráfico marcando las casillas de verificación en la columna On Graph

Entidad

  • Ver todas las alertas relacionadas
  • Quita cualquier subgrafo
  • Agregar o eliminar alertas relacionadas del gráfico marcando o desmarcando casillas en la columna On Graph

Grupo

  • Ver todas las entidades o alertas que conforman ese grupo
  • Para desagrupar nodos individuales, haz clic en On Graph en la tabla que se encuentra en la parte inferior de la página.

Para agregar o quitar la puntuación de riesgo de los nodos, marca o desmarca la casilla Riesgo de calidad que se encuentra sobre la tabla.

Expandir el gráfico de alertas

Para ver más nodos relacionados, haz clic en el ícono de + que se encuentra en la parte inferior de la alerta. El aparecerán las entidades y alertas relacionadas con el ícono seleccionado. Cada alerta nueva tiene una tarjeta al costado con más detalles.

Restablece el gráfico

Si quieres borrar el gráfico, puedes ajustar el período en la ventana de la derecha. El rango máximo es de 90 días. Si restableces el período, también se restablecerá el gráfico a su estado original. Si actualizas el período, se borran los nodos adicionales del gráfico y se restablece a su estado original.

Para mover los nodos a la posición predeterminada, haz clic en Actualizar.

Ver contexto sobre la alerta

La sección Contexto de la alerta contiene una lista de valores que proporcionan contexto adicional sobre la alerta.

El contexto de la alerta tiene una columna Type que te indica qué parte de la regla generó la alerta que seleccionaste: resultado o coincidencia. La siguiente columna es llamada Variable. Estos nombres de variables se basan en los nombres de la coincidencia y las variables de resultado definidas en la regla. Por último, en la columna del extremo derecho Campo de UDM. Las variables que incluyen un campo UDM también están vinculadas en el Valores.

Además de los campos de UDM enumerados en la sección Antes de comenzar, los siguientes campos de UDM también están vinculados a la página de búsqueda de UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Los sustantivos específicos de la AUA que se asocian con estos campos son principal, target, src, observer, intermediary y about. Si haces clic en un valor, se activa una búsqueda de UDM, que pasa el valor junto con el intervalo de tiempo del día anterior.

En la regla de YARA-L de ejemplo que aparece en la sección Antes de comenzar, los siguientes campos de UDM se vincularán a la página de búsqueda de UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Cómo ver el historial de alertas

La pestaña Historial de alertas te permite ver un historial completo de todas las acciones. que ocurrieron para esta alerta. Esto incluye lo siguiente:

  • Cuándo apareció la alerta por primera vez
  • Notas que hayan dejado los miembros de tu equipo sobre esta alerta
  • Si la gravedad cambió
  • Si se cambió la prioridad
  • Si la alerta se cerró

Alertas de Google Security Operations SOAR

Las alertas de SOAR de Google Security Operations incluyen información adicional sobre el caso de SOAR de Google Security Operations. Estas alertas también proporcionan un vínculo para abrir el caso en el SOAR de Google Security Operations. Para obtener más información, consulta la descripción general de los casos de SOAR de Google Security Operations.

Alerta sobre el caso de SOAR de Google Security Operations

Alerta para el caso de SOAR de Google Security Operations