Investigar una alerta

Las alertas están vinculadas a los datos que sus sistemas de seguridad identifican como una amenaza. Investigar las alertas te proporciona contexto sobre la alerta y las entidades relacionadas.

Cuando haces clic en una alerta, se te dirige a una página que contiene los detalles de las alertas organizados en las siguientes tres pestañas:

  • Descripción general: Proporciona un resumen de los detalles importantes sobre la alerta, incluidos el estado de la alerta y la ventana de detección.
  • Gráfico: Visualiza alertas que se generan a partir de una regla YARA-L. Proporciona un gráfico de la relación de la alerta con otras entidades. Cuando se activa una alerta, las entidades asociadas a ella se muestran en el gráfico y en el lado izquierdo de la pantalla, cada una con su propia tarjeta. El gráfico de alertas usa las siguientes entidades en un evento de UDM: principal, target, src, observer, intermediary y about.
  • Historial de alertas: Enumera todos los cambios que se produjeron en esta alerta, incluso los momentos en que cambió el estado de una alerta o se agregó una nota.

Debajo del gráfico, en el que se visualizan las relaciones entre las entidades y la alerta, se encuentran las tres siguientes pestañas secundarias que proporcionan más contexto sobre la alerta:

  • Events: Contiene detalles sobre los eventos relacionados con la alerta.
  • Entidades: Contiene detalles sobre cada entidad asociada con la alerta.
  • Contexto de la alerta: Proporciona contexto adicional sobre la alerta.

Antes de comenzar

Para propagar el gráfico de alertas, debes crear una regla YARA-L que genere alertas. La calidad del gráfico de alertas está vinculada al contexto que se integra en la regla YARA-L. La sección de resultados de una regla proporciona contexto para las detecciones que activó la regla.

Recomendamos agregar los siguientes sustantivos de UDM a la sección de resultados, porque se usan en el gráfico de alertas: principal, target, src, observer, intermediary y about. Para estos sustantivos de UDM, se usan los siguientes campos en el gráfico de alertas:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Los valores de la lista anterior de campos de UDM también se vinculan con la búsqueda de UDM en la pestaña secundaria Contexto de la alerta. Para obtener más información, consulta Consulta el contexto de la alerta.

En la siguiente regla YARA-L, se genera una alerta cuando una cantidad significativa de APIs de servicio de Google Cloud se inhabilita en un período corto (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Después de que se genera una alerta, puedes navegar a la página Gráfico de alertas para obtener más contexto sobre la alerta y poder investigarla más a fondo.

Puedes acceder al Gráfico desde la página Alertas e IOC o la página Búsqueda de UDM.

Acceda al gráfico de alertas desde Alertas e IOC

La página Indicadores y alertas de riesgo (IOC) te permite filtrar y ver todas las alertas y los IOC que afectan a tu empresa en este momento. Para obtener más información sobre esta página y cómo ver las coincidencias de los IOC, visita Ver IOC y alertas.

Para ver más información sobre una alerta desde la página Alertas e IOC, completa los siguientes pasos:

  1. En la barra de navegación, haz clic en Detectiones > Alertas e IOC.
  2. Busca la alerta que quieres investigar en la tabla de alertas.
  3. En la fila de esa alerta, haz clic en el texto de la columna de nombre para abrir el Gráfico de alertas.
  1. En la parte superior de la barra de navegación, selecciona Buscar.
  2. Carga una búsqueda con el Administrador de Búsqueda o crea una nueva. Obtén más información para realizar una búsqueda en UDM en Búsqueda de UDM.
    1. Se muestran tres pestañas: Descripción general, Entidad y Alertas. Haz clic en Alertas.
  3. Haz clic en la alerta que deseas investigar. Se mostrará el visor de alertas.
  4. Haz clic en Ver detalles para abrir la vista de alertas.
  5. Haz clic en la pestaña Graph para mostrar el gráfico de alertas.

Consulta los detalles de una alerta

En la vista de alerta, la pestaña Descripción general muestra la siguiente información relacionada con la alerta:

  • Detalles de la alerta: Estado de la alerta, fecha de creación, gravedad, prioridad y puntuación de riesgo.
  • Resumen de la detección: Es la regla de detección que generó la alerta. Puedes ver otras alertas desde la misma regla de detección.
  • Eventos: Son los eventos asociados con esta alerta.

Además de ver la información importante, puedes ajustar el estado de las alertas.

Cambia el estado de la alerta

  1. Haz clic en Cambiar estado de alerta en la esquina superior derecha.
  2. En la ventana que aparece, actualiza los niveles de gravedad y prioridad según corresponda.
  3. Haz clic en Guardar.

Cerrar la alerta

  1. Haz clic en Cerrar alerta.
  2. En la ventana que aparece, tienes la opción de dejar una nota para agregar más contexto sobre el motivo por el que cerraste la alerta.
  3. Ingresa la información y presiona Guardar.

Ver relaciones de entidades

En el Gráfico se muestra cómo se conectan las diferentes alertas y entidades. Esta función te brinda un gráfico interactivo y visual que puedes usar para expandir la información de relaciones sobre entidades existentes a fin de detectar relaciones desconocidas. También puedes ampliar la búsqueda si aumentas el intervalo de tiempo y expandes las alertas de un momento determinado para obtener rutas de alerta más completas.

También puedes expandir la búsqueda si haces clic en el ícono + en la parte superior derecha de cualquier nodo. Al hacerlo, se muestran todos los nodos relacionados con esa entidad.

Íconos de gráfico

Las diferentes entidades se representan con diferentes íconos.

Icon (Ícono) Entidad que representa el ícono Explicación
Usuario Un usuario es una persona o cualquier otra entidad que solicita acceso a la información de tu red y la usa. Ejemplos: juanperez, cloudysanfrancisco@gmail.com
base de datos Recurso Los recursos son un término genérico para las entidades que tienen su propio nombre de recurso único. Ejemplos: Tabla, base de datos y proyecto de BigQuery.
Dirección IP
description Archivo
Nombre de dominio
URL
device_unknown Tipo de entidad desconocido Es un tipo de entidad que el software de Chronicle no reconoce.
memoria Recurso Un recurso es cualquier cosa que produzca valor para tu organización. Esto puede incluir nombres de host, direcciones MAC y direcciones IP internas. Ejemplos: 10.120.89.92 (dirección IP interna), 00:53:00:4a:56:07 (dirección MAC)

Si dos o más alertas provienen de la misma regla, se agrupan en un ícono de grupo. Los indicadores que representan la misma entidad se consolidan en un ícono.

Para obtener más información sobre cada uno de estos íconos, consulta los siguientes documentos:

Cuando haces clic en Gráfico de alertas, en el gráfico se muestran todos los resultados 12 horas antes y después de la alerta. Si no hay entidades para la alerta, solo aparecerá la alerta original en el gráfico.

La alerta principal se destaca en un círculo rojo. Las alertas se conectan con las entidades con una línea continua y las demás con una línea punteada. Si mantienes el puntero sobre una arista (la línea que conecta dos nodos), te muestra la variable de resultado o la variable de coincidencia que lo conecta a un nodo en el gráfico.

En el lado izquierdo, hay tarjetas para cada nodo que incluyen detalles sobre las reglas asociadas, las ventanas de detección, el estado de gravedad y prioridad, y mucho más.

Justo arriba del gráfico, hay un botón con la etiqueta Opciones de gráfico. Cuando haces clic en Opciones de gráfico, aparecen dos opciones: Detecciones sin alertas y Puntuación de riesgo. Ambos están activados de forma predeterminada y puedes activarlos o desactivarlos según tus preferencias.

Para mover los nodos, basta con arrastrarlos por el gráfico. Cuando liberas el nodo, se fija donde lo dejaste hasta que hagas clic en Actualizar.

Cómo agregar y quitar nodos

Si haces clic en un nodo, aparecerá una tabla en la parte inferior de la pantalla. Puedes realizar las siguientes acciones en cada nodo:

Alerta

  • Ver entidades, alertas y eventos relacionados
  • Consulta los resultados y las coincidencias de la alerta
  • Quitar cualquier subgrafo
  • Agrega o quita entidades y alertas relacionadas del gráfico. Para ello, marca las casillas de verificación de la columna En el gráfico.

Entidad

  • Ver todas las alertas relacionadas
  • Quitar cualquier subgrafo
  • Agrega o quita alertas relacionadas del gráfico; para ello, marca o desmarca las casillas en la columna En el gráfico

Grupo

  • Ver todas las entidades o alertas que conforman ese grupo
  • Para desagrupar nodos individuales, haz clic en En el grafo de la tabla que se encuentra en la parte inferior de la página.

Para agregar o quitar la puntuación de riesgo de los nodos, marca o desmarca la casilla Puntuación de riesgo sobre la tabla.

Expandir el gráfico de alertas

Para ver más nodos relacionados, haz clic en el ícono + en la parte inferior de la alerta. Aparecerán las entidades y alertas relacionadas con el ícono que seleccionaste. Cada alerta nueva tiene una tarjeta al costado con más detalles.

Restablecer el gráfico

Si deseas borrar el gráfico, puedes ajustar el intervalo de tiempo en la ventana de la derecha. El rango máximo es de 90 días. Si restableces el intervalo de tiempo, también se restablecerá el gráfico a su estado original. La actualización del intervalo de tiempo borra el gráfico de los nodos adicionales y lo restablece a su estado original.

Para volver a colocar los nodos en la posición predeterminada, haz clic en Actualizar.

Consulta el contexto de la alerta

La sección Contexto de la alerta contiene una lista de valores que proporcionan contexto adicional sobre la alerta.

El contexto de alertas tiene una columna Type que te indica qué parte de la regla generó la alerta que seleccionaste: resultado o coincidencia. La siguiente columna se denomina Variable. Estos nombres de variables se basan en los nombres de las variables de coincidencia y de resultado definidas en la regla. Por último, la columna del extremo derecho es Campo de UDM. Las variables que tienen un campo de UDM también están vinculadas en la columna Valores.

Además de los campos de UDM que se enumeran en la sección Antes de comenzar, los siguientes campos de UDM también están vinculados a la página de búsqueda de UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Los sustantivos de UDM específicos asociados con estos campos son principal, target, src, observer, intermediary y about. Si haces clic en un valor, se activa una búsqueda de UDM, que pasa el valor junto con el intervalo de tiempo del día anterior.

En el ejemplo de regla YARA-L que aparece en la sección Antes de comenzar, los siguientes campos de UDM se vincularán a la página de búsqueda de UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Ver historial de alertas

La pestaña Historial de alertas te permite ver un historial completo de todas las acciones que se realizaron en relación con esta alerta. Incluye lo siguiente:

  • Cuándo apareció la alerta por primera vez
  • Notas que dejaron los miembros de tu equipo sobre esta alerta
  • Si la gravedad cambió
  • Si se cambió la prioridad
  • Si la alerta se cerró

Alertas de Chronicle SOAR

Las alertas de Chronicle SOAR incluyen información adicional sobre el caso de Chronicle SOAR. Estas alertas también proporcionan un vínculo para abrir el caso en Chronicle SOAR. Para obtener más información, consulta la Descripción general de los casos de Chronicle SOAR.

Alerta sobre el caso de Chronicle SOAR

Alerta del caso de Chronicle SOAR