Menyelidiki pemberitahuan

Peringatan dikaitkan dengan data yang diidentifikasi sebagai ancaman oleh sistem keamanan Anda. Menyelidiki notifikasi memberi Anda konteks tentang notifikasi tersebut dan entitas terkait.

Saat Anda mengklik notifikasi, Anda akan diarahkan ke halaman yang berisi detail notifikasi yang diatur ke dalam tiga tab berikut:

  • Ringkasan: memberikan ringkasan detail penting tentang pemberitahuan, termasuk status pemberitahuan dan jendela deteksi.
  • Grafik: memvisualisasikan notifikasi yang dihasilkan dari aturan YARA-L. Class ini memberikan grafik hubungan pemberitahuan dengan entity lain. Saat pemberitahuan dipicu, entitas yang terkait dengan pemberitahuan akan ditampilkan di grafik dan di sisi kiri layar, masing-masing dengan kartunya sendiri. Grafik pemberitahuan menggunakan entity berikut dalam peristiwa UDM: principal, target, src, observer, intermediary, dan about.
  • Histori notifikasi: mencantumkan semua perubahan yang terjadi pada notifikasi ini, termasuk saat status notifikasi telah diubah atau catatan telah ditambahkan.

Di bawah grafik yang memvisualisasikan hubungan antara entity dan notifikasi, ada tiga subtab berikut yang memberikan konteks lebih lanjut tentang notifikasi:

  • Peristiwa: berisi detail tentang peristiwa yang terkait dengan notifikasi.
  • Entitas: berisi detail tentang setiap entitas yang terkait dengan notifikasi.
  • Konteks pemberitahuan: memberikan konteks tambahan tentang pemberitahuan.

Sebelum memulai

Untuk mengisi grafik pemberitahuan, Anda harus membuat aturan YARA-L yang menghasilkan pemberitahuan. Kualitas grafik pemberitahuan terikat dengan konteks yang disertakan dalam aturan YARA-L. Bagian hasil pada aturan memberikan konteks ke deteksi yang dipicu oleh aturan tersebut.

Sebaiknya tambahkan kata benda UDM berikut ke bagian hasil, karena digunakan dalam grafik pemberitahuan: principal, target, src, observer, intermediary, dan about. Untuk kata benda UDM ini, kolom berikut digunakan dalam grafik pemberitahuan:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Nilai dalam daftar kolom UDM sebelumnya juga ditautkan ke penelusuran UDM dari subtab Alert context. Untuk mengetahui informasi selengkapnya, buka Melihat konteks tentang pemberitahuan.

Dalam aturan YARA-L berikut, pemberitahuan akan dibuat saat sejumlah besar API layanan Google Cloud telah dinonaktifkan dalam jangka waktu singkat (1 jam).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Setelah pemberitahuan dibuat, Anda dapat membuka halaman Alert graph untuk mendapatkan konteks lebih lanjut tentang pemberitahuan tersebut dan menyelidikinya lebih lanjut.

Anda dapat mengakses Graph dari halaman Alerts and IOCs atau halaman UDM Search.

Mengakses Grafik pemberitahuan dari Alerts dan IOC

Halaman Alerts and Indicators of Compromise (IOC) memungkinkan Anda memfilter dan melihat semua peringatan dan IOC yang saat ini memengaruhi perusahaan Anda. Untuk mempelajari halaman ini lebih lanjut dan cara melihat kecocokan IOC, buka Melihat Pemberitahuan dan IOC.

Untuk melihat informasi lebih lanjut tentang pemberitahuan dari halaman Alerts dan IOC, selesaikan langkah-langkah berikut:

  1. Dari menu navigasi, klik Deteksi > Peringatan dan IOC.
  2. Temukan pemberitahuan yang ingin Anda selidiki di tabel pemberitahuan.
  3. Di baris pemberitahuan tersebut, klik teks di kolom nama untuk membuka Alert graph.
  1. Di bagian atas menu navigasi, pilih Telusuri.
  2. Muat penelusuran dengan Search Manager atau buat penelusuran baru. Pelajari lebih lanjut cara melakukan penelusuran di UDM dalam Penelusuran UDM.
    1. Tiga tab ditampilkan: Overview, Entity, dan Alerts. Klik Alerts.
  3. Klik pemberitahuan yang ingin diselidiki. Penampil Notifikasi ditampilkan.
  4. Klik Lihat detail untuk membuka Tampilan notifikasi.
  5. Klik tab Grafik untuk menampilkan Grafik pemberitahuan.

Melihat detail tentang notifikasi

Dalam tampilan Pemberitahuan, tab Ringkasan menampilkan informasi berikut terkait pemberitahuan tersebut:

  • Detail Pemberitahuan: Status pemberitahuan, tanggal pembuatan, tingkat keparahan, prioritas, dan skor risiko.
  • Ringkasan Deteksi: Aturan deteksi yang menghasilkan notifikasi. Anda dapat melihat pemberitahuan lain dari aturan deteksi yang sama.
  • Peristiwa: Peristiwa yang terkait dengan notifikasi ini.

Selain melihat informasi penting, Anda dapat menyesuaikan status pemberitahuan.

Mengubah status notifikasi

  1. Klik Ubah status notifikasi di pojok kanan atas.
  2. Di jendela yang muncul, perbarui tingkat keparahan dan prioritas sebagaimana mestinya.
  3. Klik Save.

Tutup notifikasi

  1. Klik Tutup notifikasi.
  2. Di jendela yang muncul, Anda memiliki opsi untuk meninggalkan catatan guna menambahkan konteks lainnya tentang alasan Anda menutup pemberitahuan.
  3. Masukkan informasi Anda, lalu tekan Simpan.

Melihat hubungan entity

Grafik menunjukkan cara berbagai pemberitahuan dan entitas terhubung. Fitur ini memberi Anda grafik visual dan interaktif yang dapat digunakan untuk memperluas informasi hubungan tentang entity yang ada guna menampilkan hubungan yang tidak diketahui. Anda juga dapat memperluas penelusuran dengan meningkatkan rentang waktu dan memperluas pemberitahuan point-in-time terdahulu untuk jalur pemberitahuan yang lebih lengkap.

Anda juga dapat meluaskan penelusuran dengan mengklik ikon + di sisi kanan atas node mana pun. Tindakan ini akan menampilkan semua node yang terkait dengan entity tersebut.

Ikon grafik

Entitas yang berbeda diwakili oleh ikon yang berbeda.

Ikon Entitas yang diwakili ikon Penjelasan
Pengguna Pengguna adalah orang atau entitas lain yang meminta akses ke dan menggunakan informasi dari jaringan Anda. Contoh: janedoe, cloudysanfrancisco@gmail.com
database Resource Resource adalah istilah umum untuk entity yang memiliki nama resource uniknya sendiri. Contoh: Tabel, database, dan project BigQuery.
Alamat IP
deskripsi File
Nama domain
URL
device_unknown Jenis entitas tidak diketahui Jenis entitas yang tidak dikenali oleh software Chronicle.
memori Aset Aset adalah segala sesuatu yang menghasilkan nilai bagi organisasi Anda. Informasi ini dapat mencakup nama host, alamat MAC, dan alamat IP internal. Contoh: 10.120.89.92 (alamat IP internal), 00:53:00:4a:56:07 (Alamat MAC)

Jika dua pemberitahuan atau lebih berasal dari aturan yang sama, pemberitahuan tersebut akan dikelompokkan dalam ikon grup. Indikator yang mewakili entity yang sama digabungkan ke dalam satu ikon.

Untuk mempelajari lebih lanjut setiap ikon ini, tinjau dokumen berikut:

Saat Anda mengklik Alert graph, grafik akan menampilkan semua hasil 12 jam sebelum dan sesudah pemberitahuan. Jika tidak ada entity untuk pemberitahuan, hanya pemberitahuan asli yang akan muncul pada grafik.

Pemberitahuan utama ditandai dalam lingkaran merah. Notifikasi terhubung ke entitas dengan garis solid dan notifikasi lainnya dengan garis putus-putus. Jika Anda mengarahkan pointer pada tepi (garis yang menghubungkan dua node), Anda akan melihat variabel hasil atau variabel pencocokan yang menghubungkannya ke node pada grafik.

Di sisi kiri, terdapat kartu untuk setiap node yang menyertakan detail tentang aturan terkait, jendela deteksi, tingkat keparahan dan status prioritas, serta lainnya.

Tepat di atas grafik terdapat tombol berlabel Opsi grafik. Saat Anda mengklik Graph options, dua opsi akan muncul: Non-alerting detections dan Risk Score. Keduanya diaktifkan secara default dan dapat diaktifkan atau dinonaktifkan berdasarkan preferensi Anda.

Untuk memindahkan node, cukup tarik node di sekitar grafik. Saat Anda melepaskan node, node akan disematkan di tempat Anda meninggalkannya hingga Anda mengklik Refresh.

Menambahkan dan menghapus node

Jika Anda mengklik node, tabel akan muncul di bagian bawah layar. Anda dapat melakukan tindakan berikut pada setiap node:

Pemberitahuan

  • Lihat entitas, notifikasi, dan acara terkait
  • Lihat hasil dan kecocokan dari pemberitahuan
  • Hapus subgrafik
  • Menambahkan atau menghapus entity dan pemberitahuan terkait dari grafik dengan mencentang kotak di kolom On Graph

Entity

  • Lihat semua notifikasi terkait
  • Hapus subgrafik
  • Tambahkan atau hapus pemberitahuan terkait dari grafik dengan mencentang atau menghapus centang pada kotak di kolom On Graph

Group

  • Lihat semua entitas atau notifikasi yang membentuk grup tersebut
  • Pisahkan masing-masing node dengan mengklik On Graph pada tabel di bagian bawah halaman.

Untuk menambahkan atau menghapus skor risiko dari node, centang atau hapus centang kotak Risk Score di atas tabel.

Luaskan grafik pemberitahuan

Untuk melihat node terkait lainnya, klik ikon + di bagian bawah pemberitahuan. Entitas dan notifikasi yang terkait dengan ikon yang Anda pilih akan muncul. Setiap pemberitahuan baru memiliki kartu di samping yang berisi detail lebih lanjut.

Reset grafik

Jika ingin menghapus grafik, Anda dapat menyesuaikan rentang waktu di jendela sebelah kanan. Rentang maksimum adalah 90 hari. Mereset rentang waktu juga akan mereset grafik ke status aslinya. Memperbarui rentang waktu akan menghapus grafik dari node tambahan dan mereset grafik ke status aslinya.

Untuk memindahkan node kembali ke posisi default, klik refresh.

Melihat konteks tentang pemberitahuan

Bagian Alert context berisi daftar nilai yang memberikan konteks tambahan tentang pemberitahuan.

Konteks pemberitahuan memiliki kolom Jenis yang memberi tahu Anda bagian aturan mana yang menghasilkan pemberitahuan yang Anda pilih—hasil atau kecocokan. Kolom berikutnya disebut Variabel. Nama variabel ini didasarkan pada nama variabel kecocokan dan hasil yang ditentukan dalam aturan. Terakhir, kolom paling kanan adalah Kolom UDM. Variabel yang mencantumkan kolom UDM juga ditautkan di kolom Nilai.

Selain kolom UDM yang tercantum di bagian Sebelum memulai, kolom UDM berikut juga ditautkan ke halaman penelusuran UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Kata benda UDM spesifik yang terkait dengan kolom ini adalah principal, target, src, observer, intermediary, dan about. Jika Anda mengklik nilai, penelusuran UDM akan dipicu, yang meneruskan nilai tersebut bersama rentang waktu dalam satu hari terakhir.

Pada contoh aturan YARA-L yang ditampilkan di bagian Sebelum memulai, kolom UDM berikut akan ditautkan ke halaman penelusuran UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Melihat histori notifikasi

Tab Alert History memungkinkan Anda melihat histori lengkap semua tindakan yang telah dilakukan untuk notifikasi ini. Hal ini mencakup:

  • Kapan peringatan pertama kali muncul
  • Catatan apa pun yang dibuat oleh anggota tim Anda tentang notifikasi ini
  • Jika tingkat keparahan telah berubah
  • Jika prioritas telah diubah
  • Jika pemberitahuan telah ditutup

Pemberitahuan dari Chronicle SOAR

Pemberitahuan dari Chronicle SOAR menyertakan informasi tambahan tentang kasus Chronicle SOAR. Pemberitahuan ini juga menyediakan link untuk membuka kasus di Chronicle SOAR. Untuk mengetahui informasi selengkapnya, lihat ringkasan kasus SOAR Chronicle.

Pemberitahuan untuk kasus Chronicle SOAR

Peringatan untuk kasus Chronicle SOAR