Menyelidiki pemberitahuan

Didukung di:

Notifikasi terkait dengan data yang diidentifikasi sebagai ancaman oleh sistem keamanan Anda. Investigasi pemberitahuan memberi Anda konteks tentang pemberitahuan dan entitas terkait.

Saat mengklik notifikasi, Anda akan diarahkan ke halaman yang berisi detail notifikasi yang diatur ke dalam tiga tab berikut:

  • Ringkasan: memberikan ringkasan detail penting tentang notifikasi, termasuk status notifikasi dan periode deteksi.
  • Grafik: memvisualisasikan pemberitahuan yang dihasilkan dari aturan YARA-L. Laporan ini memberikan grafik hubungan pemberitahuan dengan entitas lain. Saat pemberitahuan dipicu, entity yang terkait dengan pemberitahuan akan ditampilkan pada grafik dan di sisi kiri layar, masing-masing dengan kartunya sendiri. Grafik pemberitahuan menggunakan entity berikut dalam peristiwa UDM: principal, target, src, observer, intermediary, dan about.
  • Histori pemberitahuan: mencantumkan semua perubahan yang terjadi pada pemberitahuan ini, termasuk saat status pemberitahuan berubah atau catatan telah ditambahkan.

Di bawah grafik yang memvisualisasikan hubungan antara entity dan pemberitahuan adalah tiga subtab berikut yang memberikan lebih banyak konteks tentang pemberitahuan:

  • Peristiwa: berisi detail tentang peristiwa yang terkait dengan pemberitahuan.
  • Entity: berisi detail tentang setiap entity yang terkait dengan pemberitahuan.
  • Konteks pemberitahuan: memberikan konteks tambahan tentang pemberitahuan.

Sebelum memulai

Untuk mengisi grafik pemberitahuan, Anda perlu membuat aturan YARA-L yang menghasilkan pemberitahuan. Kualitas grafik pemberitahuan terikat dengan konteks yang di-build ke dalam aturan YARA-L. Bagian hasil aturan memberikan konteks ke deteksi yang dipicu oleh aturan.

Sebaiknya tambahkan kata benda UDM berikut ke bagian hasil, karena kata benda tersebut digunakan dalam grafik pemberitahuan: principal, target, src, observer, intermediary, dan about. Untuk kata benda UDM ini, kolom berikut digunakan dalam grafik pemberitahuan:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Nilai dalam daftar kolom UDM sebelumnya juga ditautkan ke penelusuran UDM dari subtab Konteks pemberitahuan. Untuk mengetahui informasi selengkapnya, lihat Melihat konteks tentang pemberitahuan.

Dalam aturan YARA-L berikut, pemberitahuan akan dibuat saat sejumlah besar Google Cloud API layanan telah dinonaktifkan dalam jangka waktu singkat (1 jam).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Setelah pemberitahuan dibuat, Anda dapat membuka halaman Alert graph untuk mendapatkan lebih banyak konteks tentang pemberitahuan dan menyelidikinya lebih lanjut.

Anda dapat mengakses Grafik dari halaman Notifikasi dan IOC atau halaman Penelusuran UDM.

Mengakses grafik Pemberitahuan dari Pemberitahuan dan IOC

Halaman Peringatan dan Indikator Gangguan (IOC) memungkinkan Anda memfilter dan melihat semua peringatan dan IOC yang saat ini memengaruhi perusahaan Anda. Untuk mempelajari halaman ini lebih lanjut dan cara melihat kecocokan IOC, buka Melihat Notifikasi dan IOC.

Untuk melihat informasi selengkapnya tentang pemberitahuan dari halaman Pemberitahuan dan IOC, selesaikan langkah-langkah berikut:

  1. Dari menu navigasi, klik Detections > Alerts and IOCs.
  2. Temukan pemberitahuan yang ingin Anda selidiki di tabel pemberitahuan.
  3. Di baris pemberitahuan tersebut, klik teks di kolom nama untuk membuka Grafik pemberitahuan.
  1. Di bagian atas menu navigasi, pilih Telusuri.
  2. Muat penelusuran dengan Pengelola Penelusuran atau buat penelusuran baru. Pelajari lebih lanjut cara melakukan penelusuran di UDM di Penelusuran UDM.
    1. Tiga tab ditampilkan: Ringkasan, Entitas, dan Notifikasi. Klik Notifikasi.
  3. Klik notifikasi yang ingin Anda selidiki. Penampil Pemberitahuan akan ditampilkan.
  4. Klik Lihat detail untuk membuka tampilan Notifikasi.
  5. Klik tab Grafik untuk menampilkan Grafik pemberitahuan.

Melihat detail tentang pemberitahuan

Dalam tampilan Notifikasi, tab Ringkasan menampilkan informasi berikut terkait pemberitahuan:

  • Detail Pemberitahuan: Status pemberitahuan, tanggal pembuatan, tingkat keparahan, prioritas, dan skor risiko.
  • Ringkasan Deteksi: Aturan deteksi yang menghasilkan pemberitahuan. Anda dapat melihat notifikasi lain dari aturan deteksi yang sama.
  • Peristiwa: Peristiwa yang terkait dengan pemberitahuan ini.

Selain melihat informasi penting, Anda dapat menyesuaikan status notifikasi.

Mengubah status pemberitahuan

  1. Klik Ubah status pemberitahuan di pojok kanan atas.
  2. Di jendela yang muncul, perbarui tingkat keparahan dan prioritas sesuai kebutuhan.
  3. Klik Simpan.

Tutup pemberitahuan

  1. Klik Tutup notifikasi.
  2. Di jendela yang muncul, Anda memiliki opsi untuk memberikan catatan guna menambahkan konteks lain tentang alasan Anda menutup pemberitahuan.
  3. Masukkan informasi Anda, lalu tekan Simpan.

Melihat hubungan entitas

Grafik menunjukkan cara berbagai pemberitahuan dan entitas terhubung. Fitur ini memberi Anda grafik visual interaktif yang dapat Anda gunakan untuk memperluas informasi hubungan tentang entitas yang ada untuk menampilkan hubungan yang tidak diketahui. Anda juga dapat memperluas penelusuran dengan meningkatkan rentang waktu dan memperluas pemberitahuan titik waktu sebelumnya untuk mendapatkan jalur pemberitahuan yang lebih lengkap.

Anda juga dapat memperluas penelusuran dengan mengklik ikon + di sisi kanan atas node mana pun. Tindakan ini akan menampilkan semua node yang terkait dengan entitas tersebut.

Ikon grafik

Berbagai entitas direpresentasikan oleh ikon yang berbeda.

Ikon Entitas yang diwakili ikon Penjelasan
Pengguna Pengguna adalah orang atau entitas lain yang meminta akses ke dan menggunakan informasi dari jaringan Anda. Contoh: janedoe, cloudysanfrancisco@gmail.com
database Resource Resource adalah istilah umum untuk entity yang memiliki nama resource unik sendiri. Contoh: Tabel, database, dan project BigQuery.
Alamat IP
description File
Nama domain
URL
device_unknown Jenis entitas tidak diketahui Jenis entitas yang tidak dikenali oleh software Google Security Operations.
memori Aset Aset adalah apa pun yang menghasilkan nilai bagi organisasi Anda. Hal ini dapat mencakup nama host, alamat MAC, dan alamat IP internal. Contoh: 10.120.89.92 (alamat IP internal), 00:53:00:4a:56:07 (alamat MAC)

Jika dua atau beberapa pemberitahuan berasal dari aturan yang sama, pemberitahuan tersebut akan dikelompokkan bersama dalam ikon grup. Indikator yang mewakili entitas yang sama digabungkan menjadi satu ikon.

Untuk mempelajari setiap ikon ini lebih lanjut, tinjau dokumen berikut:

Saat Anda mengklik Grafik pemberitahuan, grafik akan menampilkan semua hasil 12 jam sebelum dan setelah pemberitahuan. Jika tidak ada entitas untuk pemberitahuan, hanya pemberitahuan asli yang akan muncul di grafik.

Peringatan utama ditandai dengan lingkaran merah. Notifikasi terhubung ke entitas dengan garis solid dan notifikasi lainnya dengan garis putus-putus. Jika Anda menahan kursor di tepi (garis yang menghubungkan dua node), kursor akan menampilkan variabel hasil atau variabel kecocokan yang menghubungkannya ke node pada grafik.

Di sebelah kiri, terdapat kartu untuk setiap node yang menyertakan detail tentang aturan terkait, periode deteksi, status prioritas dan tingkat keparahan, dan lainnya.

Tepat di atas grafik terdapat tombol berlabel Opsi grafik. Saat Anda mengklik Opsi grafik, dua opsi akan muncul: Deteksi tanpa pemberitahuan dan Skor risiko. Keduanya diaktifkan secara default dan dapat diaktifkan atau dinonaktifkan berdasarkan preferensi Anda.

Untuk memindahkan node, cukup tarik node di sekitar grafik. Saat Anda melepaskan node, node akan disematkan di tempat Anda terakhir kali meletakkannya hingga Anda mengklik Refresh.

Menambahkan dan menghapus node

Jika Anda mengklik node, tabel akan muncul di bagian bawah layar. Anda dapat melakukan tindakan berikut di setiap node:

Pemberitahuan

  • Melihat entitas, pemberitahuan, dan peristiwa terkait
  • Melihat hasil dan kecocokan dari pemberitahuan
  • Menghapus subgrafik apa pun
  • Menambahkan atau menghapus entitas dan pemberitahuan terkait dari grafik dengan mencentang kotak di kolom Pada Grafik

Entity

  • Melihat semua notifikasi terkait
  • Menghapus subgrafik apa pun
  • Tambahkan atau hapus pemberitahuan terkait dari grafik dengan mencentang atau menghapus centang di kolom Pada Grafik

Group

  • Melihat semua entity atau pemberitahuan yang membentuk grup tersebut
  • Batalkan pengelompokan setiap node dengan mengklik Di Grafik pada tabel di bagian bawah halaman.

Untuk menambahkan atau menghapus skor risiko dari node, centang atau hapus centang kotak Skor Risiko di atas tabel.

Memperluas grafik pemberitahuan

Untuk melihat node terkait lainnya, klik ikon + di bagian bawah pemberitahuan. Entitas dan pemberitahuan yang terkait dengan ikon yang Anda pilih akan muncul. Setiap pemberitahuan baru memiliki kartu di sampingnya dengan detail selengkapnya.

Mereset grafik

Jika ingin menghapus grafik, Anda dapat menyesuaikan rentang waktu di jendela kanan. Rentang maksimumnya adalah 90 hari. Mereset rentang waktu juga akan mereset grafik ke status aslinya. Memperbarui rentang waktu akan menghapus node tambahan dari grafik dan mereset grafik ke status aslinya.

Untuk memindahkan node kembali ke posisi default, klik muat ulang.

Melihat konteks tentang pemberitahuan

Bagian Konteks pemberitahuan berisi daftar nilai yang memberikan konteks tambahan tentang pemberitahuan.

Konteks pemberitahuan memiliki kolom Jenis yang memberi tahu Anda bagian aturan mana yang menghasilkan pemberitahuan yang Anda pilih—hasil atau kecocokan. Kolom berikutnya disebut Variabel. Nama variabel ini didasarkan pada nama variabel pencocokan dan hasil yang ditentukan dalam aturan. Terakhir, kolom paling kanan adalah Bidang UDM. Variabel yang memiliki kolom UDM yang tercantum juga ditautkan di kolom Values.

Selain kolom UDM yang tercantum di bagian Sebelum memulai, kolom UDM berikut juga ditautkan ke halaman penelusuran UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Kata benda UDM tertentu yang terkait dengan kolom ini adalah principal, target, src, observer, intermediary, dan about . Jika Anda mengklik nilai, penelusuran UDM akan dipicu, yang meneruskan nilai beserta rentang waktu hari sebelumnya.

Dalam contoh aturan YARA-L yang ditampilkan di bagian Sebelum memulai, kolom UDM berikut akan ditautkan ke halaman penelusuran UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Melihat histori notifikasi

Tab Histori Notifikasi memungkinkan Anda melihat histori lengkap semua tindakan yang telah dilakukan untuk notifikasi ini. Hal ini mencakup:

  • Saat pemberitahuan pertama kali muncul
  • Catatan yang ditinggalkan anggota tim Anda tentang pemberitahuan ini
  • Jika tingkat keparahan telah berubah
  • Jika prioritas telah diubah
  • Jika pemberitahuan telah ditutup

Notifikasi dari Google Security Operations SOAR

Notifikasi dari Google Security Operations SOAR menyertakan informasi tambahan tentang kasus Google Security Operations SOAR. Notifikasi ini juga menyediakan link untuk membuka kasus di Google Security Operations SOAR. Untuk informasi selengkapnya, lihat ringkasan kasus SOAR Google Security Operations.

Pemberitahuan untuk kasus Google Security Operations SOAR

Notifikasi untuk kasus Google Security Operations SOAR

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.