Esta página foi traduzida pela API Cloud Translation.

Investigar um alerta

Os alertas estão vinculados a dados identificados como ameaças pelos seus sistemas de segurança. A investigação de alertas fornece contexto sobre o alerta e entidades relacionadas.

Ao clicar em um alerta, você é direcionado para uma página que contém detalhes do alerta organizados nestas três guias:

Visão geral: fornece um resumo de detalhes importantes sobre o alerta, incluindo o status e a janela de detecção.
Gráfico: visualiza alertas gerados com base em uma regra YARA-L. Ela fornece um gráfico da relação do alerta com outras entidades. Quando um alerta é acionado, as entidades associadas a ele são exibidas no gráfico e no lado esquerdo da tela, cada uma com um cartão próprio. O gráfico de alertas usa as seguintes entidades em um evento UDM: principal, target, src, observer, intermediary e about.
Histórico de alertas: lista todas as alterações feitas no alerta, inclusive quando o status de um alerta foi alterado ou uma observação foi adicionada.

Abaixo do gráfico que visualiza as relações entre as entidades e o alerta, há três guias que fornecem mais contexto sobre o alerta:

Eventos: contém detalhes sobre os eventos relacionados ao alerta.
Entidades: contém detalhes sobre cada entidade associada ao alerta.
Contexto do alerta: fornece mais contexto sobre o alerta.

Antes de começar

Para preencher o gráfico de alertas, você precisa criar uma regra YARA-L que gere alertas. A qualidade do gráfico de alertas está vinculada ao contexto integrado à regra YARA-L. A seção de resultado de uma regra fornece contexto para as detecções acionadas pela regra.

Recomendamos adicionar os seguintes substantivos do UDM à seção de resultados, porque eles são usados no gráfico de alerta: principal, target, src, observer, intermediary e about. Para esses substantivos no UDM, os campos a seguir são usados no gráfico de alertas:

artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid

Os valores na lista anterior de campos de UDM também estão vinculados à pesquisa de UDM na guia Contexto do alerta. Para mais informações, consulte Ver contexto do alerta.

Na regra YARA-L a seguir, um alerta é gerado quando um número significativo de APIs de serviço do Google Cloud é desativado em um curto período (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Depois que um alerta é gerado, navegue até a página Gráfico de alertas para saber mais sobre ele e investigá-lo mais a fundo.

Navegar até o gráfico de alertas

Acesse o Gráfico na página Alertas e IOCs ou na página Pesquisa do UDM.

Acessar o gráfico de alertas em Alertas e IOCs

A página Alertas e indicadores de comprometimento (IOC) permite filtrar e visualizar todos os alertas e IOCs que estão afetando sua empresa no momento. Para saber mais sobre essa página e como visualizar partidas do IOC, acesse Ver alertas e IOCs.

Para ver mais informações sobre um alerta na página "Alertas e IOCs", siga estas etapas:

Na barra de navegação, clique em Detecções > Alertas e IOCs.
Encontre o alerta que você quer investigar na tabela de alertas.
Na linha desse alerta, clique no texto na coluna "Nome" para abrir o Gráfico de alertas.

Acessar o gráfico de alertas na pesquisa do UDM

Na parte de cima da barra de navegação, selecione Pesquisar.
Carregue uma pesquisa com o Gerenciador de pesquisa ou crie uma. Saiba mais sobre como realizar uma pesquisa no UDM acessando a Pesquisa do UDM.
1. Três guias são exibidas: Visão geral, Entidade e Alertas. Clique em Alertas.
Clique no alerta que você quer investigar. O Visualizador de alertas será exibido.
Clique em Ver detalhes para abrir a visualização de alerta.
Clique na guia Graph para exibir o gráfico de alerta.

Mais detalhes de um alerta

Na visualização de alertas, a guia Visão geral exibe as seguintes informações sobre o alerta:

Detalhes do alerta: status, data de criação, gravidade, prioridade e pontuação de risco do alerta.
Resumo da detecção: regra de detecção que gerou o alerta. É possível visualizar outros alertas da mesma regra de detecção.
Eventos: são os eventos associados a este alerta.

Além de visualizar informações importantes, você pode ajustar o status do alerta.

Alterar o status do alerta

Clique em Alterar status do alerta no canto superior direito.
Na janela exibida, atualize os níveis de gravidade e prioridade.
Clique em Salvar.

Fechar o alerta

Clique em Fechar alerta.
Na janela exibida, você tem a opção de deixar uma observação para adicionar mais contexto sobre o motivo de fechar o alerta.
Insira suas informações e pressione Salvar.

Exibir relações de entidade

O Gráfico mostra como diferentes alertas e entidades estão conectados. Esse recurso oferece um gráfico visual e interativo que pode ser usado para expandir informações de relação sobre entidades existentes e mostrar relações desconhecidas. Também é possível expandir a pesquisa aumentando o intervalo de tempo e expandindo para outros alertas pontuais para caminhos de alerta mais completos.

Também é possível expandir a pesquisa clicando no ícone + no canto superior direito de qualquer nó. Isso faz com que todos os nós relacionados a essa entidade sejam exibidos.

Ícones de gráfico

Entidades diferentes são representadas por ícones distintos.

Icon	Entidade que o ícone representa	Explicação
	Usuário	Um usuário é uma pessoa ou outra entidade que usa e solicita acesso à sua rede. Exemplos: joanasilva, cloudysanfrancisco@gmail.com
banco de dados	Resource	Recursos são um termo genérico para entidades com um nome de recurso exclusivo. Exemplos: tabela, banco de dados e projeto do BigQuery.
	Endereço IP
descrição	Arquivo
	Nome de domínio
	URL
device_unknown	Tipo de entidade desconhecido	Um tipo de entidade não reconhecido pelo software de Operações de Segurança do Google.
memória	Recurso	Um recurso é qualquer coisa que produz valor para sua organização. Isso pode incluir nomes de host, endereços MAC e endereços IP internos. Exemplos: 10.120.89.92 (endereço IP interno), 00:53:00:4a:56:07 (endereço MAC)

Se dois ou mais alertas vierem da mesma regra, eles serão agrupados em um ícone de grupo. Os indicadores que representam a mesma entidade são consolidados em um ícone.

Para saber mais sobre cada um desses ícones, consulte os seguintes documentos:

Navegar pelo gráfico de alertas

Quando você clica em Gráfico de alerta, o gráfico mostra todos os resultados 12 horas antes e depois do alerta. Se não houver entidades para o alerta, somente o alerta original vai aparecer no gráfico.

O alerta principal está destacado em um círculo vermelho. Os alertas são conectados a entidades com uma linha sólida e outros alertas com uma linha pontilhada. Se você segurar o ponteiro sobre uma borda (a linha que conecta dois nós), ele mostra a variável de resultado ou de correspondência que a conecta a um nó no gráfico.

No lado esquerdo, há cards para cada nó que incluem detalhes sobre regras associadas, janelas de detecção, gravidade e status de prioridade, entre outros.

Diretamente acima do gráfico, há um botão chamado Graph options. Ao clicar em Opções de gráfico, duas opções são exibidas: Detecções sem alertas e Pontuação de risco. Ambas estão ativadas por padrão e podem ser ativadas ou desativadas de acordo com sua preferência.

Para mover os nós, basta arrastá-los ao redor do gráfico. Quando você solta o nó, ele fica fixado onde você o deixou até que você clique em Atualizar.

Adicionar e remover nós

Se você clicar em um nó, uma tabela será exibida na parte inferior da tela. É possível realizar as seguintes ações em cada nó:

Alerta

Mostrar entidades, alertas e eventos relacionados
Conferir resultados e correspondências do alerta
Remover qualquer subgráfico
Adicione ou remova entidades e alertas relacionados do gráfico marcando as caixas na coluna "No gráfico".

Entidade

Mostrar todos os alertas relacionados
Remover qualquer subgráfico
Adicione ou remova alertas relacionados do gráfico marcando ou desmarcando as caixas na coluna "No gráfico"

Grupo

Mostrar todas as entidades ou alertas que compõem esse grupo
Desagrupe nós individuais clicando em No gráfico na tabela na parte inferior da página.

Para adicionar ou remover a pontuação de risco dos nós, marque ou desmarque a caixa Risk Score acima da tabela.

Expandir o gráfico de alertas

Para ver mais nós relacionados, clique no ícone + na parte inferior do alerta. As entidades e alertas relacionados ao ícone selecionado vão aparecer. Cada novo alerta tem um cartão na lateral com mais detalhes.

Redefinir o gráfico

Se você quiser limpar o gráfico, ajuste o período na janela à direita. O período máximo é de 90 dias. Redefinir o intervalo de tempo também redefine o gráfico para o estado original. Atualizar o intervalo de tempo limpa o gráfico de nós adicionais e redefine o gráfico para o estado original.

Para mover os nós de volta à posição padrão, clique em atualizar.

Conferir contexto sobre o alerta

A seção Contexto do alerta contém uma lista de valores com mais contexto sobre o alerta.

O contexto do alerta tem uma coluna Tipo que informa qual parte da regra gerou o alerta selecionado: resultado ou correspondência. A próxima coluna é chamada de Variável. Esses nomes de variáveis são baseados nos nomes das variáveis de correspondência e resultado definidas na regra. Finalmente, a coluna à direita é UDM Field. As variáveis que têm um campo de UDM listado também são vinculadas na coluna Valores.

Além dos campos do UDM listados na seção Antes de começar, os seguintes campos do UDM também estão vinculados à página de pesquisa de UDM:

file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id

Os substantivos específicos do UDM associados a esses campos são principal, target, src, observer, intermediary e about. Se você clicar em um valor, uma pesquisa de UDM será acionada, transmitindo o valor com o período do dia anterior.

No exemplo de regra YARA-L apresentado na seção Antes de começar, os seguintes campos de UDM serão vinculados à página de pesquisa de UDM:

principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name

Ver o histórico de alertas

A guia Histórico de alertas mostra um histórico completo de todas as ações ocorridas em relação ao alerta. Isso inclui:

Quando o alerta apareceu pela primeira vez
As notas que as pessoas da sua equipe deixaram sobre este alerta
Se a gravidade tiver mudado
Se a prioridade tiver sido alterada
Se o alerta foi fechado

Alertas do SOAR de Operações de Segurança do Google

Os alertas do SOAR de Operações de Segurança do Google incluem informações adicionais sobre o caso do SOAR de Operações de Segurança do Google. Esses alertas também fornecem um link para abrir o caso no SOAR de Operações de Segurança do Google. Para mais informações, consulte a Visão geral dos casos do SOAR das Operações de Segurança do Google.

Alerta para o caso SOAR de Operações de Segurança do Google

Alerta para o caso SOAR das Operações de Segurança do Google