Esamina i potenziali problemi di sicurezza con Google Security Operations

Questo documento descrive come eseguire ricerche quando si esaminano gli avvisi e i potenziali problemi di sicurezza utilizzando Google Security Operations.

Prima di iniziare

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome all'indirizzo https://www.google.com/chrome/.

Google Security Operations è integrato nella soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è l'identificatore specifico per il cliente, vai all'indirizzo: https://customer_subdomain.backstory.chronicle.security.

Visualizzazione di avvisi e corrispondenze IOC

  1. Nella barra di navigazione, seleziona Rilevamenti > Avvisi e IOC.

  2. Fai clic sulla scheda Corrispondenze IOC.

Ricerca di corrispondenze IOC nella visualizzazione Dominio

La colonna Dominio nella scheda Corrispondenze dominio IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, viene aperta la visualizzazione Dominio, come mostrato nella figura seguente, che fornisce informazioni dettagliate su questo dominio.

Visualizzazione dominio Visualizzazione Dominio

Ricerca tramite la visualizzazione Utente

Per accedere alla visualizzazione Utente, segui questi passaggi:

  1. Nella visualizzazione Approfondimenti di Enterprise, la sezione Avvisi recenti contiene una colonna in cui sono elencati gli utenti che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Approfondimenti di Google Enterprise. È possibile regolare questo intervallo di tempo usando la barra del cursore. Potresti dover aumentare l'intervallo di tempo usando il cursore per visualizzare corrispondenze e avvisi.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli sull'attività dell'utente, che potrebbero essere necessari per esaminare ulteriormente la minaccia.

Ricerca con la visualizzazione Asset

Per accedere alla vista Asset, segui questi passaggi:

  1. Nella visualizzazione Approfondimenti di Enterprise, la sezione Avvisi recenti contiene un elenco degli asset che hanno attivato un avviso nell'intervallo di tempo indicato nell'intestazione Approfondimenti di Enterprise. È possibile regolare questo intervallo di tempo usando la barra del cursore. Potresti dover aumentare l'intervallo di tempo usando il cursore per visualizzare corrispondenze e avvisi.

  2. Fai clic sull'asset che vuoi esplorare ulteriormente. Google Security Operations passa alla vista Asset, come mostrato nella figura che segue.

    Visualizzazione asset

  3. I fumetti nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano con minore frequenza siano in alto. Questi eventi a bassa prevalenza sono considerati più probabilmente sospetti. Per aumentare lo zoom sugli eventi che richiedono ulteriori indagini, utilizza il cursore dell'intervallo di tempo in alto a destra.

  4. Restringere ulteriormente la ricerca può essere eseguito utilizzando il filtro procedurale. Se il menu a discesa Filtro procedurale non è già aperto, fai clic sull'icona Icona filtro nell'angolo in alto a destra. Nella parte superiore del menu a discesa, usa il cursore Prevalenza per filtrare gli eventi normali e scegliere come target quelli più sospetti.

Utilizzo del campo di Google Security Operations Search

Avvia una ricerca direttamente dalla home page delle operazioni di sicurezza di Google, come illustrato nella figura che segue.

Campo di ricerca Campo Ricerca delle operazioni di sicurezza di Google

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la visualizzazione Dominio
 (ad es. plato.example.com)
  • Per il dominio viene visualizzata la visualizzazione Dominio
 (ad es. altostrat.com)
  • L'indirizzo IP mostra la visualizzazione Indirizzo IP
 (ad esempio, 192.168.254.15)
  • L'URL mostra la visualizzazione Dominio
 (ad esempio, https://new.altostrat.com)
  • Il nome utente mostra la vista Asset
 (ad es. betty-decaro-pc)
  • Hash del file visualizza la visualizzazione Hash
 (ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non è necessario specificare il tipo di termine di ricerca che stai inserendo, Google Security Operations lo determina per te. I risultati vengono mostrati nella vista investigativa appropriata. Ad esempio, se si digita un nome utente nel campo di ricerca viene visualizzata la vista Asset.

Ricerca nei log non elaborati

Puoi eseguire la ricerca nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è più completa, ma richiede più tempo di una ricerca indicizzata.

Per individuare ulteriormente la ricerca, puoi utilizzare le espressioni regolari, rendere la voce di ricerca sensibile alle maiuscole o selezionare le origini log. Puoi anche selezionare la sequenza temporale utilizzando i campi relativi all'ora di inizio e di fine.

Per eseguire una ricerca nei log non elaborati, procedi nel seguente modo:

  1. Digita il termine di ricerca, quindi seleziona Scansione log non elaborata dal menu a discesa, come mostrato nella figura che segue.

    Menu Scansione log non elaborata Menu a discesa con l'opzione Scansione log non elaborata

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Dalla visualizzazione Scansione log non elaborati, puoi analizzare ulteriormente i dati dei log.