Esamina un avviso utilizzando Google Security Operations
Questa guida mostra come esaminare un avviso utilizzando Google Security Operations.
Che cos'è un avviso?
Un avviso è un indicatore di compromissione (IOC), segnalato da Google Security Operations, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Dovresti esaminare gli avvisi come possibili violazioni della sicurezza.
In che modo gli avvisi arrivano a Google Security Operations?
Google Security Operations attinge a varie fonti esterne all'interno del community che utilizza database a livello di settore aggiornati continuamente. Google Security Operations offre anche un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare le tue regole personalizzate.
Per ulteriori informazioni su YARA-L, consulta la panoramica del linguaggio YARA-L 2.0. Per ulteriori informazioni sulle regole, consulta Gestire le regole utilizzando l'editor delle regole.
Prima di iniziare
Puoi eseguire questi passaggi dall'istanza Google Security Operations della tua azienda o dall'ambiente demo di Google Security Operations.
Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.
Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome da https://www.google.com/chrome/.
Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.
Avvia Chrome o Firefox.
Assicurati di avere accesso al tuo account aziendale.
Per accedere all'applicazione Google Security Operations, dove customer_subdomain è l'identificatore specifico per il cliente, accedi a: https://customer_subdomain.backstory.chronicle.security.
Visualizza avvisi e corrispondenze IOC
Nella barra di navigazione, seleziona Rilevamento > Avvisi e indicatori di compromissione.
Vengono visualizzate le schede Avvisi e Corrispondenze IOC. Potresti dover regolare l'ora intervallo utilizzando il controllo del calendario in alto a destra per visualizzare corrispondenze e avvisi.
Pivot in visualizzazione Asset
Quindi, visualizza in dettaglio un particolare asset che potrebbe essere stato compromesso.
Nella scheda Corrispondenze IOC, fai clic su un dominio per aprire la visualizzazione Dominio.
Seleziona la scheda Timeline.
Per passare alla visualizzazione Asset, seleziona un evento facendo clic sulla relativa ora. La visualizzazione Asset mostra i dettagli dell'asset selezionato in base alla cronologia dell'attivatore di avviso, come mostrato nella figura seguente.
Visualizzazione asset
Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano nella parte superiore. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il dispositivo di scorrimento temporale in alto a destra per ingrandire gli eventi che richiedono un'indagine.
Se il menu Filtro procedura non è visibile, aprilo facendo clic sull'icona Filtro (nell'angolo in alto a destra).
Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizzo dei cursori Tempo e Prevalenza per identificare eventi sospetti.
Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline, in cui vengono visualizzati gli eventi che si verificano intorno all'avviso. L'evento di attivazione è evidenziato in verde.
Scopri cosa ha attivato l'avviso
Esistono diversi modi per ottenere informazioni più dettagliate sull'evento di attivazione.
Nel riquadro centrale, potrebbe essere visualizzata una finestra di dialogo arancione sopra un piccolo triangolo arancione che indica la posizione, nel tempo, dell'avviso. Se la finestra di dialogo non viene visualizzata, passa il mouse sopra il triangolo per visualizzarla. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.
Il riquadro di sinistra in Visualizzazione asset mostra la scheda Timeline. Se l'evento è etichettato come Avviso regola, verrà indicata anche una descrizione dell'avviso.
Quando passi il mouse sopra l'evento Avviso regola, sul lato destro dell'evento viene visualizzata l'icona Espandi . Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura seguente.
Dettagli dell'evento