Benachrichtigung mit Google Security Operations prüfen

In diesem Leitfaden erfahren Sie, wie Sie eine Benachrichtigung mit Google Security Operations untersuchen.

Was ist eine Benachrichtigung?

Eine Warnung ist ein Indicator of Compromise (IOC), ein Indikator für Manipulationen, der von Google Security Operations gemeldet wird. Dies weist auf eine Anomalie im normalen Workflow des Traffics innerhalb des Unternehmens hin. Sie sollten Warnmeldungen prüfen, da es sich um einen möglichen Sicherheitsverstoß handelt.

Wie werden Benachrichtigungen an Google Security Operations gesendet?

Google Security Operations greift auf verschiedene externe Quellen innerhalb des Sicherheitsbereichs zu mithilfe branchenweiter aktualisierter Datenbanken. Google Security Operations verfügt außerdem über eine funktionsreiche Programmiersprache, YARA-L, sodass Sie eigene benutzerdefinierte Regeln erstellen können.

Weitere Informationen zu YARA-L finden Sie unter Übersicht über die Sprache YARA-L 2.0. Weitere Informationen zu Regeln finden Sie unter Regeln mit dem Regeleditor verwalten.

Hinweise

Sie können diese Schritte über die Google Security Operations-Instanz Ihres Unternehmens oder aus der Google Security Operations-Demoumgebung.

Google Security Operations ist ausschließlich für die Browser Google Chrome oder Mozilla Firefox konzipiert.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die aktuelle Version von Chrome unter https://www.google.com/chrome/ herunterladen.

Google Security Operations ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Stellen Sie sicher, dass Sie Zugriff auf Ihr Unternehmenskonto haben.

  3. Für den Zugriff auf die Google Security Operations-Anwendung, wobei customer_subdomain Ihre kundenspezifische Kennung ist, rufen Sie folgende Seite auf: https://customer_subdomain.backstory.chronicle.security.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

Wählen Sie in der Navigationsleiste Erkennung > Benachrichtigungen und IOCs.

Die Tabs „Benachrichtigungen“ und „IOC-Übereinstimmungen“ werden angezeigt. Möglicherweise musst du die Uhrzeit über die Kalendersteuerung oben rechts, um Übereinstimmungen und Benachrichtigungen anzuzeigen.

Zur Asset-Ansicht wechseln

Als Nächstes rufen Sie ein bestimmtes Asset auf, das möglicherweise manipuliert wurde.

  1. Klicken Sie auf dem Tab „IOC-Übereinstimmungen“ auf eine Domain, um die Domainansicht zu öffnen.

  2. Wählen Sie den Tab „Zeitachse“ aus.

  3. Wenn Sie zur Asset-Ansicht wechseln möchten, wählen Sie ein Ereignis aus, indem Sie auf die entsprechende Zeit klicken. In der Asset-Ansicht werden Details zum ausgewählten Asset entlang der Zeitachse des Triggers für Benachrichtigungen angezeigt, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht Asset-Ansicht

    Die Blasen im Hauptfenster stellen die Verbreitung des Assets dar. Die Grafik ist so angeordnet, dass seltener auftretende Ereignisse oben angezeigt werden. Diese Ereignisse mit geringer Häufigkeit gelten als verdächtig. Mit dem Schieberegler für die Zeit oben rechts können Sie Ereignisse heranzoomen, die untersucht werden müssen.

  4. Falls das Menü "Prozedurale Filterung" nicht angezeigt wird, öffnen Sie es, indem Sie oben rechts auf das Symbol Filter Filtersymbol klicken.

  5. Passen Sie oben im Menü den Schieberegler Häufigkeit an, um häufige Ereignisse herauszufiltern. Mithilfe der Schieberegler für Zeit und Häufigkeit können Sie verdächtige Ereignisse identifizieren.

  6. Öffnen Sie die Benachrichtigung in der Seitenleiste der Zeitachse. Wählen Sie im linken Bereich den Tab „Zeitachse“ aus. Dort werden Ereignisse angezeigt, die in der Nähe der Benachrichtigung aufgetreten sind. Das auslösende Ereignis wird grün hervorgehoben.

Untersuchen, was die Benachrichtigung ausgelöst hat

Es gibt mehrere Möglichkeiten, mehr Einblick in das auslösende Ereignis zu erhalten.

  • Im mittleren Bereich wird möglicherweise ein orangefarbenes Dialogfeld über einem kleinen orangefarbenen Dreieck angezeigt, das den zeitlichen Verlauf der Benachrichtigung angibt. Wenn das Dialogfeld nicht angezeigt wird, erscheint es, wenn Sie den Mauszeiger über das Dreieck bewegen. Das Dialogfeld enthält das Datum, die Uhrzeit und eine Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht wird der Tab „Zeitachse“ angezeigt. Wenn das Ereignis als Regelnbenachrichtigung gekennzeichnet ist, wird auch eine Beschreibung der Benachrichtigung angezeigt.

  • Wenn Sie den Mauszeiger auf das Ereignis Regelbenachrichtigung bewegen, wird rechts neben dem Ereignis das Symbol Maximieren Symbol „Termin maximieren“ eingeblendet. Wenn Sie auf dieses Symbol klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet (siehe Abbildung unten).

    Ereignisdetails Termindetails