Meninjau pemberitahuan menggunakan Google Security Operations

Didukung di:
Panduan ini menunjukkan cara menyelidiki pemberitahuan menggunakan Google Security Operations.

Apa yang dimaksud dengan pemberitahuan?

Notifikasi adalah Indikator Gangguan (IOC), yang ditandai oleh Google Security Operations, yang menunjukkan anomali dalam alur kerja traffic normal dalam perusahaan. Anda harus menyelidiki pemberitahuan sebagai kemungkinan pelanggaran keamanan.

Bagaimana cara pemberitahuan dikirim ke Google Security Operations?

Google Security Operations memanfaatkan berbagai sumber eksternal dalam komunitas keamanan menggunakan database di seluruh industri yang terus diperbarui. Google Security Operations juga memiliki bahasa pemrograman yang kaya fitur, YARA-L, sehingga Anda dapat membuat aturan kustom Anda sendiri.

Untuk informasi selengkapnya tentang YARA-L, lihat Ringkasan bahasa YARA-L 2.0. Untuk informasi selengkapnya tentang aturan, lihat Mengelola Aturan Menggunakan Editor Aturan.

Sebelum memulai

Anda dapat melakukan langkah-langkah ini dari instance Google Security Operations perusahaan atau dari lingkungan demo Google Security Operations.

Google Security Operations dirancang untuk berfungsi secara eksklusif dengan browser Google Chrome atau Mozilla Firefox.

Google merekomendasikan untuk mengupgrade browser Anda ke versi terbaru. Anda dapat mendownload Chrome versi terbaru dari https://www.google.com/chrome/.

Google Security Operations terintegrasi ke dalam solusi single sign-on (SSO) Anda. Anda dapat login ke Google Security Operations menggunakan kredensial yang disediakan oleh perusahaan Anda.

  1. Luncurkan Chrome atau Firefox.

  2. Pastikan Anda memiliki akses ke akun perusahaan.

  3. Untuk mengakses aplikasi Google Security Operations, dengan customer_subdomain adalah ID khusus pelanggan Anda, buka: https://customer_subdomain.backstory.chronicle.security.

Melihat Pemberitahuan dan Kecocokan IOC

Di menu navigasi, pilih Detection > Alerts and IOCs.

Tab Pemberitahuan dan Kecocokan IOC akan ditampilkan. Anda mungkin harus menyesuaikan rentang waktu menggunakan kontrol kalender di kanan atas agar kecocokan dan pemberitahuan muncul.

Beralih ke tampilan Aset

Selanjutnya, lihat perincian aset tertentu yang mungkin telah disusupi.

  1. Dari tab IOC Matches, klik domain untuk membuka tampilan Domain.

  2. Pilih tab Linimasa.

  3. Untuk beralih ke tampilan Aset, pilih peristiwa dengan mengklik waktunya. Tampilan aset menampilkan detail aset yang dipilih di sekitar linimasa pemicu pemberitahuan, seperti yang ditunjukkan pada gambar berikut.

    Tampilan Aset Tampilan aset

    Gelembung di jendela utama mewakili prevalensi aset. Grafik disusun sehingga peristiwa yang lebih jarang terjadi berada di bagian atas. Peristiwa dengan prevalensi rendah ini dianggap mencurigakan. Gunakan penggeser Waktu di kanan atas untuk memperbesar peristiwa yang memerlukan investigasi.

  4. Jika menu Pemfilteran Terstruktur tidak terlihat, buka dengan mengklik ikon Filter Ikon filter (di dekat sudut kanan atas).

  5. Di bagian atas menu, sesuaikan penggeser Prevalensi untuk memfilter peristiwa umum. Menggunakan penggeser Waktu dan Prevalensi, untuk mengidentifikasi peristiwa yang mencurigakan.

  6. Buka notifikasi dari daftar sidebar Linimasa. Di panel kiri, pilih tab Linimasa yang menampilkan peristiwa yang terjadi di sekitar pemberitahuan. Peristiwa pemicu ditandai dengan warna hijau.

Selidiki apa yang memicu notifikasi

Ada beberapa cara untuk mendapatkan lebih banyak insight tentang peristiwa pemicu.

  • Di panel tengah, kotak dialog oranye dapat muncul di atas segitiga oranye kecil yang menunjukkan lokasi, dalam waktu, pemberitahuan. Jika kotak dialog tidak ditampilkan, mengarahkan kursor ke segitiga akan membuatnya muncul. Dialog berisi tanggal, waktu, dan deskripsi pemberitahuan.

  • Panel kiri di tampilan Aset menampilkan tab Linimasa. Jika peristiwa diberi label Peringatan Aturan, peristiwa tersebut juga akan menyebutkan deskripsi peringatan.

  • Mengarahkan kursor ke peristiwa Pemberitahuan Aturan akan menyebabkan ikon Luaskan Ikon Luaskan Peristiwa muncul di sisi kanan peristiwa. Mengklik ikon ini akan membuka jendela baru dengan detail selengkapnya tentang peristiwa dalam format UDM, seperti yang ditunjukkan pada gambar berikut.

    Detail Acara Detail Acara

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.