使用 Google Security Operations 查看提醒
本指南介绍了如何使用 Google 安全运营中心调查提醒。
什么是提醒?
提醒是 Google 安全运营团队标记的失陷指标 (IOC),它表明企业内流量的正常工作流存在异常情况。您应该调查提醒,因为可能违反了安全规定。
提醒如何将提醒发送到 Google Security Operations?
Google Security Operations 会充分利用安全部门内的各种外部来源 并持续更新社区。Google Security Operations 还具有功能丰富的编程语言 YARA-L,因此您可以制定自己的自定义规则。
如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言概览。如需详细了解规则,请参阅使用规则编辑器管理规则。
准备工作
您可以从贵公司的 Google Security Operations 实例或 Google Security Operations 演示环境中的链接。
Google Security Operations 专门用于 Google Chrome 或 Mozilla Firefox 浏览器。
Google 建议您将浏览器升级到最新版本。您可以从 https://www.google.com/chrome/ 下载最新版本的 Chrome。
Google Security Operations 已集成到您的单点登录解决方案 (SSO) 中。您可以使用企业提供的凭据登录 Google Security Operations。
启动 Chrome 或 Firefox。
确保您有权访问公司账号。
访问 Google Security Operations 应用,其中 customer_subdomain 是客户专有的标识符,请导航到: https://customer_subdomain.backstory.chronicle.security.
查看提醒和 IOC 匹配项
在导航栏中,依次选择检测 > 提醒和入侵检测对象。
系统会显示“提醒”和“IOC 匹配”标签页。您可能需要调整时间 范围,以显示比赛和提醒。
切换到“资产”视图
接下来,展开细目至可能已遭遇入侵的特定资产。
在“IOC 匹配”标签中,点击一个域名以打开“域名”视图。
选择“时间轴”标签页。
如需切换到“资产”视图,请点击相应事件的时间来选择该事件。“资产”视图会在提醒触发器的时间轴周围显示所选资产的详细信息,如下图所示。
“资产”视图
主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些普及率较低的事件会被视为可疑事件。使用右上方的“时间”滑块,可放大到需要调查的事件。
如果未显示“过程过滤”菜单,请点击“过滤器”图标 (右上角附近)将其打开。
调整菜单顶部的普及率滑块,以滤除常见事件。使用“时间”和“普及率”滑块识别可疑事件。
通过“时间轴”边栏列表打开提醒。在左侧面板中,选择“时间轴”标签页,其中显示提醒周围的事件。触发事件会以绿色突出显示。
调查触发提醒的原因
您可以通过几种方式来更深入地了解触发事件。
在中间面板中,橙色对话框可能会显示一个小橙色三角形,表示提醒的位置(时间)。如果未显示对话框,将鼠标悬停在三角形上即可显示。该对话框会显示提醒的日期、时间和说明。
“资产”视图中的左侧面板显示“时间轴”标签页。如果该事件带有“规则提醒”标签,也会显示提醒说明。
将鼠标悬停在“规则提醒”事件上时,事件右侧会显示一个“展开”图标 。点击此图标将打开一个新窗口,其中包含 UDM 格式的事件详细信息,如下图所示。
事件详细信息