使用 Google Security Operations 查看提醒

本指南介绍了如何使用 Google 安全运营中心调查提醒。

什么是提醒?

提醒Google 安全运营团队标记的失陷指标 (IOC),它表明企业内流量的正常工作流存在异常情况。您应该调查提醒,因为可能违反了安全规定。

提醒如何将提醒发送到 Google Security Operations?

Google Security Operations 会充分利用安全部门内的各种外部来源 并持续更新社区。Google Security Operations 还具有功能丰富的编程语言 YARA-L,因此您可以制定自己的自定义规则。

如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言概览。如需详细了解规则,请参阅使用规则编辑器管理规则

准备工作

您可以从贵公司的 Google Security Operations 实例或 Google Security Operations 演示环境中的链接。

Google Security Operations 专门用于 Google Chrome 或 Mozilla Firefox 浏览器。

Google 建议您将浏览器升级到最新版本。您可以从 https://www.google.com/chrome/ 下载最新版本的 Chrome。

Google Security Operations 已集成到您的单点登录解决方案 (SSO) 中。您可以使用企业提供的凭据登录 Google Security Operations。

  1. 启动 Chrome 或 Firefox。

  2. 确保您有权访问公司账号。

  3. 访问 Google Security Operations 应用,其中 customer_subdomain 是客户专有的标识符,请导航到: https://customer_subdomain.backstory.chronicle.security.

查看提醒和 IOC 匹配项

在导航栏中,依次选择检测 > 提醒和入侵检测对象

系统会显示“提醒”和“IOC 匹配”标签页。您可能需要调整时间 范围,以显示比赛和提醒。

切换到“资产”视图

接下来,展开细目至可能已遭遇入侵的特定资产。

  1. 在“IOC 匹配”标签中,点击一个域名以打开“域名”视图。

  2. 选择“时间轴”标签页。

  3. 如需切换到“资产”视图,请点击相应事件的时间来选择该事件。“资产”视图会在提醒触发器的时间轴周围显示所选资产的详细信息,如下图所示。

    “资产”视图 “资产”视图

    主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些普及率较低的事件会被视为可疑事件。使用右上方的“时间”滑块,可放大到需要调查的事件。

  4. 如果未显示“过程过滤”菜单,请点击“过滤器”图标 “过滤条件”图标(右上角附近)将其打开。

  5. 调整菜单顶部的普及率滑块,以滤除常见事件。使用“时间”和“普及率”滑块识别可疑事件。

  6. 通过“时间轴”边栏列表打开提醒。在左侧面板中,选择“时间轴”标签页,其中显示提醒周围的事件。触发事件会以绿色突出显示。

调查触发提醒的原因

您可以通过几种方式来更深入地了解触发事件。

  • 在中间面板中,橙色对话框可能会显示一个小橙色三角形,表示提醒的位置(时间)。如果未显示对话框,将鼠标悬停在三角形上即可显示。该对话框会显示提醒的日期、时间和说明。

  • “资产”视图中的左侧面板显示“时间轴”标签页。如果该事件带有“规则提醒”标签,也会显示提醒说明。

  • 将鼠标悬停在“规则提醒”事件上时,事件右侧会显示一个“展开”图标 “展开事件”图标。点击此图标将打开一个新窗口,其中包含 UDM 格式的事件详细信息,如下图所示。

    事件详细信息 事件详细信息