使用 Google Security Operations 查看快訊
什麼是快訊?
快訊是入侵指標 (IOC),由 Google Security Operations 標記,表示企業內部流量的正常工作流程出現異常。 您應將警示視為可能的安全漏洞,並進行調查。
警報如何傳送至 Google Security Operations?
Google Security Operations 會使用持續更新的業界資料庫,從安全社群中的各種外部來源汲取資訊。Google Security Operations 也提供功能豐富的程式設計語言 YARA-L,方便您自行制定自訂規則。
如要進一步瞭解 YARA-L,請參閱「YARA-L 2.0 語言總覽」。如要進一步瞭解規則,請參閱「使用規則編輯器管理規則」。
事前準備
您可以從貴公司的 Google Security Operations 執行個體或 Google Security Operations 試用環境執行這些步驟。
Google Security Operations 僅支援 Google Chrome 或 Mozilla Firefox 瀏覽器。
Google 建議您將瀏覽器升級至最新版本。您可以前往 https://www.google.com/chrome/ 下載最新版 Chrome。
Google SecOps 已整合至單一登入 (SSO) 解決方案。 您可以使用企業提供的憑證登入 Google SecOps。
啟動 Chrome 或 Firefox。
確認你可以存取公司帳戶。
如要存取 Google SecOps 應用程式 (其中 customer_subdomain 是客戶專屬 ID),請前往:https://customer_subdomain.backstory.chronicle.security。
查看快訊和 IOC 比對結果
在導覽列中,依序選取「偵測」>「快訊和 IOC」。
系統會顯示「快訊」和「IOC 相符項目」分頁。您可能需要使用右上方的日曆控制項調整時間範圍,才能查看相符項目和快訊。
切換至資產檢視畫面
接著,深入瞭解可能遭入侵的特定資產。
在「IOC Matches」分頁中,按一下網域即可開啟「Domain view」。
選取「時間軸」分頁標籤。
如要切換至「資產」檢視畫面,請點選事件的時間來選取事件。素材資源檢視畫面會顯示所選素材資源在快訊觸發時間軸前後的詳細資料,如下圖所示。
資產檢視畫面主視窗中的泡泡代表素材資源的普遍程度。圖表會將發生頻率較低的事件排在頂端。系統會將這些低盛行率事件視為可疑事件。使用右上方的時間滑桿,放大需要調查的事件。
如果沒有看到「程序化篩選」選單,請點選右上角附近的「篩選」圖示
開啟選單。在選單頂端調整「普遍程度」滑桿,即可篩除常見事件。使用「時間」和「普遍程度」滑桿,找出可疑事件。
從「時間軸」側欄清單開啟快訊。在左側面板中,選取「時間軸」分頁,系統會顯示警報前後發生的事件。觸發事件會以綠色醒目顯示。
調查觸發快訊的原因
您可以透過多種方式進一步瞭解觸發事件。
中間面板可能會在小型橘色三角形上方顯示橘色對話方塊,指出快訊的時間位置。如果沒有顯示對話方塊,只要將游標懸停在三角形上,對話方塊就會出現。對話方塊會顯示快訊的日期、時間和說明。
資產檢視畫面左側面板會顯示「時間軸」分頁。如果事件標示為「規則快訊」,也會附上快訊說明。
將游標懸停在「規則快訊」事件上,事件右側會顯示「展開」圖示
。按一下這個圖示會開啟新視窗,當中以 UDM 格式顯示活動的詳細資料,如下圖所示。
活動詳細資料
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。