Analisar um alerta usando as Operações de segurança do Google

Este guia mostra como investigar um alerta usando o Google Security Operations.

O que é um alerta?

Um alerta é um indicador de comprometimento (IOC, na sigla em inglês), sinalizado pelo Google Security Operations, que indica uma anomalia no fluxo de trabalho normal do tráfego na empresa. Investigue os alertas como uma possível violação de segurança.

Como os alertas chegam ao Google Security Operations?

As Operações de segurança do Google acessam várias fontes externas dentro do comunidade usando bancos de dados de todo o setor atualizados continuamente. O Google Security Operations também tem uma linguagem de programação rica em recursos, a YARA-L, para que você possa criar suas próprias regras personalizadas.

Para mais informações sobre a YARA-L, consulte a Visão geral da linguagem YARA-L 2.0. Para mais informações sobre regras, consulte Gerenciar regras usando o Editor de regras.

Antes de começar

É possível executar essas etapas na instância de Operações de segurança do Google da sua empresa ou do ambiente de demonstração das Operações de segurança do Google.

O Google Security Operations foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais recente. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Google Security Operations é integrado à sua solução de logon único (SSO). Você pode fazer login nas operações de segurança do Google usando as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Google Security Operations, em que customer_subdomain é o identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.

Exibir alertas e correspondências de IOC

Na barra de navegação, selecione Detecção > Alertas e IOCs (em inglês).

As guias Alertas e Correspondências de IOC são exibidas. Talvez seja necessário ajustar o horário usando o controle de calendário no canto superior direito para que correspondências e alertas sejam exibidos.

Alternar para a visualização de recursos

Em seguida, acesse um recurso específico que pode ter sido comprometido.

  1. Na guia "IOC Matches", clique em um domínio para abrir a visualização "Domain".

  2. Selecione a guia Linha do tempo.

  3. Para alternar para a visualização de recursos, selecione um evento clicando no horário dele. A visualização "Recursos" mostra detalhes do recurso selecionado na linha do tempo do acionador de alertas, conforme mostrado na figura a seguir.

    Visualização dos recursos Visualização de recursos

    Os balões na janela principal representam a prevalência do recurso. O gráfico é organizado para que os eventos que ocorrem com menos frequência fiquem na parte de cima. Esses eventos de baixa prevalência são considerados suspeitos. Use o controle deslizante de tempo no canto superior direito para ampliar os eventos que precisam de investigação.

  4. Se o menu "Filtragem de procedimentos" não estiver visível, clique no ícone Filtro Ícone de filtro (próximo ao canto superior direito) para abri-lo.

  5. Na parte de cima do menu, ajuste o controle deslizante Prevalência para filtrar eventos comuns. Usar os controles deslizantes "Tempo" e "Prevalência" para identificar eventos suspeitos.

  6. Abra o alerta na lista da barra lateral da linha do tempo. No painel esquerdo, selecione a guia Linha do tempo que exibe os eventos que ocorrem ao redor do alerta. O evento acionador é destacado em verde.

Investigar o que acionou o alerta

Há várias maneiras de receber mais insights sobre o evento acionado.

  • No painel do meio, uma caixa de diálogo laranja pode aparecer acima de um pequeno triângulo laranja indicando o local, no tempo, do alerta. Se a caixa de diálogo não for exibida, passe o cursor sobre o triângulo para que ele apareça. A caixa de diálogo contém a data, a hora e a descrição do alerta.

  • O painel esquerdo na visualização "Recursos" mostra a guia "Linha do tempo". Se o evento for rotulado como Alerta de regra, ele também vai mencionar uma descrição do alerta.

  • Passar o cursor sobre o evento Alerta de regra faz com que um ícone de expansão Ícone "Expandir evento" apareça à direita do evento. Ao clicar nesse ícone, uma nova janela será aberta com mais detalhes sobre o evento no formato UDM, como mostrado na figura a seguir.

    Detalhes do evento Detalhes do evento