Benachrichtigung mit Google Security Operations prüfen

Unterstützt in:
In diesem Leitfaden erfahren Sie, wie Sie eine Benachrichtigung mit Google Security Operations untersuchen.

Was ist eine Benachrichtigung?

Eine Benachrichtigung ist ein Indikator für eine Manipulation (Indicator of Compromise, IOC), der von Google Security Operations gemeldet wird und auf eine Anomalie im normalen Traffic-Workflow innerhalb des Unternehmens hinweist. Sie sollten Benachrichtigungen als möglichen Sicherheitsverstoß untersuchen.

Wie gelangen Benachrichtigungen an Google Security Operations?

Google Security Operations nutzt verschiedene externe Quellen aus der Sicherheitsbranche und verwendet branchenweite Datenbanken, die kontinuierlich aktualisiert werden. Google Security Operations bietet außerdem die funktionsreiche Programmiersprache YARA-L, mit der Sie eigene benutzerdefinierte Regeln erstellen können.

Weitere Informationen zu YARA-L finden Sie unter Übersicht über die Sprache YARA-L 2.0. Weitere Informationen zu Regeln finden Sie unter Regeln mit dem Rules Editor verwalten.

Hinweise

Sie können diese Schritte in der Google Security Operations-Instanz Ihres Unternehmens oder in der Google Security Operations-Demoumgebung ausführen.

Google Security Operations ist ausschließlich für die Browser Google Chrome oder Mozilla Firefox konzipiert.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die neueste Version von Chrome unter https://www.google.com/chrome/ herunterladen.

Google Security Operations ist in Ihre SSO-Lösung (Einmalanmeldung) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

  3. Rufen Sie die Google Security Operations-Anwendung unter https://customer_subdomain.backstory.chronicle.security auf, wobei customer_subdomain Ihre kundenspezifische Kennung ist.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

Wählen Sie in der Navigationsleiste Erkennung > Benachrichtigungen und IOCs aus.

Die Tabs „Benachrichtigungen“ und „IOC-Übereinstimmungen“ werden angezeigt. Möglicherweise müssen Sie den Zeitraum über das Kalendersteuerelement oben rechts anpassen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

Zur Asset-Ansicht wechseln

Rufen Sie als Nächstes ein bestimmtes Asset auf, das möglicherweise manipuliert wurde.

  1. Klicken Sie auf dem Tab „IOC-Übereinstimmungen“ auf eine Domain, um die Domainansicht zu öffnen.

  2. Wählen Sie den Tab „Zeitachse“ aus.

  3. Wenn Sie zur Asset-Ansicht wechseln möchten, wählen Sie ein Ereignis aus, indem Sie auf die Uhrzeit klicken. In der Asset-Ansicht werden Details zum ausgewählten Asset in der Zeitleiste des Benachrichtigungstriggers angezeigt, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht Asset-Ansicht

    Die Blasen im Hauptfenster stehen für die Verbreitung des Assets. Die Ereignisse, die seltener auftreten, werden oben im Diagramm dargestellt. Diese Ereignisse mit geringer Prävalenz gelten als verdächtig. Mit dem Schieberegler für die Zeit oben rechts können Sie Ereignisse, die untersucht werden müssen, heranzoomen.

  4. Wenn das Menü „Prozedurale Filterung“ nicht angezeigt wird, öffnen Sie es, indem Sie rechts oben auf das Symbol Filter Filtersymbol klicken.

  5. Passen Sie oben im Menü den Schieberegler Häufigkeit an, um häufige Ereignisse herauszufiltern. Mit den Schiebereglern für „Zeitraum“ und „Prävalenz“ können Sie verdächtige Ereignisse identifizieren.

  6. Öffnen Sie die Benachrichtigung über die Liste in der Zeitachsen-Seitenleiste. Wählen Sie im linken Bereich den Tab „Zeitachse“ aus. Dort werden Ereignisse angezeigt, die in der Nähe der Benachrichtigung aufgetreten sind. Das auslösende Ereignis wird grün hervorgehoben.

Herausfinden, was die Benachrichtigung ausgelöst hat

Es gibt mehrere Möglichkeiten, mehr über das auslösende Ereignis zu erfahren.

  • Im mittleren Bereich wird möglicherweise ein orangefarbenes Dialogfeld über einem kleinen orangefarbenen Dreieck angezeigt, das den Ort und die Zeit der Benachrichtigung angibt. Wenn das Dialogfeld nicht angezeigt wird, bewegen Sie den Mauszeiger auf das Dreieck. Das Dialogfeld enthält das Datum, die Uhrzeit und die Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht wird der Tab „Zeitachse“ angezeigt. Wenn das Ereignis als Regelnbenachrichtigung gekennzeichnet ist, wird auch eine Beschreibung der Benachrichtigung angezeigt.

  • Wenn Sie den Mauszeiger auf das Ereignis Regelnbenachrichtigung bewegen, wird rechts neben dem Ereignis das Symbol Maximieren Symbol „Ereignis maximieren“ angezeigt. Wenn Sie auf dieses Symbol klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet (siehe Abbildung unten).

    Ereignisdetails Termindetails