Revisa una alerta con Google Security Operations

En esta guía, se muestra cómo investigar una alerta con Google Security Operations.

¿Qué es una alerta?

Una alerta es un indicador de compromiso (IOC) marcado por Google Security Operations. lo que indica una anomalía en el flujo de trabajo normal del tráfico dentro de la empresa. Deberías investigar las alertas como una posible violación de la seguridad.

¿Cómo llegan las alertas a Google Security Operations?

Google Security Operations aprovecha varias fuentes externas dentro del comunidad con bases de datos de toda la industria actualizadas continuamente. Google Security Operations también tiene un lenguaje de programación con muchas funciones, YARA-L, para que puedas crear tus propias reglas personalizadas.

Para obtener más información sobre YARA-L, consulta la Descripción general del lenguaje YARA-L 2.0. Para obtener más información sobre las reglas, consulta el artículo Administra reglas con el editor de reglas.

Antes de comenzar

Puedes seguir estos pasos desde la instancia de Google Security Operations de tu empresa o del entorno de demostración de Google Security Operations.

Google Security Operations está diseñada para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda que actualices tu navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.

Google Security Operations está integrado en tu solución de inicio de sesión único (SSO). Puedes acceder a Google Security Operations con las credenciales que proporciona tu empresa.

  1. Inicia Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la aplicación de Google Security Operations, donde customer_subdomain es tu identificador específico del cliente. Navega a: https://customer_subdomain.backstory.chronicle.security.

Ver alertas y coincidencias de IOC

En la barra de navegación, selecciona Detección > IOC y alertas.

Se muestran las pestañas Alertas y Coincidencias de los IOC. Es posible que debas ajustar la hora con el control de calendario en la esquina superior derecha para que aparezcan las coincidencias y las alertas.

Pivotar a la vista de recursos

A continuación, desglosa un activo en particular que pueda haber sido vulnerado.

  1. En la pestaña IOC Matches, haz clic en un dominio para abrir la vista Domain.

  2. Selecciona la pestaña Rutas.

  3. Para ir a la vista de recursos, selecciona un evento haciendo clic en su hora. En la vista de recursos, se muestran los detalles del recurso seleccionado alrededor del cronograma del activador de alertas, como se muestra en la siguiente imagen.

    Vista del recurso Vista de recursos

    Las burbujas de la ventana principal representan la prevalencia del recurso. El gráfico está organizado de manera que los eventos que ocurren con menos frecuencia aparecen en la parte superior. Estos eventos de baja prevalencia se consideran sospechosos. Usa el deslizador de tiempo en la esquina superior derecha para acercar los eventos que requieren investigación.

  4. Si no ve el menú de Filtrado de procedimientos, haga clic en el ícono de Filtro Ícono de filtro (cerca de la esquina superior derecha) para abrirlo.

  5. En la parte superior del menú, ajusta el control deslizante Prevalence para filtrar los eventos comunes. Usar los controles deslizantes de Tiempo y Prevalencia para identificar eventos sospechosos.

  6. Abre la alerta desde la lista de la barra lateral del cronograma. En el panel izquierdo, selecciona la pestaña Cronograma que muestra los eventos que ocurren alrededor de la alerta. El evento que activa se destaca en verde.

Investiga qué activó la alerta

Existen varias formas de obtener más información sobre el evento activador.

  • En el panel central, es posible que aparezca un cuadro de diálogo de color naranja sobre un pequeño triángulo naranja que indica la ubicación de la alerta en el momento oportuno. Si no se muestra el cuadro de diálogo, aparecerá al colocar el cursor sobre el triángulo. El diálogo contiene la fecha, la hora y la descripción de la alerta.

  • En el panel izquierdo de la vista Activos, se muestra la pestaña Cronograma. Si el evento tiene la etiqueta Alerta de regla, también se mencionará una descripción de la alerta.

  • Si colocas el cursor sobre el evento Alerta de regla, aparecerá el ícono Expandir Ícono de expandir el evento en el lado derecho del evento. Si haces clic en este ícono, se abrirá una ventana nueva con más detalles sobre el evento en formato UDM, como se muestra en la siguiente imagen.

    Detalles del evento Detalles del evento