Esaminare un avviso utilizzando Google Security Operations

Supportato in:
Questa guida mostra come esaminare un avviso utilizzando Google Security Operations.

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC), segnalato da Google Security Operations, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Dovresti esaminare gli avvisi come possibili violazioni della sicurezza.

In che modo gli avvisi arrivano a Google Security Operations?

Google Security Operations utilizza varie fonti esterne all'interno della comunità di sicurezza utilizzando database di settore aggiornati continuamente. Google Security Operations offre anche un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare le tue regole personalizzate.

Per ulteriori informazioni su YARA-L, consulta la panoramica del linguaggio YARA-L 2.0. Per ulteriori informazioni sulle regole, consulta Gestire le regole utilizzando l'editor delle regole.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Google Security Operations della tua azienda o dall'ambiente demo di Google Security Operations.

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome all'indirizzo https://www.google.com/chrome/.

Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è il tuo identificatore specifico del cliente, vai a: https://customer_subdomain.backstory.chronicle.security.

Visualizzare le corrispondenze di avvisi e indicatori di compromissione

Nella barra di navigazione, seleziona Rilevamento > Avvisi e indicatori di compromissione.

Vengono visualizzate le schede Avvisi e Corrispondenze IOC. Per visualizzare le corrispondenze e gli avvisi, potrebbe essere necessario modificare l'intervallo di tempo utilizzando il controllo del calendario in alto a destra.

Esegui il pivot alla visualizzazione Asset

Poi, visualizza in dettaglio una risorsa specifica che potrebbe essere stata compromessa.

  1. Nella scheda Corrispondenze IOC, fai clic su un dominio per aprire la visualizzazione Dominio.

  2. Seleziona la scheda Timeline.

  3. Per passare alla visualizzazione Asset, seleziona un evento facendo clic sulla relativa ora. La visualizzazione Asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivazione dell'avviso, come mostrato nella figura seguente.

    Visualizzazione degli asset Visualizzazione asset

    Le bolle nella finestra principale rappresentano la prevalenza della risorsa. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano in alto. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il dispositivo di scorrimento Tempo in alto a destra per aumentare lo zoom sugli eventi che richiedono un'indagine.

  4. Se il menu Filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (vicino all'angolo in alto a destra).

  5. Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizza i cursori Tempo e Prevalenza per identificare gli eventi sospetti.

  6. Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline che mostra gli eventi che si verificano intorno all'avviso. L'evento di attivazione è evidenziato in verde.

Scopri cosa ha attivato l'avviso

Esistono diversi modi per ottenere informazioni più dettagliate sull'evento di attivazione.

  • Nel riquadro centrale, sopra un piccolo triangolo arancione potrebbe essere visualizzata una finestra di dialogo arancione che indica la posizione e la data e l'ora dell'avviso. Se la finestra di dialogo non viene visualizzata, passa il mouse sopra il triangolo per visualizzarla. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra nella visualizzazione Asset mostra la scheda Timeline. Se l'evento è etichettato come Avviso regola, verrà indicata anche una descrizione dell'avviso.

  • Se passi il mouse sopra l'evento Avviso regola, a destra dell'evento viene visualizzata l'icona Espandi Icona Espandi evento. Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura seguente.

    Dettagli evento Dettagli dell'evento