Esamina un avviso utilizzando Google Security Operations

Questa guida mostra come esaminare un avviso utilizzando Google Security Operations.

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC), segnalato da Google Security Operations, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Dovresti esaminare gli avvisi come possibile violazione della sicurezza.

In che modo gli avvisi arrivano a Google Security Operations?

Google Security Operations attinge a varie origini esterne all'interno della community della sicurezza utilizzando database di settore aggiornati continuamente. Google Security Operations ha anche un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare le tue regole personalizzate.

Per ulteriori informazioni su YARA-L, consulta la Panoramica della lingua YARA-L 2.0. Per ulteriori informazioni sulle regole, consulta Gestire le regole utilizzando l'editor delle regole.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Google Security Operations della tua azienda o dall'ambiente demo di Google Security Operations.

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome da https://www.google.com/chrome/.

Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è il tuo identificatore specifico del cliente, vai a: https://customer_subdomain.backstory.chronicle.security.

Visualizza avvisi e corrispondenze IOC

Nella barra di navigazione, seleziona Rilevamento > Avvisi e IOC.

Vengono visualizzate le schede Avvisi e Corrispondenze IOC. Potresti dover regolare l'intervallo di tempo utilizzando il controllo del calendario in alto a destra per visualizzare corrispondenze e avvisi.

Pivot in visualizzazione Asset

Quindi, visualizza in dettaglio un particolare asset che potrebbe essere stato compromesso.

  1. Nella scheda Corrispondenze IOC, fai clic su un dominio per aprire la vista Dominio.

  2. Seleziona la scheda Timeline.

  3. Per passare alla visualizzazione Asset, seleziona un evento facendo clic sulla relativa ora. La visualizzazione Asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivatore di avviso, come mostrato nella figura seguente.

    Visualizzazione degli asset Vista asset

    Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano nella parte superiore. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il dispositivo di scorrimento temporale in alto a destra per aumentare lo zoom sugli eventi che richiedono un'indagine.

  4. Se il menu Filtro procedura non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (nell'angolo in alto a destra).

  5. Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizzo dei cursori Tempo e Prevalenza per identificare eventi sospetti.

  6. Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline, in cui vengono visualizzati gli eventi che si verificano intorno all'avviso. L'evento di attivazione è evidenziato in verde.

Scopri cosa ha attivato l'avviso

Esistono diversi modi per ottenere informazioni più dettagliate sull'evento di attivazione.

  • Nel riquadro centrale, potrebbe essere visualizzata una finestra di dialogo arancione sopra un piccolo triangolo arancione che indica la posizione, nel tempo, dell'avviso. Se la finestra di dialogo non è visualizzata, passi il mouse sopra il triangolo per visualizzarlo. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro di sinistra in Visualizzazione asset mostra la scheda Timeline. Se l'evento è etichettato Avviso regola, verrà menzionata anche una descrizione dell'avviso.

  • Quando passi il mouse sopra l'evento Avviso regola, sul lato destro dell'evento viene visualizzata l'icona Espandi Icona evento di espansione. Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura che segue.

    Dettagli evento Dettagli dell'evento