Analisar um alerta usando o Google Security Operations

Compatível com:
Este guia mostra como investigar um alerta usando o Google Security Operations.

O que é um alerta?

Um alerta é um indicador de comprometimento (IOC, na sigla em inglês), sinalizado pelo Google Security Operations, que indica uma anomalia no fluxo de trabalho normal do tráfego na empresa. Você deve investigar os alertas como uma possível violação de segurança.

Como os alertas chegam ao Google Security Operations?

O Google Security Operations usa várias fontes externas da comunidade de segurança com bancos de dados do setor atualizados continuamente. O Google Security Operations também tem uma linguagem de programação rica em recursos, a YARA-L, para que você possa criar suas próprias regras personalizadas.

Para mais informações sobre o YARA-L, consulte Visão geral da linguagem YARA-L 2.0. Para mais informações sobre as regras, consulte Gerenciar regras usando o editor de regras.

Antes de começar

É possível realizar essas etapas na instância do Google Security Operations da sua empresa ou no ambiente de demonstração do Google Security Operations.

O Google Security Operations foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais recente. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Google Security Operations é integrado à sua solução de logon único (SSO). Você pode fazer login nas operações de segurança do Google usando as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Google Security Operations, em que customer_subdomain é o identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.

Conferir alertas e correspondências de IOC

Na barra de navegação, selecione Detection > Alerts and IOCs.

As guias "Alerts" e "IOC Matches" são exibidas. Talvez seja necessário ajustar o período usando o controle de calendário no canto superior direito para que as correspondências e os alertas apareçam.

Alternar para a visualização de recursos

Em seguida, acesse um recurso específico que pode ter sido comprometido.

  1. Na guia "IOC Matches", clique em um domínio para abrir a visualização de domínio.

  2. Selecione a guia "Linha do tempo".

  3. Para mudar para a visualização de recurso, selecione um evento clicando no horário dele. A visualização de recursos mostra detalhes do recurso selecionado em torno da linha do tempo do acionador do alerta, conforme mostrado na figura a seguir.

    Visualização dos recursos Visualização de recursos

    As bolhas na janela principal representam a prevalência do recurso. O gráfico é organizado para que os eventos que ocorrem com menos frequência fiquem na parte de cima. Esses eventos de baixa prevalência são considerados suspeitos. Use o controle deslizante de tempo no canto superior direito para ampliar os eventos que precisam de investigação.

  4. Se o menu "Filtragem procedural" não estiver visível, clique no ícone Filtro Ícone de filtro (perto do canto superior direito) para abrir.

  5. Na parte de cima do menu, ajuste o controle deslizante Prevalência para filtrar eventos comuns. Usar os controles deslizantes de tempo e prevalência para identificar eventos suspeitos.

  6. Abra o alerta na lista da barra lateral da Linha do tempo. No painel à esquerda, selecione a guia "Linha do tempo", que mostra os eventos que ocorrem em torno do alerta. O evento acionador é destacado em verde.

Investigar o que acionou o alerta

Há várias maneiras de receber mais insights sobre o evento acionado.

  • No painel do meio, uma caixa de diálogo laranja pode aparecer acima de um pequeno triângulo laranja indicando o local e o horário do alerta. Se a caixa de diálogo não aparecer, passe o cursor sobre o triângulo para que ela apareça. A caixa de diálogo contém a data, a hora e a descrição do alerta.

  • O painel esquerdo na visualização de recursos mostra a guia "Linha do tempo". Se o evento for rotulado como Alerta de regra, também haverá uma descrição do alerta.

  • Ao passar o cursor sobre o evento Alerta de regra, um ícone Expandir Ícone "Abrir evento" vai aparecer no lado direito do evento. Ao clicar nesse ícone, uma nova janela será aberta com mais detalhes sobre o evento no formato UDM, como mostrado na figura a seguir.

    Detalhes do evento Detalhes do evento