使用 Google Security Operations 查看提醒

本指南介绍如何使用 Google Security Operations 调查提醒。

什么是提醒?

提醒是一种入侵指标 (IOC),由 Google Security Operations 进行标记, 这表明企业内的正常流量流程出现了异常情况。 您应该调查提醒,因为可能违反了安全规定。

提醒如何将提醒发送到 Google Security Operations?

Google Security Operations 会充分利用安全部门内的各种外部来源 并持续更新社区。Google Security Operations 还具有功能丰富的编程语言 YARA-L,因此您可以制定自己的自定义规则。

如需详细了解 YARA-L,请参阅 YARA-L 2.0 语言概览。如需详细了解规则,请参阅使用规则编辑器管理规则

准备工作

您可以从贵公司的 Google Security Operations 实例或 Google Security Operations 演示环境中的链接。

Google Security Operations 专为 Google Chrome 或 Mozilla Firefox 浏览器而设计。

Google 建议您将浏览器升级到最新版本。您可以从 https://www.google.com/chrome/ 下载最新版本的 Chrome。

Google Security Operations 已集成到您的单点登录解决方案 (SSO) 中。 您可以使用企业提供的凭据登录 Google Security Operations。

  1. 启动 Chrome 或 Firefox。

  2. 确保您有权访问公司账号。

  3. 访问 Google Security Operations 应用,其中 customer_subdomain 是客户专有的标识符,请导航到: https://customer_subdomain.backstory.chronicle.security.

查看提醒和 IOC 匹配

在导航栏中,依次选择检测 >提醒和 IOC

此时会显示 提醒 和 IOC 匹配 标签。您可能需要调整时间 范围,以显示比赛和提醒。

切换到“资产”视图

接下来,展开细目至可能已遭遇入侵的特定资产。

  1. 在“IOC 匹配”标签中,点击一个域名以打开“域名”视图。

  2. 选择“时间轴”标签页。

  3. 若要切换到“素材资源”视图,请点击相应事件的时间将其选中。“资产”视图会在提醒触发器的时间轴周围显示所选资产的详细信息,如下图所示。

    “资产”视图 “资产”视图

    主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些普及率较低的事件会被视为可疑事件。使用右上方的“时间”滑块,可放大到需要调查的事件。

  4. 如果未显示“过程过滤”菜单,请点击“过滤器”图标 “过滤条件”图标(右上角附近)将其打开。

  5. 调整菜单顶部的普及率滑块,以滤除常见事件。使用“时间”和“普及率”滑块识别可疑事件。

  6. 通过“时间轴”边栏列表打开提醒。在左侧面板中,选择“时间轴”标签页,其中显示提醒周围的事件。触发事件会以绿色突出显示。

调查触发提醒的原因

您可以通过几种方式来更深入地了解触发事件。

  • 在中间面板中,橙色对话框可能会显示一个小橙色三角形,表示提醒的位置(时间)。如果未显示对话框,将鼠标悬停在三角形上即可显示。该对话框会显示提醒的日期、时间和说明。

  • “资产”视图中的左侧面板显示“时间轴”标签页。如果该事件带有“规则提醒”标签,也会显示提醒说明。

  • 将鼠标悬停在“规则提醒”事件上时,事件右侧会显示一个“展开”图标 “展开事件”图标。点击此图标将打开一个新窗口,其中包含 UDM 格式的事件详细信息,如下图所示。

    事件详细信息 事件详细信息