Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen

In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Benachrichtigungen und mit Google Security Operations mögliche Sicherheitsprobleme beheben.

Hinweise

Google Security Operations funktioniert ausschließlich mit den Browsern Google Chrome oder Mozilla Firefox.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die aktuelle Version von Chrome unter https://www.google.com/chrome/ herunterladen.

Google Security Operations ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Stellen Sie sicher, dass Sie Zugriff auf Ihr Unternehmenskonto haben.

  3. Für den Zugriff auf die Google Security Operations-Anwendung, wobei customer_subdomain Ihre kundenspezifische Kennung ist, rufen Sie Folgendes auf: https://customer_subdomain.backstory.chronicle.security.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs.

  2. Klicken Sie auf den Tab IOC-Übereinstimmungen.

In der Ansicht Domain nach IOC-Übereinstimmungen suchen

Die Spalte Domain auf dem Tab IOC Domain Matches enthält eine Liste von verdächtige Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe Abbildung). in der folgenden Abbildung mit detaillierten Informationen zu dieser Domain.

Domainansicht Ansicht Domain

Suche in der Ansicht Nutzer

So rufen Sie die Ansicht Nutzer auf:

  1. In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen Spalte mit einer Liste der Nutzer, die innerhalb des Zeitraums eine Benachrichtigung ausgelöst haben werden im Header Enterprise Insights angezeigt. Dieser Zeitraum ist anpassbar mithilfe des Zeitschiebereglers. Möglicherweise müssen Sie den Zeitraum um Übereinstimmungen und Benachrichtigungen anzuzeigen.
  2. Wenn Sie in dieser Spalte auf den Namen des Nutzers klicken, werden Details zum die zur weiteren Untersuchung der Bedrohung erforderlich sind.

Suche über die Asset-Ansicht

So rufen Sie die Ansicht Asset auf:

  1. In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen Liste der Assets, die innerhalb des Zeitraums eine Benachrichtigung ausgelöst haben werden im Header Enterprise Insights angezeigt. Dieser Zeitraum ist anpassbar mithilfe des Zeitschiebereglers. Möglicherweise müssen Sie den Zeitraum um Übereinstimmungen und Benachrichtigungen anzuzeigen.

  2. Klicken Sie auf das Asset, das Sie sich genauer ansehen möchten. Google Security Operations ändert sich Asset-Ansicht wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht

  3. Die Blasen im Hauptfenster geben die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass seltener auftretende Ereignisse oben angezeigt werden. Diese Ereignisse mit geringer Prävalenz gelten als eher verdächtig. Zoomen zu den Ereignissen, die näher untersucht werden müssen, oben rechts.

  4. Sie können die Suche über die prozedurale Filterung weiter eingrenzen. Wenn das Drop-down-Menü Prozedurales Filtern noch nicht geöffnet ist, klicken Sie auf das Drop-down-Menü Symbol Filtersymbol . Verwenden Sie oben im Drop-down-Menü das Symbol Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und eine Ausrichtung auf verdächtige Ereignisse vorzunehmen.

Google Security Operations Search-Feld verwenden

Sie können die Suche direkt auf der Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Google Security Operations-Suchfeld

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Im Hostnamen wird die Ansicht Domain angezeigt.
 (z. B. plato.beispiel.de)
  • „Domain“ zeigt die Ansicht Domain an
 (z. B. altostrat.com)
  • Unter "IP-Adresse" wird die Ansicht IP-Adresse angezeigt.
 (z. B. 192.168.254.15)
  • In der URL wird die Ansicht Domain angezeigt
 (z. B. https://new.altostrat.com)
  • Der Nutzername zeigt die Ansicht Asset an
 (z. B. betty-decaro-pc)
  • Datei-Hash zeigt Ansicht Hash an
 (z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht die Art des Suchbegriffs angeben, Google Security Operations übernimmt den Vorgang für Sie. Die Ergebnisse werden im und der Untersuchungsperspektive. Beispiel: Eingabe eines Nutzernamens in das Suchfeld zeigt die Ansicht Asset an.

Rohlogs durchsuchen

Sie können die indexierte Datenbank oder die Rohdaten Logs. Die Suche in Rohprotokollen ist eine umfassendere Suche, länger als eine indexierte Suche ist.

Um Ihre Suche noch präziser zu gestalten, können Sie reguläre Ausdrücke verwenden, Groß-/Kleinschreibung beachten oder Protokollquellen auswählen. Sie können auch Legen Sie mithilfe der Felder Start und Ende die gewünschte Zeitachse fest.

So führen Sie eine Rohprotokollsuche durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie im Drop-down-Menü Raw Log Scan aus. wie in der folgenden Abbildung dargestellt.

    Menü „Raw Log Scan“ Drop-down-Menü mit der Option Raw Log Scan (Raw-Log-Scan)

  2. Nachdem Sie die Kriterien für die unformatierte Suche festgelegt haben, klicken Sie auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.