Esamina i potenziali problemi di sicurezza con Google Security Operations

Questo documento descrive come eseguire ricerche durante l'esame di avvisi e potenziali problemi di sicurezza utilizzando Google Security Operations.

Prima di iniziare

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome all'indirizzo https://www.google.com/chrome/.

Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è il tuo identificatore specifico del cliente, vai all'indirizzo: https://customer_subdomain.backstory.chronicle.security.

Visualizzazione di avvisi e corrispondenze IOC

  1. Nella barra di navigazione, seleziona Rilevamenti > Avvisi e IOC.

  2. Fai clic sulla scheda Corrispondenze IOC.

La ricerca di corrispondenze IOC nella vista Dominio

La colonna Dominio nella scheda Corrispondenze dei domini IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, si apre la vista Dominio, come mostrato nella figura seguente, fornendo informazioni dettagliate su questo dominio.

Visualizzazione del dominio Visualizzazione Dominio

Ricerca utilizzando la visualizzazione Utente

Per passare alla visualizzazione Utente, segui questi passaggi:

  1. Nella visualizzazione Approfondimenti aziendali, la sezione Avvisi recenti contiene una colonna che elenca gli utenti che hanno attivato un avviso nell'intervallo di tempo visualizzato nell'intestazione Approfondimenti aziendali. Questo intervallo di tempo è modificabile usando la barra di scorrimento temporale. Potresti dover aumentare l'intervallo di tempo utilizzando il cursore per visualizzare le corrispondenze e gli avvisi.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli relativi all'attività dell'utente che potrebbero essere necessari per esaminare ulteriormente la minaccia.

Ricerca con la vista Asset

Per passare alla visualizzazione Asset, completa i seguenti passaggi:

  1. Nella visualizzazione Approfondimenti aziendali, la sezione Avvisi recenti contiene un elenco di asset che hanno attivato un avviso nell'intervallo di tempo visualizzato nell'intestazione Approfondimenti aziendali. Questo intervallo di tempo è regolabile tramite la barra del cursore del tempo. Potresti dover aumentare l'intervallo di tempo utilizzando il cursore per visualizzare le corrispondenze e gli avvisi.

  2. Fai clic sulla risorsa che vuoi esplorare ulteriormente. Google Security Operations passa a Asset, come illustrato nella figura seguente.

    Visualizzazione degli asset

  3. I fumetti nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano nella parte superiore. Questi eventi a bassa prevalenza sono considerati più propensi a essere sospetti. Per eseguire lo zoom agli eventi che richiedono ulteriori indagini, usa il cursore dell'intervallo di tempo in alto a destra.

  4. Puoi restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtro procedura non è già aperto, fai clic sul Icona Icona dei filtri vicino all'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il cursore Prevalenza per filtrare gli eventi normali e scegliere come target gli eventi più sospetti.

Utilizzare il campo di ricerca di Google Security Operations

Avvia una ricerca direttamente dalla home page di Google Security Operations, come mostrato nella figura seguente.

Campo di ricerca Campo Ricerca di Google Security Operations

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la visualizzazione Dominio
 (ad esempio, plato.example.com)
  • Il dominio mostra la visualizzazione Dominio
 (ad esempio, altostrat.com)
  • L'indirizzo IP mostra la vista Indirizzo IP
 (ad esempio 192.168.254.15)
  • L'URL mostra la visualizzazione Dominio
 (ad es. https://new.altostrat.com)
  • Il nome utente mostra la visualizzazione Asset
 (ad es. betty-decaro-pc)
  • L'hash del file mostra la visualizzazione Hash
 (ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non devi specificare il tipo di termine di ricerca che stai inserendo, poiché è Google Security Operations a stabilirlo. I risultati vengono visualizzati nella visualizzazione di indagine appropriata. Ad esempio, quando digiti un nome utente nel campo di ricerca mostra la vista Asset.

Ricerca nei log non elaborati

Puoi scegliere di eseguire ricerche nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è una ricerca più completa, ma più a lungo rispetto a una ricerca indicizzata.

Per restringere ulteriormente la ricerca, puoi utilizzare espressioni regolari, rendere la voce di ricerca sensibile alle maiuscole o selezionare le origini log. Puoi anche selezionare la sequenza temporale desiderata, utilizzando i campi Inizio e Fine.

Per eseguire una ricerca nei log non elaborati:

  1. Digita il termine di ricerca e seleziona Scansione log non elaborati nel menu a discesa, come mostrato nella figura seguente.

    Menu Scansione log non elaborati Menu a discesa che mostra l'opzione Scansione dei log non elaborati

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Dalla visualizzazione Scansione log non elaborati, puoi analizzare ulteriormente i dati dei log.