Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen

In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Warnungen und potenziellen Sicherheitsproblemen mithilfe von Google Security Operations Suchvorgänge durchführen.

Hinweise

Google Security Operations ist ausschließlich für die Browser Google Chrome und Mozilla Firefox konzipiert.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Die aktuelle Version von Chrome kannst du unter https://www.google.com/chrome/ herunterladen.

Google Security Operations ist in Ihre Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten bei Google Security Operations anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

  3. Rufen Sie https://customer_subdomain.backstory.chronicle.security auf, um auf die Anwendung Google Security Operations zuzugreifen, wobei customer_subdomain Ihre kundenspezifische Kennung ist.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkennungen > Warnungen und Bedrohungsindikatoren aus.

  2. Klicken Sie auf den Tab AAE-Übereinstimmungen.

In der Ansicht Domain nach IOC-Übereinstimmungen suchen

Die Spalte Domain auf dem Tab IOC-Domainübereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe folgende Abbildung), die detaillierte Informationen zu dieser Domain enthält.

Domainansicht Ansicht Domain

In der Ansicht Nutzer suchen

So rufen Sie die Ansicht Nutzer auf:

  1. Der Abschnitt Aktuelle Benachrichtigungen in der Ansicht Enterprise Insights enthält eine Spalte mit den Nutzern, die innerhalb des unter Enterprise Insights angegebenen Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Wenn Sie auf den Nutzernamen in dieser Spalte klicken, werden Details zur Aktivität des Nutzers angezeigt, die möglicherweise erforderlich sind, um die Bedrohung genauer zu untersuchen.

In der Ansicht Asset suchen

So rufen Sie die Ansicht Asset auf:

  1. In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen eine Liste von Assets, die innerhalb des unter Enterprise Insights-Headers angezeigten Zeitraum eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

  2. Klicken Sie auf das Asset, das Sie genauer untersuchen möchten. Google Security Operations wechselt zur Ansicht Asset, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht

  3. Die Blasen im Hauptfenster geben die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass Ereignisse, die seltener auftreten, ganz oben stehen. Diese Ereignisse mit niedriger Prävalenz gelten als verdächtig. Mit dem Schieberegler oben rechts können Sie die Ereignisse vergrößern, die weiter untersucht werden müssen.

  4. Die Suche kann mithilfe der prozedurischen Filterung weiter eingeschränkt werden. Wenn das Drop-down-Menü Prozedurale Filterung noch nicht geöffnet ist, klicken Sie auf das Symbol Symbol „Filtern“ oben rechts. Verwenden Sie oben im Drop-down-Menü den Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und eine Ausrichtung auf verdächtigere Ereignisse vorzunehmen.

Feld „Google Security Operations Search“ verwenden

Sie können direkt auf der Startseite von Google Security Operations eine Suche starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Suchfeld für Google Security Operations

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Hostname zeigt die Domain-Ansicht an
 (z. B. plato.beispiel.de)
  • In der Domain wird die Ansicht Domain angezeigt.
 (z. B. altostrat.com)
  • Unter „IP-Adresse“ wird die Ansicht IP-Adresse angezeigt.
 (z. B. 192.168.254.15)
  • URL zeigt die Domain-Ansicht an
 (z. B. https://new.altostrat.com)
  • Für den Nutzernamen wird die Asset-Ansicht angezeigt
 (z. B. betty-decaro-pc)
  • Datei-Hash zeigt die Hash-Ansicht an
 (z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Das wird von Google Security Operations für Sie bestimmt. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.

Rohprotokolle durchsuchen

Sie haben die Möglichkeit, in der indexierten Datenbank oder in Rohlogs zu suchen. Das Durchsuchen von Rohlogs ist eine umfassendere Suche, dauert aber länger als eine indexierte Suche.

Sie können die Suche weiter eingrenzen, indem Sie reguläre Ausdrücke verwenden, die Groß-/Kleinschreibung des Sucheintrags beachten oder Logquellen auswählen. Mit den Feldern Start und Ende können Sie auch die gewünschte Zeitachse auswählen.

So führen Sie eine unformatierte Protokollsuche durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü die Option Raw Log Scan aus, wie in der folgenden Abbildung dargestellt.

    Menü „Rohprotokollscan“ Drop-down-Menü mit der Option Raw Log Scan

  2. Klicken Sie nach dem Festlegen der Kriterien für die unbearbeitete Suche auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.