Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen
In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Warnungen und potenziellen Sicherheitsproblemen mithilfe von Google Security Operations Suchvorgänge durchführen.
Hinweise
Google Security Operations ist ausschließlich für die Browser Google Chrome und Mozilla Firefox konzipiert.
Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Die aktuelle Version von Chrome kannst du unter https://www.google.com/chrome/ herunterladen.
Google Security Operations ist in Ihre Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten bei Google Security Operations anmelden.
Starten Sie Chrome oder Firefox.
Sie benötigen Zugriff auf Ihr Unternehmenskonto.
Rufen Sie https://customer_subdomain.backstory.chronicle.security auf, um auf die Anwendung Google Security Operations zuzugreifen, wobei customer_subdomain Ihre kundenspezifische Kennung ist.
Benachrichtigungen und IOC-Übereinstimmungen ansehen
Wählen Sie in der Navigationsleiste Erkennungen > Warnungen und Bedrohungsindikatoren aus.
Klicken Sie auf den Tab AAE-Übereinstimmungen.
In der Ansicht Domain nach IOC-Übereinstimmungen suchen
Die Spalte Domain auf dem Tab IOC-Domainübereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe folgende Abbildung), die detaillierte Informationen zu dieser Domain enthält.
Ansicht Domain
In der Ansicht Nutzer suchen
So rufen Sie die Ansicht Nutzer auf:
- Der Abschnitt Aktuelle Benachrichtigungen in der Ansicht Enterprise Insights enthält eine Spalte mit den Nutzern, die innerhalb des unter Enterprise Insights angegebenen Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
- Wenn Sie auf den Nutzernamen in dieser Spalte klicken, werden Details zur Aktivität des Nutzers angezeigt, die möglicherweise erforderlich sind, um die Bedrohung genauer zu untersuchen.
In der Ansicht Asset suchen
So rufen Sie die Ansicht Asset auf:
- In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen eine Liste von Assets, die innerhalb des unter Enterprise Insights-Headers angezeigten Zeitraum eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann über den Zeitschieberegler angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
Klicken Sie auf das Asset, das Sie genauer untersuchen möchten. Google Security Operations wechselt zur Ansicht Asset, wie in der folgenden Abbildung dargestellt.
Die Blasen im Hauptfenster geben die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass Ereignisse, die seltener auftreten, ganz oben stehen. Diese Ereignisse mit niedriger Prävalenz gelten als verdächtig. Mit dem Schieberegler oben rechts können Sie die Ereignisse vergrößern, die weiter untersucht werden müssen.
Die Suche kann mithilfe der prozedurischen Filterung weiter eingeschränkt werden. Wenn das Drop-down-Menü Prozedurale Filterung noch nicht geöffnet ist, klicken Sie auf das Symbol oben rechts. Verwenden Sie oben im Drop-down-Menü den Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und eine Ausrichtung auf verdächtigere Ereignisse vorzunehmen.
Feld „Google Security Operations Search“ verwenden
Sie können direkt auf der Startseite von Google Security Operations eine Suche starten, wie in der folgenden Abbildung dargestellt.
Suchfeld für Google Security Operations
Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:
|
(z. B. plato.beispiel.de) |
|
(z. B. altostrat.com) |
|
(z. B. 192.168.254.15) |
|
(z. B. https://new.altostrat.com) |
|
(z. B. betty-decaro-pc) |
|
(z. B. e0d123e5f316bef78bfdf5a888837577) |
Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Das wird von Google Security Operations für Sie bestimmt. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.
Rohprotokolle durchsuchen
Sie haben die Möglichkeit, in der indexierten Datenbank oder in Rohlogs zu suchen. Das Durchsuchen von Rohlogs ist eine umfassendere Suche, dauert aber länger als eine indexierte Suche.
Sie können die Suche weiter eingrenzen, indem Sie reguläre Ausdrücke verwenden, die Groß-/Kleinschreibung des Sucheintrags beachten oder Logquellen auswählen. Mit den Feldern Start und Ende können Sie auch die gewünschte Zeitachse auswählen.
So führen Sie eine unformatierte Protokollsuche durch:
Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü die Option Raw Log Scan aus, wie in der folgenden Abbildung dargestellt.
Drop-down-Menü mit der Option Raw Log Scan
Klicken Sie nach dem Festlegen der Kriterien für die unbearbeitete Suche auf die Schaltfläche Suchen.
In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.