Esamina i potenziali problemi di sicurezza con Google Security Operations

Questo documento descrive come condurre ricerche durante l'analisi degli avvisi e potenziali problemi di sicurezza usando Google Security Operations.

Prima di iniziare

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome da https://www.google.com/chrome/.

Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è l'identificatore specifico per il cliente, accedi a: https://customer_subdomain.backstory.chronicle.security.

Visualizzazione di avvisi e corrispondenze IOC

  1. Nella barra di navigazione, seleziona Rilevamenti > Avvisi e IOC.

  2. Fai clic sulla scheda Corrispondenze IOC.

La ricerca di corrispondenze IOC nella vista Dominio

La colonna Dominio della scheda Corrispondenze di dominio IOC contiene un elenco i domini sospetti. Se fai clic su un dominio in questa colonna, si apre la vista Dominio, come mostrato nella figura seguente, fornendo informazioni dettagliate su questo dominio.

Vista dominio Vista Dominio

Ricerca con la vista Utente

Per passare alla visualizzazione Utente, completa i seguenti passaggi:

  1. Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una colonna che elenca gli utenti che hanno attivato un avviso entro l'intervallo di tempo specificato visualizzata nell'intestazione Enterprise Insights. Questo intervallo di tempo è modificabile usando la barra di scorrimento temporale. Potresti dover aumentare l'intervallo di tempo utilizzando il cursore per visualizzare corrispondenze e avvisi.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli relativi alla le attività che potrebbero essere necessarie per indagare ulteriormente sulla minaccia.

Ricerca con la vista Asset

Per accedere alla visualizzazione Asset, completa i seguenti passaggi:

  1. Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una elenco di asset che hanno attivato un avviso entro l'intervallo di tempo visualizzata nell'intestazione Enterprise Insights. Questo intervallo di tempo è modificabile usando la barra di scorrimento temporale. Potresti dover aumentare l'intervallo di tempo utilizzando il cursore per visualizzare corrispondenze e avvisi.

  2. Fai clic sulla risorsa che vuoi esplorare ulteriormente. Google Security Operations passa a Asset, come illustrato nella figura seguente.

    Visualizzazione asset

  3. I fumetti nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano nella parte superiore. Questi eventi a bassa prevalenza sono considerati più propensi a essere sospetti. Per eseguire lo zoom agli eventi che richiedono ulteriori indagini, usa il cursore dell'intervallo di tempo in alto a destra.

  4. È possibile restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtro procedurale non è già aperto, fai clic sul Icona Icona dei filtri vicino all'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il Dispositivo di scorrimento Prevalenza per filtrare gli eventi normali e scegliere come target quelli più sospetti.

Utilizzo del campo Ricerca di Google Security Operations

Avvia una ricerca direttamente dalla home page di Google Security Operations, come mostrato nella figura che segue.

Campo di ricerca Campo Ricerca di Google Security Operations

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la vista Dominio
 (ad es. plato.example.com)
  • Il dominio mostra la vista Dominio
 (ad esempio altostrat.com)
  • L'indirizzo IP mostra la vista Indirizzo IP
 (ad esempio, 192.168.254.15)
  • L'URL mostra la visualizzazione Dominio
 (ad es. https://new.altostrat.com)
  • Il nome utente mostra la vista Risorsa
 (ad es. betty-decaro-pc)
  • L'hash del file mostra la visualizzazione Hash
 (ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non è necessario specificare il tipo di termine di ricerca che si sta digitando, Google Security Operations lo determina per te. I risultati vengono mostrati visione investigativa appropriata. Ad esempio, quando digiti un nome utente nel campo di ricerca mostra la vista Asset.

Ricerca dei log non elaborati

Puoi cercare nel database indicizzato o cercare non elaborati logaritmi. La ricerca nei log non elaborati è una ricerca più completa, ma più a lungo rispetto a una ricerca indicizzata.

Per individuare ulteriormente la ricerca, puoi utilizzare le espressioni regolari, le voci di ricerca fanno distinzione tra maiuscole e minuscole o seleziona le sorgenti di log. Puoi anche selezionare la sequenza temporale desiderata, utilizzando i campi Inizio e Fine.

Per eseguire una ricerca non elaborata nei log, completa i seguenti passaggi:

  1. Digita il termine di ricerca, quindi seleziona Scansione dei log non elaborati nel menu a discesa. come mostrato nella figura che segue.

    Menu Scansione log non elaborati Menu a discesa che mostra l'opzione Scansione dei log non elaborati

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Nella visualizzazione Scansione dei log non elaborati puoi analizzare ulteriormente i dati dei log.