查看 Google Security Operations 的潜在安全问题
本文档介绍了如何在调查提醒和 使用 Google Security Operations 发现潜在的安全问题。
准备工作
Google Security Operations 专为 Google Chrome 或 Mozilla Firefox 浏览器而设计。
Google 建议您将浏览器升级到最新版本。您可以从 https://www.google.com/chrome/ 下载最新版本的 Chrome。
Google Security Operations 已集成到您的单点登录解决方案 (SSO) 中。 您可以使用企业提供的凭据登录 Google Security Operations。
启动 Chrome 或 Firefox。
确保您有权访问公司账号。
访问 Google Security Operations 应用,其中 customer_subdomain 是客户专有的标识符,请导航到: https://customer_subdomain.backstory.chronicle.security.
查看提醒和 IOC 匹配
在导航栏中,依次选择检测 >提醒和 IOC。
点击广告订单匹配标签页。
在网域视图中搜索 IOC 匹配项
IOC 网域匹配标签页中的网域列包含 可疑网域。点击此列中的某个域名可打开域名视图,如下所示 下图中提供了有关该网域的详细信息。
网域视图
使用用户视图进行搜索
如需进入用户视图,请完成以下步骤:
- 在 Enterprise Insights(企业数据分析)视图中,近期提醒部分包含 列,列出在相应时间范围内触发提醒的用户 显示在 Enterprise Insights 标头中。可以使用时间滑块栏调整此时间范围。您可能需要使用滑块来匹配时间范围,以显示匹配项和提醒。
- 点击此列中的用户名后,系统会显示有关用户活动的详细信息,用户通过这些信息就可以进一步调查威胁。
使用素材资源视图进行搜索
如需进入素材资源视图,请完成以下步骤:
- 在 Enterprise Insights(企业数据分析)视图中,近期提醒部分包含 在相应时间范围内触发提醒的资产的列表 显示在 Enterprise Insights 标头中。可以使用时间滑块栏调整此时间范围。您可能需要使用滑块来匹配时间范围,以显示匹配项和提醒。
点击您要进一步探索的资产。Google Security Operations 转向 Asset 视图,如下图所示。
主窗口中的气泡表示资产的普及率。图表会采用一定的排列方式,使得发生频率较低的事件位于顶部。这些低普及率事件更可能被视为可疑。如需放大需要进一步调查的事件,请使用右上角的时间范围滑块。
可以使用过程过滤进一步缩小搜索范围。如果过程过滤下拉菜单尚未打开,请点击 图标
。在下拉菜单顶部,使用
发生率滑块可滤除正常事件并定位更可疑的事件。
使用 Google Security Operations 搜索字段
直接从 Google Security Operations 首页发起搜索,如下图所示。
Google Security Operations 搜索字段
在此页面上,您可以输入以下搜索字词:
|
(例如 Plato.example.com) |
|
(例如:altostrat.com) |
|
(例如:192.168.254.15) |
|
(例如:https://new.altostrat.com) |
|
(例如:betty-dearo-pc) |
|
(例如:e0d123e5f316bef78bfdf5a888837577) |
你不必指定要输入哪种类型的搜索字词 Google Security Operations 会为您确定。相应结果会显示在相应的调查视图中。例如,在搜索字段中输入用户名 会显示素材资源视图。
搜索原始日志
您可以选择搜索已编入索引的数据库或搜索原始日志。搜索原始日志是一种更全面的搜索, 比索引搜索要长。
如需进一步确定搜索,您可以使用正则表达式,使搜索条目区分大小写,或选择日志源。您还可以使用开始和结束时间字段选择所需的时间轴。
如需执行原始日志搜索,请完成以下步骤:
输入搜索字词,然后在下拉菜单中选择原始日志扫描,如下图所示。
显示原始日志扫描选项的下拉菜单设置原始搜索条件后,点击搜索按钮。
在原始日志扫描视图中,您可以进一步分析日志数据。