Examiner les problèmes de sécurité potentiels avec Google Security Operations

Ce document explique comment effectuer des recherches dans le cadre des alertes et les problèmes de sécurité potentiels à l'aide de Google Security Operations.

Avant de commencer

Google Security Operations est conçu pour fonctionner exclusivement avec les navigateurs Google Chrome ou Mozilla Firefox.

Google vous recommande d'installer la version la plus récente de votre navigateur. Vous pouvez télécharger la dernière version de Chrome sur https://www.google.com/chrome/.

Google Security Operations est intégré à votre solution d'authentification unique (SSO). Vous pouvez vous connecter à Google Security Operations à l'aide des identifiants fournis par votre entreprise.

  1. Lancez Chrome ou Firefox.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

  3. Pour accéder à l'application Google Security Operations, où customer_subdomain est votre identifiant spécifique au client, accédez à: https://customer_subdomain.backstory.chronicle.security.

Affichage des alertes et des correspondances IOC

  1. Dans la barre de navigation, sélectionnez Détections > Alertes et IOC.

  2. Cliquez sur l'onglet Correspondances RIO.

Rechercher des correspondances IOC dans la vue Domaine

La colonne Domaine de l'onglet Correspondances de domaines IOC contient la liste des les domaines suspects. Cliquez sur un domaine de cette colonne pour ouvrir la vue Domaine, comme illustré. dans la figure suivante, qui fournit des informations détaillées sur ce domaine.

Vue du domaine Vue Domaine

Effectuer une recherche à l'aide de la vue Utilisateur

Pour accéder à la vue Utilisateur, procédez comme suit:

  1. Dans la vue Enterprise Insights, la section Alertes récentes contient une Liste des utilisateurs ayant déclenché une alerte au cours de la période affiché dans l'en-tête Enterprise Insights. Vous pouvez ajuster ce délai à l'aide du curseur chronologique. Vous devrez peut-être augmenter la période le curseur pour afficher les correspondances et les alertes.
  2. Cliquez sur le nom d'utilisateur dans cette colonne pour afficher des informations d’activités qui pourraient être nécessaires pour mener une enquête plus approfondie sur la menace.

Effectuer une recherche à l'aide de la vue Asset

Pour accéder à la vue Asset (Ressource), procédez comme suit:

  1. Dans la vue Enterprise Insights, la section Alertes récentes contient une Liste des ressources ayant déclenché une alerte dans les délais impartis affiché dans l'en-tête Enterprise Insights. Vous pouvez ajuster ce délai à l'aide du curseur chronologique. Vous devrez peut-être augmenter la période le curseur pour afficher les correspondances et les alertes.

  2. Cliquez sur le composant qui vous intéresse. Google Security Operations s'articule autour Asset (Ressource) comme illustré ci-dessous.

    Vue des composants

  3. Les bulles dans la fenêtre principale indiquent la prévalence de l'asset. Le graphique est organisé de sorte que les événements qui se produisent moins souvent apparaissent en haut. Ces les événements à faible prévalence sont considérés comme plus susceptibles d'être suspects. Pour zoomer les événements nécessitant un examen plus approfondi, utilisez le curseur de période en haut à droite.

  4. Vous pouvez affiner la recherche en utilisant le filtrage procédural. Si le menu déroulant Procedural Filtering (Filtrage procédural) n'est pas déjà ouvert, cliquez sur le bouton icône Icône Filtrage près du coin supérieur droit. En haut du menu déroulant, utilisez l'icône Curseur Prévalence pour filtrer les événements normaux et cibler les événements plus suspects.

Utiliser le champ de recherche Google Security Operations

Lancez une recherche directement depuis la page d'accueil de Google Security Operations, comme illustré ci-dessous.

Champ de recherche Champ de recherche Google Security Operations

Sur cette page, vous pouvez saisir les termes de recherche suivants:

  • Le nom d'hôte affiche la vue Domaine.
 (plato.example.com, par exemple)
  • Le domaine affiche la vue Domain (Domaine).
 (par exemple, altostrat.com)
  • L'adresse IP affiche la vue Adresse IP.
 (par exemple, 192.168.254.15)
  • L'URL affiche la vue Domaine
 (par exemple, https://new.altostrat.com)
  • Le nom d'utilisateur affiche la vue Asset (Ressource).
 (par exemple, betty-decaro-pc)
  • Le hachage du fichier affiche la vue Hachage.
 (par exemple, e0d123e5f316bef78bfdf5a888837577)

Il n'est pas nécessaire de spécifier le type de terme de recherche que vous saisissez, Google Security Operations la détermine pour vous. Les résultats sont affichés dans l'opinion d'enquête appropriée. Par exemple, si vous saisissez un nom d'utilisateur dans le champ de recherche, affiche la vue Asset (Ressource).

Rechercher des journaux bruts

Vous avez la possibilité d'effectuer une recherche dans la base de données indexée ou de rechercher des données brutes journaux. La recherche dans les journaux bruts est une recherche plus complète, plus longtemps qu'une recherche indexée.

Pour cibler plus précisément votre recherche, vous pouvez utiliser des expressions régulières, faire en sorte que dans l'entrée de recherche sensible à la casse, ou sélectionnez des sources de journal. Vous pouvez également sélectionner la chronologie souhaitée à l'aide des champs Start (Début) et End (Fin).

Pour effectuer une recherche dans le journal brut, procédez comme suit:

  1. Saisissez votre terme de recherche, puis sélectionnez Analyse des journaux bruts dans le menu déroulant. comme illustré dans la figure suivante.

    Menu "Analyse des journaux bruts" Menu déroulant affichant l'option Raw Log Scan (Analyse du journal brut)

  2. Après avoir défini vos critères de recherche bruts, cliquez sur le bouton Rechercher.

  3. La vue Raw Log Scan (Analyse des journaux bruts) vous permet d'analyser vos données de journaux plus en détail.