Analise possíveis problemas de segurança com as Operações de segurança do Google

Este documento descreve como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando as Operações de segurança do Google.

Antes de começar

O Google Security Operations foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais recente. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Google Security Operations é integrado à sua solução de logon único (SSO). Você pode fazer login nas Operações de segurança do Google usando as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Operações de segurança do Google, em que customer_subdomain é o identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.

Visualização de alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detecções > Alertas e IOCs (em inglês).

  2. Clique na guia Correspondências de IOC.

Pesquisando correspondências de IOC na visualização Domínio

A coluna Domínio na guia Correspondências de domínio IOC contém uma lista de em domínios suspeitos. Clicar em um domínio nesta coluna abre a visualização Domínio, conforme mostrado na figura a seguir, que fornece informações detalhadas sobre esse domínio.

Visualização do domínio Visualização Domínio

Pesquisar usando a visualização Usuário

Para navegar até a visualização Usuário, siga estas etapas:

  1. Na visualização Enterprise Insights, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta dentro do período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para exibir correspondências e alertas.
  2. Se você clicar no nome do usuário nesta coluna, serão exibidos detalhes sobre a atividade que pode ser necessária para investigar mais a ameaça.

Pesquisar usando a visualização de Recursos

Para acessar a visualização Recurso, siga estas etapas:

  1. Na visualização Enterprise Insights, a seção Alertas recentes contém uma lista de recursos que acionaram um alerta dentro do período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para exibir correspondências e alertas.

  2. Clique no recurso que você quer explorar mais. As Operações de segurança do Google Asset, conforme mostrado na figura a seguir.

    Visualização dos recursos

  3. Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado de forma que os eventos que ocorrem com menos frequência fiquem no topo. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para aplicar zoom aos eventos que exigem uma investigação mais aprofundada, use o controle deslizante de período no canto superior direito.

  4. Para restringir ainda mais a pesquisa, use a filtragem procedural. Se o menu suspenso Procedural Filtering ainda não estiver aberto, clique no botão ícone Ícone de filtragem próximo ao canto superior direito. Na parte superior do menu suspenso, use o Controle deslizante de Prevalência para filtrar eventos normais e segmentar eventos mais suspeitos.

Como usar o campo de pesquisa de Operações de segurança do Google

Inicie uma pesquisa diretamente na página inicial das Operações de segurança do Google, como mostrado na figura a seguir.

Campo de pesquisa Campo Search das Operações de segurança do Google

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domínio
 (por exemplo, plato.example.com)
  • O domínio exibe a visualização Domínio.
 (por exemplo, altostrat.com)
  • O endereço IP exibe a visualização Endereço IP.
 (por exemplo, 192.168.254.15)
  • O URL mostra a visualização Domínio
 (por exemplo, https://new.altostrat.com).
  • O nome de usuário exibe a visualização Recurso.
 (por exemplo, betty-decaro-pc)
  • O hash de arquivo mostra a visualização Hash.
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa inserido. As Operações de segurança do Google fazem isso para você. Os resultados são mostrados de investigação apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa exibe a visualização Recurso.

Como pesquisar registros brutos

Você tem a opção de pesquisar no banco de dados indexado ou pesquisar sem dados ou de sistemas operacionais de contêineres. A pesquisa de registros brutos é mais abrangente, mas exige por mais tempo do que uma pesquisa indexada.

Para localizar ainda mais sua pesquisa, você pode usar expressões regulares, tornar a pesquisar entradas com diferenciação de maiúsculas e minúsculas ou selecionar origens de registro. Você também pode selecionar a linha do tempo que você quer usando os campos Início e Término.

Para realizar uma pesquisa de registros brutos, siga estas etapas:

  1. Digite seu termo de pesquisa e selecione Verificação de registro bruto no menu suspenso. como mostrado na figura a seguir.

    Menu de verificação de registro bruto Menu suspenso mostrando a opção Verificação de registro bruto

  2. Após definir os critérios de pesquisa bruta, clique no botão Pesquisar.

  3. Na visualização Verificação de registro bruto, é possível analisar melhor os dados de registro.