Revisa los posibles problemas de seguridad con las operaciones de seguridad de Google
En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con las operaciones de seguridad de Google.
Antes de comenzar
Las operaciones de seguridad de Google están diseñadas para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.
Google recomienda actualizar el navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.
Las operaciones de seguridad de Google están integradas en tu solución de inicio de sesión único (SSO). Puedes acceder a las operaciones de seguridad de Google con las credenciales que proporcionó tu empresa.
Inicia Chrome o Firefox.
Asegúrate de tener acceso a tu cuenta corporativa.
Para acceder a la aplicación de operaciones de seguridad de Google, en la que customer_subdomain es tu identificador específico del cliente, navega a https://customer_subdomain.backstory.chronicle.security.
Visualización de alertas y coincidencias de IOC
En la barra de navegación, selecciona Detectiones > IOC y alertas.
Haz clic en la pestaña IOC Matches.
Búsqueda de coincidencias de IOC en la vista Dominio
La columna Dominio en la pestaña Coincidencias de dominio de IOC contiene una lista de dominios potenciales. Cuando haces clic en un dominio de esta columna, se abre la vista Dominio, como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.
Vista del dominio
Búsquedas con la vista Usuario
Para navegar a la vista Usuario, completa los siguientes pasos:
- En la vista de Estadísticas empresariales, la sección Alertas recientes contiene una columna que enumera los usuarios que activaron una alerta dentro del período que se muestra en el encabezado Enterprise Insights. Este período se puede ajustar con la barra deslizante de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
- Si haces clic en el nombre de usuario en esta columna, se mostrarán los detalles de la actividad del usuario que podría ser necesario para investigar la amenaza en más detalle.
Realiza búsquedas con la vista Recurso
Para navegar a la vista Asset, sigue estos pasos:
- En la vista de Estadísticas empresariales, la sección Alertas recientes contiene una lista de los recursos que activaron una alerta dentro del período que se muestra en el encabezado Enterprise Insights. Este período se puede ajustar con la barra deslizante de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
Haz clic en el recurso que deseas explorar más a fondo. Las operaciones de seguridad de Google cambian a la vista Asset, como se muestra en la siguiente imagen.
Las burbujas de la ventana principal indican la prevalencia del recurso. El gráfico está organizado de modo que los eventos que ocurren con menos frecuencia aparecen en la parte superior. Se considera que estos eventos de baja prevalencia son más sospechosos. Para acercar los eventos que requieren una investigación más detallada, usa el control deslizante de intervalo de tiempo que se encuentra en la esquina superior derecha.
Puedes reducir aún más la búsqueda con el Filtrado de procedimientos. Si el menú desplegable Procedural Filtering no está abierto, haz clic en el ícono cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa el control deslizante Prevalence para filtrar los eventos normales y seleccionar los más sospechosos.
Uso del campo de búsqueda de operaciones de seguridad de Google
Inicia una búsqueda directamente desde la página principal de Operaciones de seguridad de Google, como se muestra en la siguiente imagen.
Campo Search de las operaciones de seguridad de Google
En esta página, puedes ingresar los siguientes términos de búsqueda:
|
(por ejemplo, platillo.example.com) |
|
(por ejemplo, altostrat.com) |
|
(por ejemplo, 192.168.254.15) |
|
(por ejemplo, https://new.altostrat.com) |
|
(por ejemplo, betty-decaro-pc) |
|
(por ejemplo, e0d123e5f316bef78bfdf5a888837577) |
No es necesario que especifiques el tipo de término de búsqueda que ingresas, ya que el equipo de operaciones de seguridad de Google lo determina por ti. Los resultados se muestran en la vista de investigación adecuada. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Asset.
Busca registros sin procesar
Tienes la opción de buscar en la base de datos indexada o en registros sin procesar. La búsqueda de registros sin procesar es una búsqueda más completa, pero lleva más tiempo que una búsqueda indexada.
Para identificar aún más tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes de registro. También puedes seleccionar el cronograma que desees con los campos de hora Start y End.
Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:
Escribe el término de búsqueda y selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente figura.
Menú desplegable que muestra la opción Análisis de registros sin procesar
Después de establecer los criterios de búsqueda sin procesar, haz clic en el botón Buscar.
Desde la vista Análisis de registros sin procesar, puedes analizar en más detalle tus datos de registro.