Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen
In diesem Dokument wird beschrieben, wie Sie Suchvorgänge ausführen, wenn Sie Benachrichtigungen und potenzielle Sicherheitsprobleme mit Google Security Operations untersuchen.
Hinweise
Google Security Operations funktioniert ausschließlich mit den Browsern Google Chrome oder Mozilla Firefox.
Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die aktuelle Version von Chrome unter https://www.google.com/chrome/ herunterladen.
Google Security Operations ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.
Starten Sie Chrome oder Firefox.
Stellen Sie sicher, dass Sie Zugriff auf Ihr Unternehmenskonto haben.
Rufen Sie die Google Security Operations-Anwendung auf, wobei customer_subdomain Ihre kundenspezifische Kennung ist: https://customer_subdomain.backstory.chronicle.security.
Benachrichtigungen und IOC-Übereinstimmungen ansehen
Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs aus.
Klicken Sie auf den Tab IOC-Übereinstimmungen.
In der Ansicht Domain nach IOC-Übereinstimmungen suchen
Die Spalte Domain auf dem Tab IOC Domain Matches enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet, wie in der folgenden Abbildung dargestellt. Sie enthält detaillierte Informationen zu dieser Domain.
Ansicht Domain
Suche in der Ansicht Nutzer
So rufen Sie die Ansicht Nutzer auf:
- In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen eine Spalte mit einer Liste der Nutzer, die innerhalb des im Header Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum ist über den Zeitschieberegler anpassbar. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
- Wenn Sie in dieser Spalte auf den Nutzernamen klicken, werden Details zur Nutzeraktivität angezeigt, die möglicherweise für eine weitere Untersuchung der Bedrohung erforderlich sind.
Suche über die Asset-Ansicht
So rufen Sie die Ansicht Asset auf:
- In der Ansicht Enterprise Insights enthält der Abschnitt Aktuelle Benachrichtigungen eine Liste der Assets, die innerhalb des im Header Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum ist über den Zeitschieberegler anpassbar. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler erhöhen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
Klicken Sie auf das Asset, das Sie sich genauer ansehen möchten. Google Security Operations wechselt zur Asset-Ansicht, wie in der folgenden Abbildung dargestellt.
Die Blasen im Hauptfenster geben die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass seltener auftretende Ereignisse oben angezeigt werden. Solche Ereignisse mit geringer Prävalenz gelten als eher verdächtig. Mit dem Schieberegler rechts oben können Sie die Ereignisse vergrößern, die näher untersucht werden müssen.
Sie können die Suche über die prozedurale Filterung weiter eingrenzen. Wenn das Drop-down-Menü Prozedurales Filtern noch nicht geöffnet ist, klicken Sie oben rechts auf das Symbol
. Verwenden Sie oben im Drop-down-Menü den Schieberegler Prävalenz, um normale Ereignisse herauszufiltern und eine Ausrichtung auf verdächtigere Ereignisse vorzunehmen.
Google Security Operations Search-Feld verwenden
Sie können die Suche direkt auf der Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.
Google Security Operations-Feld Search
Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:
|
(z. B. plato.beispiel.de) |
|
(z. B. altostrat.com) |
|
(z. B. 192.168.254.15) |
|
(z. B. https://new.altostrat.com) |
|
(z. B. betty-decaro-pc) |
|
(z. B. e0d123e5f316bef78bfdf5a888837577) |
Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Google Security Operations bestimmt ihn für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht dargestellt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset aufgerufen.
Rohlogs durchsuchen
Sie können entweder in der indexierten Datenbank oder in Rohlogs suchen. Die Suche in Rohlogs ist eine umfassendere Suche, dauert jedoch länger als eine indexierte Suche.
Wenn Sie Ihre Suche genauer eingrenzen möchten, können Sie reguläre Ausdrücke verwenden, die Groß-/Kleinschreibung des Sucheintrags beachten oder Logquellen auswählen. Sie können auch die gewünschte Zeitachse in den Feldern Beginn und Ende auswählen.
So führen Sie eine Rohprotokollsuche durch:
Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü die Option Raw Log Scan aus, wie in der folgenden Abbildung dargestellt.
Drop-down-Menü mit der Option Raw Log Scan (Raw-Log-Scan)
Nachdem Sie die Kriterien für die unformatierte Suche festgelegt haben, klicken Sie auf die Schaltfläche Suchen.
In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.