Analise possíveis problemas de segurança com as Operações de segurança do Google

Neste documento, descrevemos como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando as Operações de segurança do Google.

Antes de começar

O Google Security Operations foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais recente. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Google Security Operations é integrado à sua solução de logon único (SSO). Você pode fazer login nas Operações de segurança do Google usando as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Google Security Operations, em que customer_subdomain é o identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.

Visualização de alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detecção > Alertas e IOCs.

  2. Clique na guia Correspondências de IOC.

Pesquisando correspondências de IOC na visualização Domínio

A coluna Domínio na guia Correspondências de domínio IOC contém uma lista de domínios suspeitos. Clicar em um domínio nesta coluna abre a visualização Domínio, conforme mostrado na figura a seguir, com informações detalhadas sobre esse domínio.

Visualização do domínio Visualização de domínio

Pesquisar usando a visualização Usuário

Para navegar até a visualização Usuário, siga estas etapas:

  1. Na visualização Enterprise Insights, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta no período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que correspondências e alertas apareçam.
  2. Clique no nome do usuário nessa coluna para ver detalhes sobre a atividade do usuário, que podem ser necessários para uma investigação mais aprofundada da ameaça.

Pesquisar usando a visualização de Recursos

Para acessar a visualização Recurso, siga estas etapas:

  1. Na visualização Enterprise Insights, a seção Alertas recentes contém uma lista dos recursos que acionaram um alerta no período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que correspondências e alertas apareçam.

  2. Clique no recurso que você quer explorar mais. O Google Security Operations alterna para a visualização Asset, conforme mostrado na figura a seguir.

    Visualização dos recursos

  3. Os balões na janela principal indicam a prevalência do recurso. O gráfico é organizado de forma que os eventos que ocorrem com menos frequência fiquem no topo. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para aumentar o zoom nos eventos que exigem uma investigação mais aprofundada, use o controle deslizante de período no canto superior direito.

  4. Para restringir ainda mais a pesquisa, use a filtragem procedural. Se o menu suspenso Filtragem de procedimentos ainda não estiver aberto, clique no ícone Ícone de filtragem próximo ao canto superior direito. Na parte de cima do menu suspenso, use o controle deslizante Prevalência para filtrar eventos normais e direcionar para eventos mais suspeitos.

Como usar o campo de pesquisa de Operações de segurança do Google

Inicie uma pesquisa diretamente na página inicial das Operações de segurança do Google, como mostrado na figura a seguir.

Campo de pesquisa Campo Search das Operações de segurança do Google

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domínio
 (por exemplo, plato.example.com)
  • O domínio exibe a visualização Domínio.
 (por exemplo, altostrat.com)
  • O endereço IP exibe a visualização Endereço IP.
 (por exemplo, 192.168.254.15)
  • O URL mostra a visualização Domínio
 (por exemplo, https://new.altostrat.com).
  • O nome de usuário exibe a visualização Recurso.
 (por exemplo, betty-decaro-pc)
  • O hash de arquivo mostra a visualização Hash.
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa que você está inserindo. As Operações de segurança do Google fazem isso para você. Os resultados são mostrados na visualização investigativa apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa exibe a visualização Asset.

Como pesquisar registros brutos

Você tem a opção de pesquisar no banco de dados indexado ou em registros brutos. A pesquisa de registros brutos é mais abrangente, mas leva mais tempo do que uma indexada.

Para identificar ainda mais sua pesquisa, é possível usar expressões regulares, diferenciar maiúsculas de minúsculas ou selecionar origens de registro. Também é possível selecionar a linha do tempo que você quer usando os campos de horário de início e término.

Para realizar uma pesquisa de registros brutos, siga estas etapas:

  1. Digite seu termo de pesquisa e selecione Verificação de registro bruto no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registro bruto Menu suspenso com a opção Verificação de registro bruto

  2. Após definir os critérios de pesquisa bruta, clique no botão Pesquisar.

  3. Na visualização Verificação de registro bruto, é possível analisar melhor os dados de registro.