Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen
In diesem Dokument wird beschrieben, wie Sie bei der Untersuchung von Benachrichtigungen und mithilfe von Google Security Operations mögliche Sicherheitsprobleme beheben.
Hinweise
Google Security Operations funktioniert ausschließlich mit den Browsern Google Chrome oder Mozilla Firefox.
Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die aktuelle Version von Chrome unter https://www.google.com/chrome/ herunterladen.
Google Security Operations ist in Ihre Lösung für die Einmalanmeldung (SSO) integriert. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.
Starten Sie Chrome oder Firefox.
Stellen Sie sicher, dass Sie Zugriff auf Ihr Unternehmenskonto haben.
Für den Zugriff auf die Google Security Operations-Anwendung, wobei customer_subdomain Ihre kundenspezifische Kennung ist, rufen Sie Folgendes auf: https://customer_subdomain.backstory.chronicle.security.
Benachrichtigungen und IOC-Übereinstimmungen ansehen
Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs.
Klicken Sie auf den Tab IOC-Übereinstimmungen.
In der Ansicht Domain nach IOC-Übereinstimmungen suchen
Die Spalte Domain auf dem Tab IOC Domain Matches enthält eine Liste von verdächtige Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe Abbildung). in der folgenden Abbildung mit detaillierten Informationen zu dieser Domain.
Ansicht Domain
Suche in der Ansicht Nutzer
So rufen Sie die Ansicht Nutzer auf:
- In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen Spalte mit einer Liste der Nutzer, die innerhalb des Zeitraums eine Benachrichtigung ausgelöst haben werden im Header Enterprise Insights angezeigt. Dieser Zeitraum ist anpassbar mithilfe des Zeitschiebereglers. Möglicherweise müssen Sie den Zeitraum um Übereinstimmungen und Benachrichtigungen anzuzeigen.
- Wenn Sie in dieser Spalte auf den Namen des Nutzers klicken, werden Details zum die zur weiteren Untersuchung der Bedrohung erforderlich sind.
Suche über die Asset-Ansicht
So rufen Sie die Ansicht Asset auf:
- In der Ansicht Enterprise Insights enthält der Bereich Aktuelle Benachrichtigungen Liste der Assets, die innerhalb des Zeitraums eine Benachrichtigung ausgelöst haben werden im Header Enterprise Insights angezeigt. Dieser Zeitraum ist anpassbar mithilfe des Zeitschiebereglers. Möglicherweise müssen Sie den Zeitraum um Übereinstimmungen und Benachrichtigungen anzuzeigen.
Klicken Sie auf das Asset, das Sie sich genauer ansehen möchten. Google Security Operations ändert sich Asset-Ansicht wie in der folgenden Abbildung dargestellt.
Die Blasen im Hauptfenster geben die Verbreitung des Assets an. Die Grafik ist so angeordnet, dass seltener auftretende Ereignisse oben angezeigt werden. Diese Ereignisse mit geringer Prävalenz gelten als eher verdächtig. Zoomen zu den Ereignissen, die näher untersucht werden müssen, oben rechts.
Sie können die Suche über die prozedurale Filterung weiter eingrenzen. Wenn das Drop-down-Menü Prozedurales Filtern noch nicht geöffnet ist, klicken Sie auf das Drop-down-Menü Symbol . Verwenden Sie oben im Drop-down-Menü das Symbol Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und eine Ausrichtung auf verdächtige Ereignisse vorzunehmen.
Google Security Operations Search-Feld verwenden
Sie können die Suche direkt auf der Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.
Google Security Operations-Suchfeld
Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:
|
(z. B. plato.beispiel.de) |
|
(z. B. altostrat.com) |
|
(z. B. 192.168.254.15) |
|
(z. B. https://new.altostrat.com) |
|
(z. B. betty-decaro-pc) |
|
(z. B. e0d123e5f316bef78bfdf5a888837577) |
Sie müssen nicht die Art des Suchbegriffs angeben, Google Security Operations übernimmt die Entscheidung für Sie. Die Ergebnisse werden im und der Untersuchungsperspektive zu. Beispiel: Eingabe eines Nutzernamens in das Suchfeld zeigt die Ansicht Asset an.
Rohlogs durchsuchen
Sie können die indexierte Datenbank oder die Rohdaten Logs. Die Suche in Rohprotokollen ist eine umfassendere Suche, länger als eine indexierte Suche ist.
Um Ihre Suche noch präziser zu gestalten, können Sie reguläre Ausdrücke verwenden, Groß-/Kleinschreibung beachten oder Protokollquellen auswählen. Sie können auch Legen Sie mithilfe der Felder Start und Ende die gewünschte Zeitachse fest.
So führen Sie eine Rohprotokollsuche durch:
Geben Sie Ihren Suchbegriff ein und wählen Sie im Drop-down-Menü Raw Log Scan aus. wie in der folgenden Abbildung dargestellt.
Drop-down-Menü mit der Option Raw Log Scan (Raw-Log-Scan)
Nachdem Sie die Kriterien für die unformatierte Suche festgelegt haben, klicken Sie auf die Schaltfläche Suchen.
In der Ansicht Raw Log Scan können Sie Ihre Logdaten weiter analysieren.