Meninjau potensi masalah keamanan dengan Google Security Operations

Dokumen ini menjelaskan cara melakukan penelusuran saat menyelidiki pemberitahuan dan potensi masalah keamanan menggunakan Google Security Operations.

Sebelum memulai

Google Security Operations dirancang untuk berfungsi secara eksklusif dengan browser Google Chrome atau Mozilla Firefox.

Google merekomendasikan untuk mengupgrade browser Anda ke versi terbaru. Anda dapat mendownload Chrome versi terbaru dari https://www.google.com/chrome/.

Google Security Operations terintegrasi ke dalam solusi single sign-on (SSO) Anda. Anda dapat login ke Google Security Operations menggunakan kredensial yang diberikan oleh perusahaan Anda.

  1. Luncurkan Chrome atau Firefox.

  2. Pastikan Anda memiliki akses ke akun perusahaan.

  3. Untuk mengakses aplikasi Google Security Operations, dengan customer_subdomain adalah ID khusus pelanggan Anda, buka: https://customer_subdomain.backstory.chronicle.security.

Melihat Pemberitahuan dan Kecocokan IOC

  1. Di menu navigasi, pilih Detections > Alerts and IOCs.

  2. Klik tab IOC Matches.

Menelusuri kecocokan IOC dalam tampilan Domain

Kolom Domain di tab IOC Domain Matches berisi daftar domain yang dicurigai. Mengklik domain di kolom ini akan membuka tampilan Domain, seperti yang ditunjukkan pada gambar berikut, yang memberikan informasi mendetail tentang domain ini.

Tampilan Domain Tampilan Domain

Menelusuri menggunakan tampilan Pengguna

Untuk membuka tampilan Pengguna, selesaikan langkah-langkah berikut:

  1. Dari tampilan Enterprise Insights, bagian Recent Alerts berisi kolom yang mencantumkan pengguna yang telah memicu pemberitahuan dalam jangka waktu yang ditampilkan di header Enterprise Insights. Jangka waktu ini dapat disesuaikan menggunakan panel penggeser waktu. Anda mungkin harus memperpanjang rentang waktu menggunakan penggeser agar pencocokan dan pemberitahuan muncul.
  2. Mengklik nama pengguna di kolom ini akan menampilkan detail tentang aktivitas pengguna yang mungkin diperlukan untuk menyelidiki ancaman lebih lanjut.

Menelusuri menggunakan tampilan Aset

Untuk membuka tampilan Aset, selesaikan langkah-langkah berikut:

  1. Dari tampilan Insight Perusahaan, bagian Pemberitahuan Terbaru berisi daftar aset yang telah memicu pemberitahuan dalam jangka waktu yang ditampilkan di header Insight Perusahaan. Jangka waktu ini dapat disesuaikan menggunakan panel penggeser waktu. Anda mungkin harus memperpanjang rentang waktu menggunakan penggeser agar kecocokan dan pemberitahuan muncul.

  2. Klik aset yang ingin Anda jelajahi lebih lanjut. Google Security Operations beralih ke tampilan Aset seperti yang ditunjukkan pada gambar berikut.

    Tampilan aset

  3. Balon di jendela utama menunjukkan prevalensi aset. Grafik disusun sehingga peristiwa yang lebih jarang terjadi berada di bagian atas. Peristiwa dengan prevalensi rendah ini dianggap lebih cenderung mencurigakan. Untuk memperbesar peristiwa yang memerlukan penyelidikan lebih lanjut, gunakan penggeser rentang waktu di kanan atas.

  4. Anda dapat mempersempit penelusuran lebih lanjut menggunakan Pemfilteran Terprogram. Jika menu dropdown Pemfilteran Terprogram belum terbuka, klik ikon Ikon Pemfilteran di dekat sudut kanan atas. Di bagian atas menu dropdown, gunakan penggeser Prevalensi untuk memfilter peristiwa normal dan menargetkan peristiwa yang lebih mencurigakan.

Menggunakan kolom Penelusuran Google Security Operations

Mulai penelusuran langsung dari halaman beranda Google Security Operations, seperti yang ditunjukkan pada gambar berikut.

Kolom Penelusuran Kolom Telusuri Google Security Operations

Di halaman ini, Anda dapat memasukkan istilah penelusuran berikut:

  • Nama host menampilkan tampilan Domain
 (misalnya, plato.example.com)
  • Domain menampilkan tampilan Domain
 (misalnya, altostrat.com)
  • Alamat IP menampilkan tampilan Alamat IP
 (misalnya, 192.168.254.15)
  • URL menampilkan tampilan Domain
 (misalnya, https://new.altostrat.com)
  • Nama pengguna menampilkan tampilan Aset
 (misalnya, betty-decaro-pc)
  • Hash file menampilkan tampilan Hash
 (misalnya, e0d123e5f316bef78bfdf5a888837577)

Anda tidak perlu menentukan jenis istilah penelusuran yang Anda masukkan, Operasi Keamanan Google akan menentukannya untuk Anda. Hasilnya ditampilkan dalam tampilan investigasi yang sesuai. Misalnya, mengetik nama pengguna di kolom penelusuran akan menampilkan tampilan Aset.

Menelusuri log mentah

Anda memiliki opsi untuk menelusuri database yang diindeks atau menelusuri log mentah. Menelusuri log mentah adalah penelusuran yang lebih komprehensif, tetapi memerlukan waktu lebih lama daripada penelusuran yang diindeks.

Untuk lebih mempersempit penelusuran, Anda dapat menggunakan ekspresi reguler, membuat entri penelusuran peka huruf besar/kecil, atau memilih sumber log. Anda juga dapat memilih linimasa yang diinginkan menggunakan kolom waktu Mulai dan Akhir.

Untuk melakukan penelusuran log mentah, selesaikan langkah-langkah berikut:

  1. Ketik istilah penelusuran, lalu pilih Raw Log Scan di menu dropdown, seperti yang ditunjukkan pada gambar berikut.

    Menu Pemindaian Log Mentah Menu drop-down yang menampilkan opsi Raw Log Scan

  2. Setelah menetapkan kriteria penelusuran mentah, klik tombol Telusuri.

  3. Dari tampilan Pemindaian Log Mentah, Anda dapat menganalisis data log lebih lanjut.