Analisar possíveis problemas de segurança com o Google Security Operations

Este documento descreve como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando o Google Security Operations.

Antes de começar

O Google Security Operations foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

O Google recomenda atualizar seu navegador para a versão mais recente. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.

O Google Security Operations é integrado à sua solução de logon único (SSO). Você pode fazer login nas operações de segurança do Google usando as credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Verifique se você tem acesso à sua conta corporativa.

  3. Para acessar o aplicativo Google Security Operations, em que customer_subdomain é o identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.

Como visualizar alertas e correspondências de IOC

  1. Na barra de navegação, selecione Detections > Alerts and IOCs.

  2. Clique na guia IOC Matches.

Pesquisar correspondências de IOC na visualização Domínio

A coluna Domain na guia IOC Domain Matches contém uma lista de domínios suspeitos. Clicar em um domínio nessa coluna abre a visualização Domain, como mostrado na figura abaixo, com informações detalhadas sobre esse domínio.

Visualização de domínio Visualização Domain

Pesquisar usando a visualização Usuário

Para navegar até a visualização Usuário, siga estas etapas:

  1. Na visualização Insights da empresa, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta no período mostrado no cabeçalho Insights da empresa. Esse período pode ser ajustado usando a barra de controle deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas apareçam.
  2. Clicar no nome do usuário nessa coluna mostra detalhes sobre a atividade do usuário, que podem ser necessários para investigar a ameaça.

Pesquisar usando a visualização Recurso

Para navegar até a visualização Asset, siga estas etapas:

  1. Na visualização Insights empresariais, a seção Alertas recentes contém uma lista de recursos que acionaram um alerta no período mostrado no cabeçalho Insights empresariais. Esse período pode ser ajustado usando a barra de controle deslizante de tempo. Talvez seja necessário aumentar o período usando o controle deslizante para que as correspondências e os alertas apareçam.

  2. Clique no recurso que você quer conhecer melhor. O Google Security Operations muda para a visualização Asset, conforme mostrado na figura a seguir.

    Visualização de recursos

  3. As bolhas na janela principal indicam a prevalência do recurso. O gráfico é organizado para que os eventos que ocorrem com menos frequência fiquem na parte de cima. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para dar zoom nos eventos que precisam de mais investigação, use o controle deslizante de período no canto superior direito.

  4. É possível restringir ainda mais a pesquisa usando a filtragem procedural. Se o menu suspenso Filtragem procedural ainda não estiver aberto, clique no ícone Ícone de filtragem perto do canto superior direito. Na parte de cima do menu suspenso, use o controle deslizante Prevalence para filtrar eventos normais e segmentar eventos mais suspeitos.

Como usar o campo de pesquisa do Google Security Operations

Inicie uma pesquisa diretamente na página inicial das Operações de segurança do Google, conforme mostrado na figura a seguir.

Campo de pesquisa Campo Search do Google Security Operations

Nessa página, você pode inserir os seguintes termos de pesquisa:

  • O nome do host mostra a visualização Domain
 (por exemplo, plato.example.com)
  • O domínio mostra a visualização Domínio
 (por exemplo, altostrat.com)
  • O endereço IP mostra a visualização Endereço IP
 (por exemplo, 192.168.254.15)
  • O URL mostra a visualização Domínio
 (por exemplo, https://new.altostrat.com)
  • O nome de usuário mostra a visualização Recurso
 (por exemplo, betty-decaro-pc)
  • O hash de arquivo mostra a visualização Hash.
 (por exemplo, e0d123e5f316bef78bfdf5a888837577)

Não é necessário especificar o tipo de termo de pesquisa que você está digitando. O Google Security Operations determina isso para você. Os resultados são mostrados na visualização de investigação adequada. Por exemplo, digitar um nome de usuário no campo de pesquisa mostra a visualização Asset.

Pesquisar registros brutos

Você tem a opção de pesquisar o banco de dados indexado ou pesquisar registros brutos. A pesquisa de registros brutos é mais abrangente, mas leva mais tempo do que uma pesquisa indexada.

Para refinar ainda mais sua pesquisa, use expressões regulares, diferencie maiúsculas de minúsculas na entrada de pesquisa ou selecione origens de registro. Também é possível selecionar a linha do tempo desejada usando os campos de horário Início e Término.

Para realizar uma pesquisa de registro bruto, siga estas etapas:

  1. Digite o termo de pesquisa e selecione Verificação de registro bruto no menu suspenso, conforme mostrado na figura a seguir.

    Menu de verificação de registro bruto Menu suspenso mostrando a opção Verificação de registro bruto

  2. Depois de definir os critérios de pesquisa brutos, clique no botão Pesquisar.

  3. Na visualização Verificação de registro bruto, você pode analisar melhor os dados de registro.