Revisa posibles problemas de seguridad con Google Security Operations

Este documento describe cómo realizar búsquedas al investigar alertas y posibles problemas de seguridad con Google Security Operations.

Antes de comenzar

Google Security Operations está diseñada para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda que actualices tu navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.

Google Security Operations está integrado en tu solución de inicio de sesión único (SSO). Puedes acceder a Google Security Operations con las credenciales que proporciona tu empresa.

  1. Inicia Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la aplicación de Google Security Operations, donde customer_subdomain es tu identificador específico del cliente. Navega a: https://customer_subdomain.backstory.chronicle.security.

Visualización de alertas y coincidencias de IOC

  1. En la barra de navegación, selecciona Detectaciones > IOC y alertas.

  2. Haz clic en la pestaña Coincidencias del IOC.

Búsqueda de coincidencias de IOC en la vista Domain

La columna Dominio en la pestaña Coincidencias de dominio IOC contiene una lista de los dominios sospechosos. Si haces clic en un dominio de esta columna, se abrirá la vista Dominio, como se muestra a continuación en la siguiente figura, que proporciona información detallada sobre este dominio.

Vista de dominios Vista Domain

Búsqueda con la vista Usuario

Para navegar a la vista Usuario, completa los siguientes pasos:

  1. En la vista Enterprise Insights, la sección Alertas recientes contiene una columna con los usuarios que activaron una alerta dentro del período establecido en el encabezado Estadísticas empresariales. Este período es ajustable usando la barra deslizable de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
  2. Si haces clic en el nombre de usuario en esta columna, se mostrarán los detalles sobre el nombre del usuario necesarias para investigar más a fondo la amenaza.

Busca con la vista Recurso

Para navegar a la vista Asset, completa los siguientes pasos:

  1. En la vista Enterprise Insights, la sección Alertas recientes contiene una lista de recursos que activaron una alerta dentro del período establecido en el encabezado Estadísticas empresariales. Este período es ajustable usando la barra deslizable de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.

  2. Haz clic en el activo que quieres explorar más a fondo. Google Security Operations se reorienta Asset como se muestra en la siguiente imagen.

    Vista de recursos

  3. Las burbujas de la ventana principal indican la prevalencia del recurso. El gráfico está organizado de manera que los eventos que ocurren con menos frecuencia aparecen en la parte superior. Estos los eventos de baja prevalencia se consideran más propensos a ser sospechosos. Cómo hacer zoom a los eventos que requieren más investigación, usa el control deslizante de intervalo de tiempo arriba a la derecha.

  4. Se puede reducir aún más la búsqueda con el filtrado de procedimientos. Si el menú desplegable Filtrado de procedimientos no está abierto, haz clic en ícono Ícono de filtro cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa Control deslizante de Prevalencia para filtrar los eventos normales y apuntar a los más sospechosos.

Cómo usar el campo de búsqueda de Google Security Operations

Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente imagen.

Campo de búsqueda Campo Búsqueda de Google Security Operations

En esta página, puedes ingresar los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Dominio.
 (por ejemplo, plat.example.com)
  • El dominio muestra la vista Dominio
 (por ejemplo, altostrat.com).
  • La dirección IP muestra la vista Dirección IP.
 (por ejemplo, 192.168.254.15).
  • La URL muestra la vista Dominio.
 (por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la vista Recurso
 (por ejemplo, betty-decaro-pc)
  • El hash del archivo muestra la vista Hash
 (por ejemplo, e0d123e5f316bef78bfdf5a888837577)

No es necesario que especifiques el tipo de término de búsqueda que ingresas, Google Security Operations lo determina por ti. Los resultados se muestran en la una visión investigativa adecuada. Por ejemplo, escribir un nombre de usuario en el campo de búsqueda muestra la vista Asset.

Busca registros sin procesar

Puedes buscar en la base de datos indexada o en la base de datos sin procesar los registros del sistema operativo. La búsqueda de registros sin procesar es una búsqueda más integral, pero más larga que una búsqueda indexada.

Para determinar mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distingue mayúsculas de minúsculas o selecciona fuentes del registro. También puedes seleccionar del cronograma que desees; para ello, usa los campos de hora de inicio y finalización.

Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:

  1. Escribe el término de búsqueda y, luego, selecciona Raw Log Scan del menú desplegable. como se muestra en la siguiente figura.

    Menú de análisis de registros sin procesar Menú desplegable que muestra la opción Análisis de registros sin procesar

  2. Después de establecer los criterios de búsqueda sin procesar, haz clic en el botón Buscar.

  3. En la vista Raw Log Scan, puedes analizar más a fondo tus datos de registro.