Analisar possíveis problemas de segurança com o Google Security Operations
Este documento descreve como realizar pesquisas ao investigar alertas e possíveis problemas de segurança usando o Google Security Operations.
Antes de começar
O Google Security Operations foi desenvolvido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.
O Google recomenda atualizar seu navegador para a versão mais recente. Faça o download da versão mais recente do Chrome em https://www.google.com/chrome/.
O Google Security Operations é integrado à sua solução de logon único (SSO). Você pode fazer login nas Operações de segurança do Google usando as credenciais fornecidas pela sua empresa.
Inicie o Chrome ou o Firefox.
Verifique se você tem acesso à sua conta corporativa.
Para acessar o aplicativo Google Security Operations, em que customer_subdomain é o identificador específico do cliente, acesse: https://customer_subdomain.backstory.chronicle.security.
Visualização de alertas e correspondências de IOC
Na barra de navegação, selecione Detecções > Alertas e IOCs (em inglês).
Clique na guia Correspondências de IOC.
Pesquisando correspondências de IOC na visualização Domínio
A coluna Domínio na guia Correspondências de domínio IOC contém uma lista de em domínios suspeitos. Clicar em um domínio nesta coluna abre a visualização Domínio, conforme mostrado na figura a seguir, que fornece informações detalhadas sobre esse domínio.
Visualização Domínio
Pesquisar usando a visualização Usuário
Para navegar até a visualização Usuário, siga estas etapas:
- Na visualização Enterprise Insights, a seção Alertas recentes contém uma coluna que lista os usuários que acionaram um alerta dentro do período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra deslizante de tempo. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para exibir correspondências e alertas.
- Se você clicar no nome do usuário nesta coluna, serão exibidos detalhes sobre a atividade que pode ser necessária para investigar mais a ameaça.
Pesquisar usando a visualização de Recursos
Para acessar a visualização Recurso, siga estas etapas:
- Na visualização Enterprise Insights, a seção Alertas recentes contém uma lista de recursos que acionaram um alerta dentro do período exibido no cabeçalho Enterprise Insights. Esse período pode ser ajustado usando a barra de controle deslizante de tempo. Talvez seja necessário aumentar o intervalo de tempo usando o controle deslizante para exibir correspondências e alertas.
Clique no recurso que você quer explorar mais. O Google Security Operations muda para a visualização Asset, conforme mostrado na figura a seguir.
As bolhas na janela principal indicam a prevalência do recurso. O gráfico é organizado de forma que os eventos que ocorrem com menos frequência fiquem no topo. Esses eventos de baixa prevalência são considerados mais propensos a serem suspeitos. Para dar zoom nos eventos que precisam de mais investigação, use o controle deslizante de período no canto superior direito.
Para restringir ainda mais a pesquisa, use a filtragem procedural. Se o menu suspenso Procedural Filtering ainda não estiver aberto, clique no botão ícone próximo ao canto superior direito. Na parte superior do menu suspenso, use o Controle deslizante de Prevalência para filtrar eventos normais e segmentar eventos mais suspeitos.
Como usar o campo de pesquisa de Operações de segurança do Google
Inicie uma pesquisa diretamente na página inicial das Operações de segurança do Google, conforme mostrado na figura a seguir.
Campo Search das Operações de segurança do Google
Nessa página, você pode inserir os seguintes termos de pesquisa:
|
(por exemplo, plato.example.com) |
|
(por exemplo, altostrat.com) |
|
(por exemplo, 192.168.254.15) |
|
(por exemplo, https://new.altostrat.com) |
|
(por exemplo, betty-decaro-pc) |
|
(por exemplo, e0d123e5f316bef78bfdf5a888837577) |
Não é necessário especificar o tipo de termo de pesquisa inserido. As Operações de segurança do Google fazem isso para você. Os resultados são mostrados de investigação apropriada. Por exemplo, digitar um nome de usuário no campo de pesquisa exibe a visualização Recurso.
Como pesquisar registros brutos
Você tem a opção de pesquisar no banco de dados indexado ou pesquisar sem dados ou de sistemas operacionais de contêineres. A pesquisa de registros brutos é mais abrangente, mas exige por mais tempo do que uma pesquisa indexada.
Para localizar ainda mais sua pesquisa, você pode usar expressões regulares, tornar a pesquisar entradas com diferenciação de maiúsculas e minúsculas ou selecionar origens de registro. Você também pode selecionar a linha do tempo que você quer usando os campos Início e Término.
Para realizar uma pesquisa de registros brutos, siga estas etapas:
Digite seu termo de pesquisa e selecione Verificação de registro bruto no menu suspenso, conforme mostrado na figura a seguir.
Menu suspenso mostrando a opção Verificação de registro bruto
Depois de definir os critérios de pesquisa brutos, clique no botão Pesquisar.
Na visualização Verificação de registro bruto, é possível analisar melhor os dados de registro.