Revisa posibles problemas de seguridad con Google Security Operations
En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Google Security Operations.
Antes de comenzar
Google Security Operations está diseñada para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.
Google recomienda que actualices tu navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome en https://www.google.com/chrome/.
Google Security Operations está integrado en tu solución de inicio de sesión único (SSO). Puedes acceder a Google Security Operations con las credenciales que proporciona tu empresa.
Inicia Chrome o Firefox.
Asegúrate de tener acceso a tu cuenta corporativa.
Para acceder a la aplicación de Google Security Operations, en la que customer_subdomain es el identificador específico del cliente, navega a https://customer_subdomain.backstory.chronicle.security.
Visualización de alertas y coincidencias de IOC
En la barra de navegación, selecciona Detections > Alerts and IOCs.
Haz clic en la pestaña Coincidencias del IOC.
Búsqueda de coincidencias de IOC en la vista Domain
La columna Dominio en la pestaña Coincidencias de dominio de IOC contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abrirá la vista Domain (Dominio), como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.
Vista Domain
Búsqueda con la vista Usuario
Para navegar a la vista Usuario, completa los siguientes pasos:
- En la vista Enterprise Insights, la sección Recent Alerts contiene una columna que enumera los usuarios que activaron una alerta dentro del período que se muestra en el encabezado Enterprise Insights. Este período se puede ajustar con la barra del deslizador de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
- Si haces clic en el nombre de usuario en esta columna, se muestran los detalles sobre la actividad del usuario que podría ser necesaria para investigar la amenaza más a fondo.
Busca con la vista Recurso
Para navegar a la vista Asset, completa los siguientes pasos:
- En la vista Enterprise Insights, la sección Recent Alerts contiene una lista de los recursos que activaron una alerta dentro del período que se muestra en el encabezado Enterprise Insights. Este período se puede ajustar con la barra del deslizador de tiempo. Es posible que debas aumentar el intervalo de tiempo con el control deslizante para que aparezcan las coincidencias y las alertas.
Haz clic en el activo que quieres explorar más a fondo. Google Security Operations cambia a la vista Asset, como se muestra en la siguiente figura.
Las burbujas de la ventana principal indican la prevalencia del recurso. El gráfico está organizado de manera que los eventos que ocurren con menos frecuencia aparecen en la parte superior. Se considera que estos eventos de baja prevalencia son más propensos a ser sospechosos. Para acercar los eventos que requieren más investigación, usa el control deslizante de intervalo de tiempo ubicado en la parte superior derecha.
Se puede reducir aún más la búsqueda con el filtrado de procedimientos. Si el menú desplegable Procedural Filtering no está abierto, haz clic en el ícono cerca de la esquina superior derecha. En la parte superior del menú desplegable, usa el control deslizante Prevalence para filtrar los eventos normales y dirigirte a los más sospechosos.
Cómo usar el campo de búsqueda de Google Security Operations
Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente imagen.
Campo Búsqueda de Google Security Operations
En esta página, puedes ingresar los siguientes términos de búsqueda:
|
(por ejemplo, plat.example.com) |
|
(por ejemplo, altostrat.com). |
|
(por ejemplo, 192.168.254.15). |
|
(por ejemplo, https://new.altostrat.com) |
|
(por ejemplo, betty-decaro-pc) |
|
(por ejemplo, e0d123e5f316bef78bfdf5a888837577) |
No es necesario que especifiques el tipo de término de búsqueda que ingresas, ya que Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación apropiada. Por ejemplo, cuando escribes un nombre de usuario en el campo de búsqueda, se muestra la vista Asset.
Busca registros sin procesar
Tienes la opción de buscar en la base de datos indexada o en los registros sin procesar. La búsqueda en registros sin procesar es una búsqueda más integral, pero lleva más tiempo que una búsqueda indexada.
Para determinar mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes de registro. También puedes seleccionar el cronograma que desees en los campos de hora de inicio y finalización.
Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:
Escribe el término de búsqueda y selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente imagen.
Menú desplegable que muestra la opción Raw Log Scan
Después de establecer los criterios de búsqueda sin procesar, haz clic en el botón Buscar.
En la vista Raw Log Scan, puedes analizar más a fondo tus datos de registro.