Esamina i potenziali problemi di sicurezza con Google Security Operations

Questo documento descrive come effettuare ricerche durante l'analisi di avvisi e potenziali problemi di sicurezza utilizzando Google Security Operations.

Prima di iniziare

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare la versione più recente di Chrome da https://www.google.com/chrome/.

Google Security Operations è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google Security Operations utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google Security Operations, dove customer_subdomain è il tuo identificatore specifico del cliente, vai a: https://customer_subdomain.backstory.chronicle.security.

Visualizzazione di avvisi e corrispondenze IOC

  1. Nella barra di navigazione, seleziona Rilevamenti > Avvisi e IOC.

  2. Fai clic sulla scheda Corrispondenze IOC.

La ricerca di corrispondenze IOC nella vista Dominio

La colonna Dominio della scheda Corrispondenze di domini IOC contiene un elenco di domini sospetti. Se fai clic su un dominio in questa colonna, si apre la visualizzazione Dominio, come mostrato nella figura seguente, che fornisce informazioni dettagliate sul dominio.

Vista dominio Vista Dominio

Ricerca con la vista Utente

Per passare alla visualizzazione Utente, completa i seguenti passaggi:

  1. Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene una colonna in cui sono elencati gli utenti che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile utilizzando la barra del dispositivo di scorrimento temporale. Potresti dover aumentare l'intervallo di tempo usando il cursore per visualizzare corrispondenze e avvisi.
  2. Se fai clic sul nome utente in questa colonna, vengono visualizzati i dettagli relativi all'attività dell'utente, che potrebbero essere necessari per esaminare ulteriormente la minaccia.

Ricerca con la vista Asset

Per accedere alla visualizzazione Asset, completa i seguenti passaggi:

  1. Nella visualizzazione Enterprise Insights, la sezione Avvisi recenti contiene un elenco di asset che hanno attivato un avviso entro l'intervallo di tempo visualizzato nell'intestazione Enterprise Insights. Questo intervallo di tempo è regolabile utilizzando la barra del dispositivo di scorrimento temporale. Potresti dover aumentare l'intervallo di tempo usando il cursore per visualizzare corrispondenze e avvisi.

  2. Fai clic sulla risorsa che vuoi esplorare ulteriormente. Google Security Operations passa alla vista Asset, come mostrato nella figura che segue.

    Visualizzazione asset

  3. I fumetti nella finestra principale indicano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso siano nella parte superiore. Questi eventi a bassa prevalenza sono considerati più propensi a essere sospetti. Per aumentare lo zoom degli eventi che richiedono ulteriori indagini, utilizza il cursore dell'intervallo di tempo in alto a destra.

  4. È possibile restringere ulteriormente la ricerca utilizzando il filtro procedurale. Se il menu a discesa Filtro procedurale non è già aperto, fai clic sull'icona Icona dei filtri nell'angolo in alto a destra. Nella parte superiore del menu a discesa, utilizza il cursore Prevalenza per filtrare gli eventi normali e scegliere come target eventi più sospetti.

Utilizzo del campo Ricerca di Google Security Operations

Avvia una ricerca direttamente dalla home page di Google Security Operations, come mostrato nella figura che segue.

Campo di ricerca Campo Ricerca di Google Security Operations

In questa pagina puoi inserire i seguenti termini di ricerca:

  • Il nome host mostra la vista Dominio
 (ad es. plato.example.com)
  • Il dominio mostra la vista Dominio
 (ad esempio altostrat.com)
  • L'indirizzo IP mostra la vista Indirizzo IP
 (ad esempio, 192.168.254.15)
  • L'URL mostra la visualizzazione Dominio
 (ad es. https://new.altostrat.com)
  • Il nome utente mostra la vista Risorsa
 (ad es. betty-decaro-pc)
  • L'hash del file mostra la visualizzazione Hash
 (ad esempio, e0d123e5f316bef78bfdf5a888837577)

Non devi specificare il tipo di termine di ricerca che stai inserendo, Google Security Operations lo determina per te. I risultati vengono mostrati nella vista investigativa appropriata. Ad esempio, se digiti un nome utente nel campo di ricerca, viene visualizzata la vista Asset.

Ricerca dei log non elaborati

Puoi cercare nel database indicizzato o nei log non elaborati. La ricerca nei log non elaborati è una ricerca più completa, ma richiede più tempo rispetto a una ricerca indicizzata.

Per individuare ulteriormente la ricerca, puoi utilizzare espressioni regolari, rendere la voce di ricerca sensibile alle maiuscole o selezionare le sorgenti di log. Puoi anche selezionare la sequenza temporale desiderata utilizzando i campi Ora di inizio e Fine.

Per eseguire una ricerca non elaborata nei log, completa i seguenti passaggi:

  1. Digita il termine di ricerca, quindi seleziona Scansione dei log non elaborati nel menu a discesa, come mostrato nella figura seguente.

    Menu Scansione log non elaborati Menu a discesa che mostra l'opzione Scansione dei log non elaborati

  2. Dopo aver impostato i criteri di ricerca non elaborati, fai clic sul pulsante Cerca.

  3. Nella visualizzazione Scansione dei log non elaborati puoi analizzare ulteriormente i dati dei log.