Benachrichtigung prüfen

Unterstützt in:

Benachrichtigungen sind mit Daten verknüpft, die von Ihren Sicherheitssystemen als Bedrohung identifiziert wurden. Wenn Sie Benachrichtigungen untersuchen, erhalten Sie Kontext zur Benachrichtigung und zugehörigen Entitäten.

Wenn Sie auf eine Benachrichtigung klicken, werden Sie zu einer Seite mit Benachrichtigungsdetails weitergeleitet, die in die folgenden drei Tabs unterteilt sind:

  • Übersicht: Hier finden Sie eine Zusammenfassung wichtiger Details zur Benachrichtigung, einschließlich des Benachrichtigungsstatus und des Erkennungszeitraums.
  • Diagramm: Hier werden Benachrichtigungen visualisiert, die aus einer YARA-L-Regel generiert werden. Es enthält ein Diagramm, in dem die Beziehung der Benachrichtigung zu anderen Entitäten dargestellt wird. Wenn eine Benachrichtigung ausgelöst wird, werden die mit der Benachrichtigung verknüpften Einheiten im Diagramm und auf der linken Seite des Bildschirms angezeigt, jeweils auf einer eigenen Karte. Im Diagramm für Benachrichtigungen werden die folgenden Entitäten in einem UDM-Ereignis verwendet: principal, target, src, observer, intermediary und about.
  • Benachrichtigungsverlauf: Hier werden alle Änderungen aufgeführt, die an dieser Benachrichtigung vorgenommen wurden, z. B. wenn sich der Status einer Benachrichtigung geändert oder eine Notiz hinzugefügt wurde.

Unter dem Diagramm, in dem die Beziehungen zwischen den Einheiten und der Benachrichtigung dargestellt werden, befinden sich die folgenden drei Untertabs, die mehr Kontext zur Benachrichtigung bieten:

  • Ereignisse: Enthält Details zu den Ereignissen im Zusammenhang mit der Benachrichtigung.
  • Entitäten: Enthält Details zu jeder Entität, die mit der Benachrichtigung verknüpft ist.
  • Benachrichtigungskontext: Hier finden Sie zusätzlichen Kontext zur Benachrichtigung.

Hinweise

Damit das Benachrichtigungsdiagramm mit Daten gefüllt wird, müssen Sie eine YARA-L-Regel erstellen, mit der Benachrichtigungen generiert werden. Die Qualität des Benachrichtigungsdiagramms hängt vom Kontext ab, der in die YARA-L-Regel integriert ist. Der Ergebnisbereich einer Regel enthält Kontext zu den Erkennungen, die durch die Regel ausgelöst wurden.

Wir empfehlen, dem Ergebnisabschnitt die folgenden UDM-Substantive hinzuzufügen, da sie im Benachrichtigungsdiagramm verwendet werden: principal, target, src, observer, intermediary und about . Für diese UDM-Substantive werden im Benachrichtigungsdiagramm die folgenden Felder verwendet:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Die Werte in der vorherigen Liste der UDM-Felder verweisen auch auf die UDM-Suche auf dem Untertab Warnungskontext. Weitere Informationen finden Sie unter Kontext zu Benachrichtigungen ansehen.

In der folgenden YARA-L-Regel wird eine Benachrichtigung generiert, wenn eine erhebliche Anzahl von Google Cloud -Dienst-APIs innerhalb eines kurzen Zeitraums (1 Stunde) deaktiviert wurde.

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Nachdem eine Benachrichtigung generiert wurde, können Sie auf die Seite Benachrichtigungsdiagramm gehen, um mehr Kontext zur Benachrichtigung zu erhalten und sie weiter zu untersuchen.

Sie können über die Seite Benachrichtigungen und IOCs oder die Seite UDM-Suche auf das Diagramm zugreifen.

Über „Benachrichtigungen und IOCs“ auf das Benachrichtigungsdiagramm zugreifen

Auf der Seite Warnungen und Kompromittierungsindikatoren (Indicators of Compromise, IOC) können Sie alle Warnungen und IOCs filtern und ansehen, die sich derzeit auf Ihr Unternehmen auswirken. Weitere Informationen zu dieser Seite und dazu, wie Sie IOC-Übereinstimmungen aufrufen, finden Sie unter Benachrichtigungen und IOCs aufrufen.

So rufen Sie weitere Informationen zu einer Benachrichtigung auf der Seite „Benachrichtigungen und IOCs“ auf:

  1. Klicken Sie in der Navigationsleiste auf Detections > Alerts and IOCs (Erkennungen > Benachrichtigungen und IOCs).
  2. Suchen Sie in der Tabelle „Benachrichtigungen“ nach der Benachrichtigung, die Sie untersuchen möchten.
  3. Klicken Sie in der Zeile dieser Benachrichtigung in der Spalte „Name“ auf den Text, um das Benachrichtigungsdiagramm zu öffnen.
  1. Wählen Sie oben in der Navigationsleiste Suchen aus.
  2. Laden Sie eine Suche mit Search Manager oder erstellen Sie eine neue Suche. Weitere Informationen zur Suche in UDM
    1. Es werden drei Tabs angezeigt: Übersicht, Entität und Benachrichtigungen. Klicken Sie auf Benachrichtigungen.
  3. Klicken Sie auf die Benachrichtigung, die Sie untersuchen möchten. Die Benachrichtigungsübersicht wird angezeigt.
  4. Klicken Sie auf Details ansehen, um die Benachrichtigungsansicht zu öffnen.
  5. Klicken Sie auf den Tab Graph, um das Benachrichtigungsdiagramm aufzurufen.

Details zu einer Benachrichtigung ansehen

In der Benachrichtigungsansicht werden auf dem Tab Übersicht die folgenden Informationen zur Benachrichtigung angezeigt:

  • Benachrichtigungsdetails: Benachrichtigungsstatus, Erstellungsdatum, Schweregrad, Priorität und Risikobewertung.
  • Zusammenfassung der Erkennung: Die Erkennungsregel, die die Benachrichtigung ausgelöst hat. Sie können sich auch andere Benachrichtigungen aus derselben Erkennungsregel ansehen.
  • Ereignisse: Ereignisse, die mit dieser Benachrichtigung verknüpft sind.

Sie können nicht nur wichtige Informationen aufrufen, sondern auch den Benachrichtigungsstatus anpassen.

Benachrichtigungsstatus ändern

  1. Klicken Sie rechts oben auf Benachrichtigungsstatus ändern.
  2. Aktualisieren Sie im angezeigten Fenster die Schweregrad- und Prioritätsstufen entsprechend.
  3. Klicken Sie auf Speichern.

Benachrichtigung schließen

  1. Klicken Sie auf Benachrichtigung schließen.
  2. Im angezeigten Fenster können Sie eine Notiz hinterlassen, um mehr Kontext dazu zu liefern, warum Sie die Benachrichtigung geschlossen haben.
  3. Geben Sie die Informationen ein und drücken Sie auf Speichern.

Entitätsbeziehungen ansehen

Im Diagramm sehen Sie, wie verschiedene Benachrichtigungen und Einheiten miteinander verbunden sind. Mit dieser Funktion erhalten Sie ein visuelles, interaktives Diagramm, mit dem Sie Beziehungsinformationen zu vorhandenen Einheiten erweitern können, um unbekannte Beziehungen aufzudecken. Sie können die Suche auch ausweiten, indem Sie den Zeitraum verlängern und vergangene Point-in-Time-Benachrichtigungen für umfassendere Benachrichtigungspfade erweitern.

Sie können Ihre Suche auch erweitern, indem Sie rechts oben in einem Knoten auf das Symbol + klicken. Dadurch werden alle Knoten angezeigt, die mit diesem Element verknüpft sind.

Diagrammsymbole

Verschiedene Einheiten werden durch unterschiedliche Symbole dargestellt.

Symbol Entität, die durch das Symbol dargestellt wird Erklärung
Nutzer Ein Nutzer ist eine Person oder ein anderes Rechtssubjekt, das Zugriff auf Informationen aus Ihrem Netzwerk anfordert und diese verwendet. Beispiele: erikamustermann, cloudysanfrancisco@gmail.com
Datenbank Ressource Ressourcen sind ein allgemeiner Begriff für Entitäten, die einen eigenen eindeutigen Ressourcennamen haben. Beispiele: BigQuery-Tabelle, ‑Datenbank und ‑Projekt.
IP-Adresse
description Datei
Domainname
URL
device_unknown Unbekannter Elementtyp Ein Entitätstyp, der von der Software von Google SecOps nicht erkannt wird.
Arbeitsspeicher Asset Ein Asset ist alles, was für Ihre Organisation einen Wert darstellt. Dazu können Hostnamen, MAC-Adressen und interne IP-Adressen gehören. Beispiele: 10.120.89.92 (interne IP-Adresse), 00:53:00:4a:56:07 (MAC-Adresse)

Wenn zwei oder mehr Benachrichtigungen von derselben Regel stammen, werden sie in einem Gruppensymbol zusammengefasst. Indikatoren, die dieselbe Einheit darstellen, werden in einem Symbol zusammengefasst.

Weitere Informationen zu den einzelnen Symbolen finden Sie in den folgenden Dokumenten:

Wenn Sie auf Benachrichtigungsdiagramm klicken, werden im Diagramm alle Ergebnisse 12 Stunden vor und nach der Benachrichtigung angezeigt. Wenn für die Benachrichtigung keine Entitäten vorhanden sind, wird nur die ursprüngliche Benachrichtigung im Diagramm angezeigt.

Die Hauptbenachrichtigung ist rot eingekreist. Meldungen sind mit einer durchgezogenen Linie mit Entitäten und mit einer gestrichelten Linie mit anderen Meldungen verbunden. Wenn Sie den Mauszeiger auf eine Kante (die Linie, die zwei Knoten verbindet) bewegen, wird die Ergebnisvariable oder die Abgleichsvariable angezeigt, die sie mit einem Knoten im Diagramm verbindet.

Auf der linken Seite befinden sich Karten für jeden Knoten, die Details zu zugehörigen Regeln, Erkennungszeiträumen, Schweregrad und Prioritätsstatus enthalten.

Direkt über dem Diagramm befindet sich die Schaltfläche Diagrammoptionen. Wenn Sie auf Diagrammoptionen klicken, werden zwei Optionen angezeigt: Erkennungen ohne Benachrichtigung und Risikobewertung. Beide sind standardmäßig aktiviert und können nach Bedarf aktiviert oder deaktiviert werden.

Um die Knoten zu verschieben, ziehen Sie sie einfach im Diagramm an die gewünschte Position. Wenn Sie den Knoten loslassen, wird er an der Stelle fixiert, an der Sie ihn platziert haben, bis Sie auf Aktualisieren klicken.

Knoten hinzufügen und entfernen

Wenn Sie auf einen Knoten klicken, wird unten auf dem Bildschirm eine Tabelle angezeigt. Sie haben für jeden Knoten folgende Möglichkeiten:

Benachrichtigung

  • Zugehörige Entitäten, Benachrichtigungen und Ereignisse ansehen
  • Ergebnisse und Übereinstimmungen aus der Benachrichtigung ansehen
  • Beliebigen Teilgraphen entfernen
  • Sie können dem Diagramm zugehörige Einheiten und Benachrichtigungen hinzufügen oder daraus entfernen, indem Sie die Kästchen in der Spalte „Im Diagramm“ aktivieren.

Entität

  • Alle zugehörigen Benachrichtigungen ansehen
  • Beliebigen Teilgraphen entfernen
  • Sie können dem Diagramm zugehörige Benachrichtigungen hinzufügen oder daraus entfernen, indem Sie die Kästchen in der Spalte „Im Diagramm“ aktivieren oder deaktivieren.

Gruppe

  • Alle Entitäten oder Benachrichtigungen ansehen, aus denen sich die Gruppe zusammensetzt
  • Sie können einzelne Knoten entgruppieren, indem Sie unten auf der Seite in der Tabelle auf Im Diagramm klicken.

Wenn Sie den Risikowert für die Knoten hinzufügen oder entfernen möchten, setzen Sie ein Häkchen in das Kästchen Risikowert über der Tabelle oder entfernen Sie das Häkchen.

Benachrichtigungsdiagramm maximieren

Wenn Sie weitere ähnliche Knoten sehen möchten, klicken Sie unten im Hinweis auf das Symbol +. Die mit dem ausgewählten Symbol verknüpften Einheiten und Benachrichtigungen werden angezeigt. Für jede neue Benachrichtigung gibt es eine Karte auf der Seite mit weiteren Details.

Grafik zurücksetzen

Wenn Sie das Diagramm leeren möchten, können Sie den Zeitraum im rechten Fenster anpassen. Der Zeitraum darf maximal 90 Tage umfassen. Wenn Sie den Zeitraum zurücksetzen, wird auch das Diagramm auf den ursprünglichen Zustand zurückgesetzt. Wenn Sie den Zeitraum aktualisieren, werden alle zusätzlichen Knoten aus dem Diagramm entfernt und das Diagramm wird auf den ursprünglichen Zustand zurückgesetzt.

Wenn Sie die Knoten wieder in die Standardposition verschieben möchten, klicken Sie auf Aktualisieren.

Kontext zur Benachrichtigung ansehen

Der Abschnitt Benachrichtigungskontext enthält eine Liste von Werten, die zusätzlichen Kontext zur Benachrichtigung liefern.

Der Benachrichtigungskontext enthält die Spalte Typ. Dort sehen Sie, welcher Teil der Regel die ausgewählte Benachrichtigung ausgelöst hat: Ergebnis oder Abgleich. Die nächste Spalte heißt Variable. Diese Variablennamen basieren auf den Namen der Match- und Ergebnisvariablen, die in der Regel definiert sind. Die Spalte ganz rechts ist UDM-Feld. Variablen mit einem UDM-Feld sind auch in der Spalte Werte verknüpft.

Zusätzlich zu den UDM-Feldern, die im Abschnitt Vorbereitung aufgeführt sind, sind auch die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Die spezifischen UDM-Substantive, die mit diesen Feldern verknüpft sind, sind principal, target, src, observer, intermediary und about . Wenn Sie auf einen Wert klicken, wird eine UDM-Suche ausgelöst, bei der der Wert zusammen mit dem Zeitraum des letzten Tages übergeben wird.

In der YARA-L-Beispielregel im Abschnitt Vorbereitung werden die folgenden UDM-Felder mit der Seite UDM-Suche verknüpft:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Benachrichtigungsverlauf aufrufen

Auf dem Tab Benachrichtigungsverlauf sehen Sie den vollständigen Verlauf aller Aktionen, die für diese Benachrichtigung ausgeführt wurden. Dazu zählen:

  • Wann die Benachrichtigung zum ersten Mal angezeigt wurde
  • Alle Notizen, die Teammitglieder zu dieser Benachrichtigung hinterlassen haben
  • Wenn sich der Schweregrad geändert hat
  • Wenn die Priorität geändert wurde
  • Wenn die Benachrichtigung geschlossen wurde

Benachrichtigungen von Google Security Operations SOAR

Benachrichtigungen von Google Security Operations SOAR enthalten zusätzliche Informationen zum Google Security Operations SOAR-Fall. Diese Benachrichtigungen enthalten auch einen Link, über den Sie den Fall in Google Security Operations SOAR öffnen können. Weitere Informationen finden Sie in der Übersicht über SOAR-Fälle in Google Security Operations.

Benachrichtigung für Google Security Operations SOAR-Fall

Benachrichtigung für Google Security Operations SOAR-Fall

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten