Investigar una alerta

Disponible en:

Las alertas están vinculadas a los datos que tus sistemas de seguridad han identificado como una amenaza. Investigar alertas te proporciona contexto sobre la alerta y las entidades relacionadas.

Cuando haces clic en una alerta, se te dirige a una página que contiene los detalles de la alerta, organizados en las tres pestañas siguientes:

  • Resumen: ofrece un resumen de los detalles importantes de la alerta, como el estado y el periodo de detección.
  • Gráfico: visualiza las alertas que se generan a partir de una regla de YARA-L. Proporciona un gráfico de la relación de la alerta con otras entidades. Cuando se activa una alerta, las entidades asociadas a ella se muestran en el gráfico y en la parte izquierda de la pantalla, cada una con su propia tarjeta. El gráfico de alertas usa las siguientes entidades en un evento de UDM: principal, target, src, observer, intermediary y about.
  • Historial de alertas: muestra todos los cambios que se han producido en esta alerta, incluido el momento en el que ha cambiado el estado de una alerta o se ha añadido una nota.

Debajo del gráfico que visualiza las relaciones entre las entidades y la alerta, se encuentran las tres subpestañas siguientes, que proporcionan más contexto sobre la alerta:

  • Eventos: contiene detalles sobre los eventos relacionados con la alerta.
  • Entidades: contiene detalles sobre cada entidad asociada a la alerta.
  • Contexto de la alerta: proporciona contexto adicional sobre la alerta.

Antes de empezar

Para rellenar el gráfico de alertas, debes crear una regla YARA-L que genere alertas. La calidad del gráfico de alertas está relacionada con el contexto integrado en la regla de YARA-L. La sección de resultados de una regla proporciona contexto sobre las detecciones activadas por la regla.

Te recomendamos que añadas los siguientes sustantivos de UDM a la sección de resultados, ya que se usan en el gráfico de alertas: principal, target, src, observer, intermediary y about . En el caso de estos sustantivos de UDM, se usan los siguientes campos en el gráfico de alertas:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

Los valores de la lista anterior de campos de UDM también enlazan con la búsqueda de UDM desde la subpestaña Contexto de la alerta. Para obtener más información, consulta Ver el contexto de una alerta.

En la siguiente regla de YARA-L, se genera una alerta cuando se ha inhabilitado un número significativo de APIs de servicio en un breve periodo de tiempo (1 hora). Google Cloud 

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Una vez que se haya generado una alerta, puedes ir a la página Gráfico de alertas para obtener más contexto sobre la alerta e investigar más a fondo.

Puede acceder al gráfico desde la página Alertas e IOCs o desde la página Búsqueda de UDM.

Acceder al gráfico de alertas desde Alertas e IOCs

La página Alertas e indicadores de compromiso (IOC) te permite filtrar y ver todas las alertas y los IOCs que afectan a tu empresa. Para obtener más información sobre esta página y cómo ver las coincidencias de IOCs, consulta el artículo Ver alertas e IOCs.

Para ver más información sobre una alerta en la página Alertas e IOCs, sigue estos pasos:

  1. En la barra de navegación, haga clic en Detecciones > Alertas e IOCs.
  2. Busca la alerta que quieras investigar en la tabla de alertas.
  3. En la fila de esa alerta, haz clic en el texto de la columna de nombre para abrir el gráfico de alertas.
  1. En la parte superior de la barra de navegación, selecciona Buscar.
  2. Carga una búsqueda con Gestor de búsquedas o crea una. Consulta más información sobre cómo hacer una búsqueda en UDM en Búsqueda de UDM.
    1. Se muestran tres pestañas: Resumen, Entidad y Alertas. Haz clic en Alertas.
  3. Haz clic en la alerta que quieras investigar. Se muestra el visor de alertas.
  4. Haz clic en Ver detalles para abrir la vista de alertas.
  5. Haga clic en la pestaña Gráfico para mostrar el gráfico de alertas.

Ver los detalles de una alerta

En la vista Alertas, la pestaña Resumen muestra la siguiente información sobre la alerta:

  • Detalles de la alerta: estado de la alerta, fecha de creación, gravedad, prioridad y puntuación de riesgo.
  • Resumen de detección: regla de detección que ha generado la alerta. Puedes ver otras alertas de la misma regla de detección.
  • Eventos: eventos asociados a esta alerta.

  • Entradas: detalles de las fuentes de datos que han generado la alerta. El contenido varía en función de los siguientes tipos de alertas.

    • Detección estándar: muestra los eventos y las entidades asociadas que han activado la regla.

    • Detección compuesta: muestra los eventos, las entidades y las detecciones subyacentes que se han usado como entradas de la regla.

    Una alerta es una detección compuesta cuando:

    • En la columna Entradas se muestra Detección como fuente.

    • En la columna Tipo de detección se muestra la etiqueta Alerta o Detección con un número al lado (por ejemplo, Alert (3)).

    Esto indica que una detección o una cadena de detecciones ha activado la alerta, en lugar de eventos o entidades sin procesar.

    Puede ver y analizar estas detecciones subyacentes en la tabla Detecciones con las siguientes funciones:

    • Amplía las filas para ver las detecciones anidadas, los datos de eventos asociados y la información de las entidades relacionadas.

    • Personaliza la vista con el gestor de columnas para seleccionar y organizar las columnas de la tabla.

Además de ver información importante, puedes cambiar el estado de la alerta.

Cambiar el estado de la alerta

  1. En la esquina superior derecha, haz clic en Cambiar estado de la alerta.
  2. En la ventana que aparece, actualiza los niveles de gravedad y prioridad según corresponda.
  3. Haz clic en Guardar.

Cerrar alerta

  1. Haz clic en Cerrar alerta.
  2. En la ventana que aparece, puedes dejar una nota para añadir más contexto sobre por qué has cerrado la alerta.
  3. Introduce la información y pulsa Guardar.

Ver las relaciones de las entidades

El gráfico muestra cómo se conectan las diferentes alertas y entidades. Esta función te ofrece un gráfico visual e interactivo que puedes usar para ampliar la información sobre las relaciones de las entidades que ya tienes y descubrir relaciones desconocidas. También puedes ampliar la búsqueda aumentando el intervalo de tiempo y ampliando las alertas de un momento concreto para obtener rutas de alerta más completas.

También puedes ampliar la búsqueda haciendo clic en el icono + situado en la parte superior derecha de cualquier nodo. De esta forma, se mostrarán todos los nodos relacionados con esa entidad.

Iconos de gráficos

Las diferentes entidades se representan con iconos distintos.

Icono Entidad que representa el icono Explicación
Usuario Un usuario es una persona u otra entidad que solicita acceso a la información de tu red y la utiliza. Ejemplos: janedoe, cloudysanfrancisco@gmail.com
base de datos Recurso Los recursos son un término genérico para las entidades que tienen su propio nombre de recurso único. Ejemplos: tabla, base de datos y proyecto de BigQuery.
Dirección IP
description Archivo
Nombre de dominio
URL
device_unknown Tipo de entidad desconocido Un tipo de entidad que no reconoce el software de Google SecOps.
memoria Recurso Un recurso es cualquier elemento que genere valor para tu organización. Esto puede incluir nombres de host, direcciones MAC y direcciones IP internas. Ejemplos: 10.120.89.92 (dirección IP interna), 00:53:00:4a:56:07 (dirección MAC)

Si dos o más alertas proceden de la misma regla, se agrupan en un icono de grupo. Los indicadores que representan la misma entidad se consolidan en un icono.

Para obtener más información sobre cada uno de estos iconos, consulta los siguientes documentos:

Si haces clic en Gráfico de alertas, se mostrarán todos los resultados de las 12 horas anteriores y posteriores a la alerta. Si no hay entidades para la alerta, solo aparecerá la alerta original en el gráfico.

La alerta principal se destaca con un círculo rojo. Las alertas están conectadas a las entidades con una línea continua y a otras alertas con una línea de puntos. Si colocas el puntero sobre un borde (la línea que conecta dos nodos), se muestra la variable de resultado o la variable de coincidencia que lo conecta a un nodo del gráfico.

En la parte izquierda, hay tarjetas de cada nodo que incluyen detalles sobre las reglas asociadas, las ventanas de detección, el estado de gravedad y prioridad, y más.

Justo encima del gráfico, hay un botón llamado Opciones del gráfico. Al hacer clic en Opciones de gráfico, aparecen dos opciones: Detecciones sin alertas y Puntuación de riesgo. Ambas opciones están activadas de forma predeterminada y se pueden activar o desactivar según tus preferencias.

Para mover los nodos, solo tienes que arrastrarlos por el gráfico. Cuando sueltes el nodo, se fijará en el lugar donde lo hayas dejado hasta que hagas clic en Actualizar.

Añadir y quitar nodos

Si haces clic en un nodo, aparecerá una tabla en la parte inferior de la pantalla. Puedes realizar las siguientes acciones en cada nodo:

Alerta

  • Ver entidades, alertas y eventos relacionados
  • Ver los resultados y los partidos de la alerta
  • Eliminar cualquier subgrafo
  • Añade o quita entidades y alertas relacionadas del gráfico marcando las casillas de la columna En el gráfico.

Entidad

  • Ver todas las alertas relacionadas
  • Eliminar cualquier subgrafo
  • Añade o quita alertas relacionadas del gráfico marcando o desmarcando las casillas de la columna En el gráfico.

Grupo

  • Ver todas las entidades o alertas que componen ese grupo
  • Para desagrupar nodos concretos, haz clic en En el gráfico en la tabla de la parte inferior de la página.

Para añadir o quitar la puntuación de riesgo de los nodos, marca o desmarca la casilla Puntuación de riesgo situada encima de la tabla.

Ampliar el gráfico de alertas

Para ver más nodos relacionados, haz clic en el icono + situado en la parte inferior de la alerta. Aparecerán las entidades y las alertas relacionadas con el icono que hayas seleccionado. Cada alerta nueva tiene una tarjeta en el lateral con más detalles.

Restablecer el gráfico

Si quieres borrar el gráfico, puedes ajustar el intervalo de tiempo en la ventana de la derecha. El periodo máximo es de 90 días. Al restablecer el periodo, el gráfico también vuelve a su estado original. Al actualizar el periodo, se borran todos los nodos adicionales del gráfico y se restaura su estado original.

Para volver a colocar los nodos en la posición predeterminada, haz clic en Actualizar.

Ver el contexto de la alerta

La sección Contexto de la alerta contiene una lista de valores que proporcionan contexto adicional sobre la alerta.

El contexto de la alerta tiene una columna Tipo que indica qué parte de la regla ha generado la alerta que ha seleccionado: resultado o coincidencia. La siguiente columna se llama Variable. Estos nombres de variables se basan en los nombres de las variables de coincidencia y resultado definidas en la regla. Por último, la columna de la derecha es Campo UDM. Las variables que tienen un campo de UDM en la lista también están vinculadas en la columna Valores.

Además de los campos de UDM que se indican en la sección Antes de empezar, los siguientes campos de UDM también están vinculados a la página Búsqueda de UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

Los sustantivos de UDM específicos asociados a estos campos son principal, target, src, observer, intermediary y about . Si haces clic en un valor, se activa una búsqueda de UDM que incluye el valor y el intervalo de tiempo del día anterior.

En la regla de YARA-L de ejemplo que se muestra en la sección Antes de empezar, los siguientes campos de UDM se vincularán a la página Búsqueda de UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Ver el historial de alertas

La pestaña Historial de alertas te permite ver un historial completo de todas las acciones que se han llevado a cabo en relación con esta alerta. Entre los datos que recoge se incluyen los siguientes:

  • Cuándo apareció la alerta por primera vez
  • Las notas que hayan dejado los miembros de tu equipo sobre esta alerta
  • Si la gravedad ha cambiado
  • Si se ha cambiado la prioridad
  • Si se ha cerrado la alerta

Alertas de Google Security Operations SOAR

Las alertas de Google Security Operations SOAR incluyen información adicional sobre el caso de Google Security Operations SOAR. Estas alertas también proporcionan un enlace para abrir el caso en Google Security Operations SOAR. Para obtener más información, consulta la descripción general de los casos de SOAR de Google Security Operations.

Alerta de caso de Google Security Operations SOAR

Alerta de caso de Google Security Operations SOAR

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.