Se usó la API de Cloud Translation para traducir esta página.

Investigar una alerta

Compatible con:

SecOps de Google SIEM .

Las alertas están vinculadas a datos que sus sistemas de seguridad identifican como amenaza. Investigar alertas te brinda contexto sobre la alerta y las entidades relacionadas.

Cuando haces clic en una alerta, se te dirige a una página que contiene detalles de alerta organizados en las siguientes tres pestañas:

Descripción general: Proporciona un resumen de los detalles importantes sobre la alerta. incluidos el estado de alerta y la ventana de detección.
Gráfico: Muestra las alertas que se generan a partir de una regla de YARA-L. Integra proporciona un gráfico de la relación de la alerta con otras entidades. Cuando un se activa la alerta, las entidades asociadas a la alerta se muestran en gráfico y en el lado izquierdo de la pantalla, cada uno con su propia tarjeta. La alerta gráfico utiliza las siguientes entidades en un evento de UDM: principal, target, src, observer, intermediary y about de Google Cloud.
Historial de alertas: Enumera todos los cambios que se produjeron con esta alerta. incluso cuando cambia el estado de una alerta o se agrega una nota.

Debajo del gráfico en el que se muestran las relaciones entre las entidades y los son las siguientes tres pestañas secundarias que proporcionan más contexto sobre una alerta:

Eventos: Contiene detalles sobre los eventos relacionados con la alerta.
Entidades: contiene detalles sobre cada entidad asociada con la alerta.
Contexto de la alerta: Proporciona contexto adicional sobre la alerta.

Antes de comenzar

Para propagar el gráfico de alertas, debes crear un archivo YARA-L predeterminada que genera alertas. El la calidad del gráfico de alertas está relacionada con el contexto . La sección de resultados de una regla y proporciona contexto sobre las detecciones que activó la regla.

Recomendamos agregar lo siguiente: UDM sustantivos al de resultados porque se usan en el gráfico de alertas: principal, target, src, observer, intermediary y about de Google Cloud. Para estos Los siguientes campos se usan en el gráfico de alerta con los sustantivos de UDM:

artifact.ip
asset.asset_id
asset.hostname
asset.ip
asset.mac
asset.product_object_id
asset_id
domain.name
file.md5
file.sha1
file.sha256
hostname
ip
mac
process.file.md5
process.file.sha1
process.file.sha256
resource.name
url
user.email_addresses
user.employee_id
user.product_object_id
user.userid
user.windows_sid

Los valores de la lista anterior de campos de UDM también se vinculan a la búsqueda de UDM en la pestaña secundaria Contexto de la alerta. Para obtener más información, consulta Visualiza el contexto de la alerta.

En la siguiente regla de YARA-L, se genera una alerta cuando una cantidad significativa de APIs de servicio de Google Cloud se inhabilita en un período corto (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Después de que se genere una alerta, puedes navegar a la página Gráfico de alertas para obtener más contexto sobre la alerta y realizar una investigación más profunda.

Navega al gráfico de alertas

Puedes acceder al Gráfico desde la página Alertas e IOC o desde la Búsqueda de UDM.

Cómo acceder al gráfico de alertas desde las alertas y los IOC

La página Indicadores y alertas de riesgo le permite filtrar y ver todas las alertas y los IOC que afectan actualmente a su empresa. Para para obtener más información sobre esta página y cómo ver las coincidencias de los IOC, visite Ver alertas y IOC

Para ver más información sobre una alerta de la página Alertas e IOC, completa sigue estos pasos:

Desde la barra de navegación, haga clic en Detections > IOC y alertas.
Busca la alerta que deseas investigar en la tabla de alertas.
En la fila de esa alerta, haz clic en el texto de la columna de nombre para abrir Alerta gráfico.

Cómo acceder al gráfico de alertas desde la Búsqueda de UDM

En la parte superior de la barra de navegación, selecciona Buscar.
Carga una búsqueda con el Administrador de búsqueda o crea una nueva. Más información sobre cómo realizar una búsqueda en UDM en UDM Búsqueda.
1. Se muestran tres pestañas: Descripción general, Entidad y Alertas. Haz clic en Alertas.
Haz clic en la alerta que deseas investigar. Se mostrará el visor de alertas.
Haz clic en Ver detalles para abrir la vista de Alerta.
Haz clic en la pestaña Graph para mostrar un gráfico de alerta.

Ver detalles sobre una alerta

En la vista de alerta, la pestaña Descripción general muestra la siguiente información con con respecto a la alerta:

Detalles de la alerta: Estado, fecha de creación, gravedad, prioridad y riesgo de la alerta de calidad.
Resumen de detección: Regla de detección que generó la alerta. Puedes ver otras alertas a partir de la misma regla de detección.
Eventos: Son los eventos asociados con esta alerta.

Además de ver información importante, puedes ajustar el estado de la alerta.

Cambia el estado de la alerta

Haz clic en Cambiar estado de alerta en la esquina superior derecha.
En la ventana que aparece, actualiza los niveles de gravedad y prioridad. según corresponda.
Haz clic en Guardar.

Cerrar la alerta

Haz clic en Cerrar alerta.
En la ventana que aparece, puedes dejar una nota para agregar otras. contextual sobre por qué cerraste la alerta.
Ingresa la información y presiona Guardar.

Ver relaciones de entidades

El gráfico muestra cómo se conectan las diferentes alertas y entidades. Esta te brinda un gráfico interactivo y visual que puedes usar para expandir información de relación sobre las entidades existentes que se va a mostrar relaciones. También puedes ampliar la búsqueda aumentando el intervalo de tiempo y la expansión de alertas de un momento determinado del pasado para rutas de alerta más completas.

Para expandir la búsqueda, también puede hacer clic en el ícono + que se encuentra en la esquina superior derecha. lado derecho de cualquier nodo. Cuando lo hagas, se mostrarán todos los nodos relacionados con esa entidad.

Íconos de gráficos

Las distintas entidades se representan con distintos íconos.

Icon (Ícono)	Entidad que representa el ícono	Explicación
	Usuario	Un usuario es una persona o entidad de otro tipo que solicita acceso a la información de tu red y la usa. Ejemplos: janedoe, cloudysanfrancisco@gmail.com
base de datos	Recurso	Los recursos son un término genérico que se refiere a las entidades que tienen su propio nombre de recurso único. Ejemplos: Tabla, base de datos y proyecto de BigQuery.
	Dirección IP
descripción	Archivo
	Nombre de dominio
	URL
device_unknown	Tipo de entidad desconocido	El software de Google Security Operations no reconoce un tipo de entidad.
memoria	Recurso	Un recurso es todo lo que produce valor para una organización. Esto puede incluir nombres de host, direcciones MAC y direcciones IP internas. Ejemplos: 10.120.89.92 (dirección IP interna), 00:53:00:4a:56:07 (dirección MAC)

Si dos o más alertas provienen de la misma regla, se agrupan en una ícono de grupo. Los indicadores que representan la misma entidad se consolidan en uno ícono.

Para obtener más información sobre cada uno de estos íconos, consulta los siguientes documentos:

Navega por el gráfico de alertas

Cuando haces clic en Gráfico de alertas, el gráfico muestra todos los resultados 12 horas antes y después de la alerta. Si no hay entidades para la alerta, solo la alerta original en el gráfico.

La alerta principal se destaca en un círculo rojo. Las alertas están conectadas a entidades con una línea continua y otras alertas con una línea de puntos. Si mantienes el puntero sobre un borde (la línea que conecta dos nodos), muestra la variable de resultado o hacer coincidir una variable que lo conecta a un nodo del gráfico.

En el lado izquierdo, hay tarjetas de cada nodo que incluyen detalles sobre reglas asociadas, ventanas de detección, estados de gravedad y prioridad, y mucho más.

Justo encima del gráfico, hay un botón etiquetado como Opciones de gráfico. Cuando haces clic Opciones de gráfico, aparecen dos opciones: Detecciones sin alertas y Riesgo puntuación. Ambos están activados de forma predeterminada y se pueden activar o desactivar según que prefieras.

Para mover los nodos, simplemente arrástralos alrededor del gráfico. Cuando lanzas el se fijará donde lo dejaste hasta que hagas clic en Actualizar.

Agrega y quita nodos

Si haces clic en un nodo, aparece una tabla en la parte inferior de la pantalla. Puedes hacer lo siguiente: las siguientes acciones en cada nodo:

Alerta

Ver entidades, alertas y eventos relacionados
Consulta los resultados y las coincidencias de la alerta
Quitar cualquier subgrafo
Agregar o quitar entidades y alertas relacionadas del gráfico marcando las casillas de verificación en la columna On Graph

Entidad

Ver todas las alertas relacionadas
Quitar cualquier subgrafo
Agregar o eliminar alertas relacionadas del gráfico marcando o desmarcando casillas en la columna On Graph

Grupo

Ver todas las entidades o alertas que conforman ese grupo
Para desagrupar nodos individuales, haz clic en En el gráfico en la tabla de la parte inferior. de la página.

Para agregar o quitar la puntuación de riesgo de los nodos, marca o desmarca la casilla Riesgo de calidad que se encuentra sobre la tabla.

Expandir el gráfico de alertas

Para ver más nodos relacionados, haz clic en el ícono + ubicado al final de la alerta. El aparecerán las entidades y alertas relacionadas con el ícono seleccionado. Cada alerta nueva tiene una tarjeta al costado con más detalles.

Restablecer el gráfico

Si quieres borrar el gráfico, puedes ajustar el intervalo de tiempo en el lado derecho en la ventana modal. El rango máximo es de 90 días. Restablecer el intervalo de tiempo también restablece el gráfico a su estado original. Actualizar el intervalo de tiempo borra el gráfico de cualquier nodos adicionales y restablece el grafo a su estado original.

Para mover los nodos a la posición predeterminada, haz clic en Actualizar.

Ver contexto sobre la alerta

La sección Contexto de la alerta contiene una lista de valores que proporcionan contexto adicional sobre la alerta.

El contexto de la alerta tiene una columna de Tipo que indica qué parte de la regla. generaste la alerta que seleccionaste: resultado o coincidencia. La siguiente columna es llamada Variable. Estos nombres de variables se basan en los nombres de la coincidencia y las variables de resultado definidas en la regla. Por último, en la columna del extremo derecho Campo de UDM. Las variables que incluyen un campo UDM también están vinculadas en el Valores.

Además de los campos de UDM enumerados en la sección Antes de comenzar, los siguientes campos de UDM también están vinculados a la página de búsqueda de UDM:

file.full_path
process.command_line
process.file.full_path
process.parent_process.product_specific_process_id
process.pid
process.product_specific_process_id
resource.product_object_id

Los sustantivos de UDM específicos que están asociados con estos campos son principal, target, src, observer, intermediary y about de Google Cloud. Si haces clic en un valor, se crea un UDM search y se pasa el junto con el intervalo de tiempo del día anterior.

En la regla de YARA-L de ejemplo que aparece en la sección Antes de comenzar, los siguientes campos de UDM se vincularán a la página de búsqueda de UDM:

principal.ip
principal.user.userid
principal.user.user_display_name
target.resource.name

Ver historial de alertas

La pestaña Historial de alertas te permite ver un historial completo de todas las acciones. que ocurrieron para esta alerta. Esto incluye lo siguiente:

Cuándo apareció la alerta por primera vez
Notas que hayan dejado los miembros de tu equipo sobre esta alerta
Si la gravedad cambió
Si se cambió la prioridad
Si la alerta se cerró

Alertas de Google Security Operations SOAR

Las alertas de la SOAR de Google Security Operations incluyen información adicional sobre la Caso de SOAR de Google Security Operations. Estas alertas también proporcionan un vínculo para abrir el caso en SOAR de Google Security Operations. Para obtener más información, consulta el Casos de SOAR de Google Security Operations descripción general.

Alerta sobre el caso de SOAR de Google Security Operations

Alerta sobre un caso de SOAR de Google Security Operations