Indagare su un avviso

Supportato in:

Gli avvisi sono collegati ai dati identificati come minaccia dai tuoi sistemi di sicurezza. L'analisi degli avvisi fornisce il contesto dell'avviso e delle entità correlate.

Quando fai clic su un avviso, viene visualizzata una pagina contenente i dettagli dell'avviso organizzati nelle seguenti tre schede:

  • Panoramica: fornisce un riepilogo dei dettagli importanti dell'avviso, inclusi lo stato dell'avviso e la finestra di rilevamento.
  • Grafico: visualizza gli avvisi generati da una regola YARA-L. Fornisce un grafico della relazione dell'avviso con altre entità. Quando viene attivato un avviso, le entità associate vengono visualizzate nel grafico e sul lato sinistro dello schermo, ognuna con la propria scheda. Il grafico dell'avviso utilizza le seguenti entità in un evento UDM: principal, target, src, observer, intermediary e about .
  • Cronologia avvisi: elenca tutte le modifiche apportate a questo avviso, incluso il momento in cui lo stato di un avviso è cambiato o è stata aggiunta una nota.

Sotto il grafico che visualizza le relazioni tra le entità e l'avviso si trovano le seguenti tre schede secondarie che forniscono maggiori informazioni sull'avviso:

  • Eventi: contiene i dettagli degli eventi correlati all'avviso.
  • Entità: contiene i dettagli di ogni entità associata all'avviso.
  • Contesto dell'avviso: fornisce ulteriore contesto sull'avviso.

Prima di iniziare

Per compilare il grafico degli avvisi, devi creare una regola YARA-L che generi avvisi. La qualità del grafico degli avvisi è legata al contesto integrato nella regola YARA-L. La sezione Risultato di una regola fornisce il contesto per i rilevamenti attivati dalla regola.

Ti consigliamo di aggiungere i seguenti sostantivi UDM alla sezione dei risultati, perché vengono utilizzati nel grafico degli avvisi: principal, target, src, observer, intermediary e about . Per questi sostantivi UDM, nel grafico degli avvisi vengono utilizzati i seguenti campi:

  • artifact.ip
  • asset.asset_id
  • asset.hostname
  • asset.ip
  • asset.mac
  • asset.product_object_id
  • asset_id
  • domain.name
  • file.md5
  • file.sha1
  • file.sha256
  • hostname
  • ip
  • mac
  • process.file.md5
  • process.file.sha1
  • process.file.sha256
  • resource.name
  • url
  • user.email_addresses
  • user.employee_id
  • user.product_object_id
  • user.userid
  • user.windows_sid

I valori nell'elenco precedente dei campi UDM rimandano anche alla ricerca UDM dalla scheda secondaria Contesto avviso. Per ulteriori informazioni, vedi Visualizzare il contesto dell'avviso.

Nella seguente regola YARA-L, viene generato un avviso quando un numero significativo di API di servizio Google Cloud è stato disattivato in un breve periodo di tempo (1 ora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Dopo la generazione di un avviso, puoi andare alla pagina Grafico degli avvisi per ottenere maggiori informazioni sul contesto dell'avviso e per esaminarlo ulteriormente.

Puoi accedere al grafico dalla pagina Avvisi e indicatori di compromissione o dalla pagina Ricerca UDM.

Accedere al grafico degli avvisi da Avvisi e IOC

La pagina Avvisi e indicatori di compromissione (IOC) ti consente di filtrare e visualizzare tutti gli avvisi e gli IOC che interessano attualmente la tua azienda. Per scoprire di più su questa pagina e su come visualizzare le corrispondenze degli indicatori di compromissione, visita Visualizzazione di avvisi e indicatori di compromissione.

Per visualizzare ulteriori informazioni su un avviso dalla pagina Avvisi e indicatori di compromissione, completa i seguenti passaggi:

  1. Nella barra di navigazione, fai clic su Rilevamenti > Avvisi e IOC.
  2. Individua l'avviso che vuoi esaminare nella tabella degli avvisi.
  3. Nella riga dell'avviso, fai clic sul testo nella colonna del nome per aprire il grafico dell'avviso.
  1. Nella parte superiore della barra di navigazione, seleziona Cerca.
  2. Carica una ricerca con Search Manager o crea una nuova ricerca. Scopri di più sull'esecuzione di una ricerca in UDM nella ricerca UDM.
    1. Vengono visualizzate tre schede: Panoramica, Entità e Avvisi. Fai clic su Avvisi.
  3. Fai clic sull'avviso che vuoi esaminare. Viene visualizzato il visualizzatore di avvisi.
  4. Fai clic su Visualizza dettagli per aprire la visualizzazione Avviso.
  5. Fai clic sulla scheda Grafico per visualizzare il grafico degli avvisi.

Visualizzare i dettagli di un avviso

Nella visualizzazione Avviso, la scheda Panoramica mostra le seguenti informazioni relative all'avviso:

  • Dettagli avviso: stato dell'avviso, data di creazione, gravità, priorità e punteggio di rischio.
  • Riepilogo rilevamento: la regola di rilevamento che ha generato l'avviso. Puoi visualizzare altri avvisi della stessa regola di rilevamento.
  • Eventi: eventi associati a questo avviso.

  • Input: descrive in dettaglio le origini dati che hanno generato l'avviso. I contenuti variano a seconda dei seguenti tipi di avviso.

    • Rilevamento standard: mostra gli eventi e le entità associate che hanno attivato la regola.

    • Rilevamento composito: mostra gli eventi, le entità e i rilevamenti sottostanti che sono serviti da input per la regola.

    Un avviso è un rilevamento composito quando:

    • La colonna Input mostra Rilevamento come origine.

    • La colonna Tipo di rilevamento mostra un'etichetta Avviso o Rilevamento con un numero accanto (ad esempio, Alert (3)).

    Ciò indica che un rilevamento o una catena di rilevamenti ha attivato l'avviso, anziché eventi o entità non elaborati.

    Puoi visualizzare e analizzare queste rilevazioni sottostanti nella tabella Rilevamenti utilizzando le seguenti funzionalità:

    • Espandi le righe per visualizzare i rilevamenti nidificati, i dati degli eventi associati e le informazioni sulle entità correlate.

    • Personalizza la visualizzazione utilizzando il gestore delle colonne per selezionare e disporre le colonne nella tabella.

Oltre a visualizzare informazioni importanti, puoi modificare lo stato dell'avviso.

Modificare lo stato dell'avviso

  1. Fai clic su Modifica stato avviso nell'angolo in alto a destra.
  2. Nella finestra visualizzata, aggiorna i livelli di gravità e priorità di conseguenza.
  3. Fai clic su Salva.

Chiudi l'avviso

  1. Fai clic su Chiudi avviso.
  2. Nella finestra visualizzata, puoi lasciare una nota per aggiungere maggiori informazioni sul motivo per cui hai chiuso l'avviso.
  3. Inserisci i tuoi dati e premi Salva.

Visualizzare le relazioni tra entità

Il grafico mostra il collegamento tra i diversi avvisi e le diverse entità. Questa funzionalità ti offre un grafico visivo e interattivo che puoi utilizzare per espandere le informazioni sulle relazioni tra le entità esistenti per scoprire relazioni sconosciute. Puoi anche espandere la ricerca aumentando l'intervallo di tempo ed espandendo gli avvisi puntuali passati per percorsi di avviso più ricchi.

Puoi anche espandere la ricerca facendo clic sull'icona + in alto a destra di qualsiasi nodo. In questo modo vengono visualizzati tutti i nodi correlati a questa entità.

Icone del grafico

Entità diverse sono rappresentate da icone diverse.

Icona Entità rappresentata dall'icona Spiegazione
Utente Un utente è una persona o un'altra entità che richiede l'accesso alle informazioni della tua rete e le utilizza. Esempi: mariarossi, nuvolosoasanfrancisco@gmail.com
database Risorsa Le risorse sono un termine generico per le entità che hanno un proprio nome di risorsa univoco. Esempi: tabella, database e progetto BigQuery.
Indirizzo IP
description File
Nome di dominio
URL
device_unknown Tipo di entità sconosciuto Un tipo di entità non riconosciuto dal software di Google SecOps.
memoria Asset Un asset è qualsiasi cosa che produca valore per la tua organizzazione. Questi possono includere nomi host, indirizzi MAC e indirizzi IP interni. Esempi: 10.120.89.92 (indirizzo IP interno), 00:53:00:4a:56:07 (indirizzo MAC)

Se due o più avvisi provengono dalla stessa regola, vengono raggruppati in un'icona di gruppo. Gli indicatori che rappresentano la stessa entità vengono consolidati in un'unica icona.

Per scoprire di più su ciascuna di queste icone, consulta i seguenti documenti:

Quando fai clic su Grafico avvisi, il grafico mostra tutti i risultati 12 ore prima e dopo l'avviso. Se non ci sono entità per l'avviso, nel grafico viene visualizzato solo l'avviso originale.

L'avviso principale è evidenziato in un cerchio rosso. Gli avvisi sono collegati alle entità con una linea continua e ad altri avvisi con una linea tratteggiata. Se tieni il puntatore su un bordo (la linea che collega due nodi), viene visualizzata la variabile di risultato o la variabile di corrispondenza che lo collega a un nodo del grafico.

Sul lato sinistro sono presenti schede per ogni nodo che includono dettagli su regole associate, finestre di rilevamento, gravità e stato di priorità e altro ancora.

Direttamente sopra il grafico si trova un pulsante denominato Opzioni grafico. Quando fai clic su Opzioni grafico, vengono visualizzate due opzioni: Rilevamenti senza avvisi e Punteggio di rischio. Entrambe sono attive per impostazione predefinita e possono essere attivate o disattivate in base alle tue preferenze.

Per spostare i nodi, trascinali nel grafico. Quando rilasci il nodo, questo rimane bloccato nella posizione in cui lo hai lasciato finché non fai clic su Aggiorna.

Aggiungere e rimuovere nodi

Se fai clic su un nodo, nella parte inferiore dello schermo viene visualizzata una tabella. Puoi eseguire le seguenti azioni su ogni nodo:

Avviso

  • Visualizzare entità, avvisi ed eventi correlati
  • Visualizza i risultati e le partite dell'avviso
  • Rimuovere qualsiasi sottografo
  • Aggiungi o rimuovi entità e avvisi correlati dal grafico selezionando le caselle nella colonna Sul grafico

Entità

  • Visualizza tutti gli avvisi correlati
  • Rimuovere qualsiasi sottografo
  • Aggiungi o rimuovi avvisi correlati dal grafico selezionando o deselezionando le caselle nella colonna Sul grafico

Gruppo

  • Visualizzare tutte le entità o gli avvisi che compongono il gruppo
  • Separa i singoli nodi facendo clic su Sul grafico nella tabella in fondo alla pagina.

Per aggiungere o rimuovere il punteggio di rischio dai nodi, seleziona o deseleziona la casella Punteggio di rischio sopra la tabella.

Espandi il grafico degli avvisi

Per visualizzare altri nodi correlati, fai clic sull'icona + in fondo all'avviso. Vengono visualizzate le entità e gli avvisi correlati all'icona selezionata. Ogni nuovo avviso ha una scheda laterale con maggiori dettagli.

Reimpostare il grafico

Se vuoi cancellare il grafico, puoi regolare l'intervallo di tempo nella finestra a destra. L'intervallo massimo è 90 giorni. Il ripristino dell'intervallo di tempo reimposta anche il grafico allo stato originale. L'aggiornamento dell'intervallo di tempo cancella dal grafico eventuali nodi aggiuntivi e lo ripristina allo stato originale.

Per riportare i nodi nella posizione predefinita, fai clic su Aggiorna.

Visualizzare il contesto dell'avviso

La sezione Contesto avviso contiene un elenco di valori che forniscono un contesto aggiuntivo sull'avviso.

Il contesto dell'avviso ha una colonna Tipo che indica quale parte della regola ha generato l'avviso selezionato: risultato o corrispondenza. La colonna successiva si chiama Variabile. Questi nomi di variabili si basano sui nomi delle variabili di corrispondenza e risultato definite nella regola. Infine, la colonna all'estrema destra è Campo UDM. Le variabili che hanno un campo UDM elencato sono collegate anche nella colonna Valori.

Oltre ai campi UDM elencati nella sezione Prima di iniziare, anche i seguenti campi UDM sono collegati alla pagina Ricerca UDM:

  • file.full_path
  • process.command_line
  • process.file.full_path
  • process.parent_process.product_specific_process_id
  • process.pid
  • process.product_specific_process_id
  • resource.product_object_id

I nomi UDM specifici associati a questi campi sono principal, target, src, observer, intermediary e about . Se fai clic su un valore, viene attivata una ricerca UDM, che passa il valore insieme all'intervallo di tempo del giorno precedente.

Nella regola YARA-L di esempio riportata nella sezione Prima di iniziare, i seguenti campi UDM verranno collegati alla pagina Ricerca UDM:

  • principal.ip
  • principal.user.userid
  • principal.user.user_display_name
  • target.resource.name

Visualizzare la cronologia dell'avviso

La scheda Cronologia avvisi ti consente di visualizzare la cronologia completa di tutte le azioni che sono state eseguite per questo avviso. È incluso quanto segue:

  • Quando è stato visualizzato per la prima volta l'avviso
  • Eventuali note lasciate dai membri del tuo team in merito a questo avviso
  • Se la gravità è cambiata
  • Se la priorità è stata modificata
  • Se l'avviso è stato chiuso

Avvisi di Google Security Operations SOAR

Gli avvisi di Google Security Operations SOAR includono informazioni aggiuntive sul caso Google Security Operations SOAR. Questi avvisi forniscono anche un link per aprire la richiesta in Google Security Operations SOAR. Per ulteriori informazioni, consulta la panoramica dei casi SOAR di Google Security Operations.

Avviso per il caso Google Security Operations SOAR

Avviso per la richiesta Google Security Operations SOAR

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.