Investigar um alerta

Os alertas são vinculados a dados identificados como uma ameaça pelos seus sistemas de segurança. A investigação de alertas fornece um contexto sobre o alerta e as entidades relacionadas.

Ao clicar em um alerta, você é direcionado a uma página que contém detalhes organizados nas três guias a seguir:

• Visão geral: fornece um resumo de detalhes importantes sobre o alerta, incluindo o status do alerta e a janela de detecção.
• Gráfico: visualiza os alertas gerados a partir de uma regra da YARA-L. Ela mostra um gráfico da relação do alerta com outras entidades. Quando um é acionado, as entidades associadas ao alerta são exibidas na gráfico e no lado esquerdo da tela, cada um com seu próprio cartão. O alerta gráfico usa as seguintes entidades em um evento de UDM: principal, target, src, observer, intermediary e about ,
• Histórico de alertas: lista todas as alterações realizadas no alerta. inclusive quando o status de um alerta é alterado ou uma observação é adicionada.

Abaixo do gráfico que visualiza as relações entre as entidades e o alerta são as três subguias a seguir, que fornecem mais contexto sobre o alerta:

• Eventos: contém detalhes sobre os eventos relacionados ao alerta.
• Entidades: contém detalhes sobre cada entidade associada ao alerta.
• Contexto do alerta: fornece contexto adicional sobre o alerta.

Antes de começar

Para preencher o gráfico de alertas, você precisa criar uma YARA-L regra que gera alertas. O a qualidade do gráfico de alerta está vinculada ao contexto integrado à YARA-L regra de firewall. A seção de resultado de uma regra fornece contexto às detecções acionadas pela regra.

Recomendamos adicionar o seguinte recurso de UDM substantivos à na seção de resultados, porque elas são usadas no gráfico de alertas: principal, target, src, observer, intermediary e about , Para esses substantivos do UDM, os seguintes campos são usados no gráfico de alerta:

• artifact.ip
• asset.asset_id
• asset.hostname
• asset.ip
• asset.mac
• asset.product_object_id
• asset_id
• domain.name
• file.md5
• file.sha1
• file.sha256
• hostname
• ip
• mac
• process.file.md5
• process.file.sha1
• process.file.sha256
• resource.name
• url
• user.email_addresses
• user.employee_id
• user.product_object_id
• user.userid
• user.windows_sid

Os valores na lista anterior de campos do UDM também estão vinculados à pesquisa do UDM na subguia Contexto do alerta. Para mais informações, consulte Visualizar contexto sobre o alerta.

Na regra YARA-L a seguir, um alerta é gerado quando um número significativo de APIs de serviço do Google Cloud é desativado em um curto período (1 hora).

rule gcp_multiple_service_apis_disabled {

  meta:
    author = "Google Cloud Security"
    description = "Detect when multiple Google Cloud Service APIs are disabled in a short period of time."
    severity = "High"
    priority = "High"

  events:
    $gcp.metadata.event_type = "USER_RESOURCE_UPDATE_CONTENT"
    $gcp.metadata.log_type = "GCP_CLOUDAUDIT"
    $gcp.metadata.product_event_type = "google.api.serviceusage.v1.ServiceUsage.DisableService"
    $gcp.security_result.action = "ALLOW"
    $gcp.target.application = "serviceusage.googleapis.com"
    $gcp.principal.user.userid = $userid

  match:
    $userid over 1h

  outcome:
    $risk_score = max(75)
    $network_http_user_agent = array_distinct($gcp.network.http.user_agent)
    $principal_ip = array_distinct($gcp.principal.ip)
    $principal_user_id = array_distinct($gcp.principal.user.userid)
    $principal_user_display_name = array_distinct($gcp.principal.user.user_display_name)
    $target_resource_name = array_distinct($gcp.target.resource.name)
    $dc_target_resource_name = count_distinct($gcp.target.resource.name)

  condition:
    $gcp and $dc_target_resource_name > 5
}

Depois que um alerta for gerado, acesse a página Gráfico de alertas para obter mais contexto sobre o alerta e investigá-lo mais a fundo.

Acessar o gráfico de alertas

Acesse o Gráfico na página Alertas e IOCs ou página de pesquisa do UDM.

Acesse o gráfico de alertas em Alertas e IOCs

A página Alertas e indicadores de comprometimento (IOC) permite filtrar e visualizar todos os alertas e IOCs que estão afetando sua empresa no momento. Para saber mais sobre esta página e como conferir correspondências de IOC, acesse Conferir alertas e IOCs.

Para visualizar mais informações sobre um alerta na página Alertas e IOCs, conclua as seguintes etapas:

1. Na barra de navegação, clique em Detecções > Alertas e IOCs (em inglês).
2. Encontre o alerta que você quer investigar na tabela de alertas.
3. Na linha do alerta, clique no texto na coluna do nome para abrir a opção Alerta gráfico.

Acesse o gráfico de alertas na pesquisa do UDM

1. Na parte de cima da barra de navegação, selecione Pesquisar.
2. Carregue uma pesquisa com o Gerenciador de pesquisas ou crie uma nova. Saiba mais sobre como fazer uma pesquisa no UDM Pesquisa.
   1. Três guias são exibidas: Visão geral, Entidade e Alertas. Clique em Alertas.
3. Clique no alerta que você quer investigar. O Visualizador de alertas é exibido.
4. Clique em Ver detalhes para abrir a visualização de alertas.
5. Clique na guia Graph para mostrar o gráfico de alertas.

Mais detalhes sobre um alerta

Na visualização de alerta, a guia Visão geral mostra as seguintes informações sobre o alerta:

• Detalhes do alerta: status do alerta, data de criação, gravidade, prioridade e risco de qualidade.
• Resumo da detecção: regra de detecção que gerou o alerta. Você pode conferir outros alertas da mesma regra de detecção.
• Eventos: os eventos associados ao alerta.

Além de conferir informações importantes, você pode ajustar o status do alerta.

Alterar o status de alerta

1. Clique em Alterar status de alerta no canto superior direito.
2. Na janela que aparece, atualize os níveis de gravidade e prioridade conforme necessário.
3. Clique em Salvar.

Fechar o alerta

1. Clique em Fechar alerta.
2. Na janela que aparece, você pode deixar uma nota para adicionar outras contexto sobre por que você encerrou o alerta.
3. Insira suas informações e pressione Salvar.

Conferir relacionamentos de entidades

O Gráfico mostra como alertas e entidades diferentes estão conectados. Esse recurso oferece um gráfico visual e interativo que pode ser usado para expandir informações de relacionamento sobre entidades existentes para mostrar relacionamentos desconhecidos. Também é possível expandir a pesquisa aumentando o período e expansão dos alertas pontuais para criar caminhos de alerta mais completos.

Também é possível expandir sua pesquisa clicando no ícone + no canto superior direito. lado manual de qualquer nó. Isso mostra todos os nós relacionados a essa entidade.

Ícones de gráfico

As entidades são representadas por ícones diferentes.

Se dois ou mais alertas vierem da mesma regra, eles serão agrupados em um ícone do grupo. Indicadores que representam a mesma entidade são consolidados em um ícone.

Para saber mais sobre cada um desses ícones, consulte os seguintes documentos:

• Investigar um usuário
• Projeto orientado a recursos
• Investigar um recurso
• Investigar um domínio
• Investigar um arquivo
• Investigar um endereço IP

Navegar pelo gráfico de alertas

Quando você clica em Gráfico de alerta, o gráfico mostra todos os resultados 12 horas antes e depois do alerta. Se não houver entidades para o alerta, apenas o alerta original vai aparecer no gráfico.

O alerta principal é destacado em um círculo vermelho. Os alertas são conectados a entidades com uma linha sólida e outros alertas com uma pontilhada. Se você segurar o ponteiro sobre uma borda (a linha que conecta dois nós), ele mostra a variável de resultado ou variável de correspondência que o conecta a um nó no gráfico.

No lado esquerdo, há cartões para cada nó que incluem detalhes sobre regras associadas, janelas de detecção, gravidade e status de prioridade e muito mais.

Logo acima do gráfico, está o botão Graph options. Ao clicar Opções de gráfico, duas opções serão exibidas: Detecções sem alerta e Risco de qualidade. Ambos são ativados por padrão e podem ser ativados ou desativados de acordo com sua preferência.

Para mover os nós, basta arrastá-los pelo gráfico. Quando você liberar ele será fixado onde você o deixou até que você clique em Atualizar.

Adicionar e remover nós

Se você clicar em um nó, uma tabela vai aparecer na parte de baixo da tela. Para isso, faça o seguinte: ações a seguir em cada nó:

Alerta

• Ver entidades, alertas e eventos relacionados
• Confira os resultados e correspondências do alerta
• Remover qualquer subgráfico
• Adicione ou remova entidades e alertas relacionados do gráfico marcando as caixas na coluna "No Graph".

Entidade

• Ver todos os alertas relacionados
• Remover qualquer subgráfico
• Adicione ou remova alertas relacionados do gráfico marcando ou desmarcando caixas na coluna "No gráfico".

Grupo

• Ver todas as entidades ou alertas que compõem o grupo
• Para desagrupar nós individuais, clique em No gráfico na tabela na parte de baixo da tela da página.

Para adicionar ou remover a pontuação de risco dos nós, marque ou desmarque a opção Risco pontuação acima da tabela.

Expandir o gráfico de alertas

Para ver mais nós relacionados, clique no ícone + na parte inferior do alerta. O As entidades e os alertas relacionados ao ícone selecionado serão exibidos. Cada novo alerta tem um card na lateral com mais detalhes.

Redefinir o gráfico

Se quiser limpar o gráfico, você pode ajustar o período no lado direito janela. O intervalo máximo é de 90 dias. Redefinir o período também redefine o gráfico ao estado original. Atualizar o intervalo de tempo limpa o gráfico nós adicionais e redefine o gráfico para seu estado original.

Para mover os nós de volta à posição padrão, clique em Atualizar.

Conferir contexto sobre o alerta

A seção Contexto do alerta contém uma lista de valores que fornecem mais contexto sobre o alerta.

O contexto do alerta tem uma coluna Tipo que informa qual parte da regra gerou o alerta que você selecionou (resultado ou correspondência). A próxima coluna é chamada Variável. Esses nomes são baseados nos nomes das variáveis e as variáveis de resultado definidas na regra. Por fim, a coluna à extrema direita Campo UDM. As variáveis que têm um campo de UDM listado também são vinculadas no Coluna Valores.

Além dos campos do UDM listados na seção Antes de começar, os seguintes campos do UDM também estão vinculados à página de pesquisa do UDM:

• file.full_path
• process.command_line
• process.file.full_path
• process.parent_process.product_specific_process_id
• process.pid
• process.product_specific_process_id
• resource.product_object_id

Os substantivos do UDM específicos associados a esses campos são principal, target, src, observer, intermediary e about , Se você clica em um valor, um UDM pesquisa é acionada, transmitindo o evento junto com o intervalo de tempo do dia anterior.

No exemplo de regra YARA-L apresentado na seção Antes de começar, os seguintes campos de UDM serão vinculados à página de pesquisa UDM:

• principal.ip
• principal.user.userid
• principal.user.user_display_name
• target.resource.name

Ver o histórico de alertas

A guia Histórico de alertas permite ver um histórico completo de todas as ações que ocorreram neste alerta. Isso inclui:

• Quando o alerta apareceu pela primeira vez
• Observações que deixaram para as pessoas na sua equipe sobre este alerta
• Se a gravidade mudou
• Se a prioridade tiver sido alterada
• Se o alerta foi encerrado

Alertas do SOAR do Google Security Operations

Os alertas do SOAR do Google Security Operations incluem mais informações sobre os Caso do SOAR do Google Security Operations. Esses alertas também fornecem um link para abrir o caso no SOAR do Google Security Operations. Para mais informações, consulte a Visão geral dos casos de SOAR do Google Security Operations.

Alerta de caso do Google Security Operations SOAR