Warnung mit Google Security Operations prüfen

Unterstützt in:
In diesem Leitfaden wird beschrieben, wie Sie eine Benachrichtigung mit Google Security Operations untersuchen.

Was ist eine Benachrichtigung?

Eine Benachrichtigung ist ein Indicator of Compromise (IOC), der von Google Security Operations gekennzeichnet wird und auf eine Anomalie im normalen Workflow des Traffics innerhalb des Unternehmens hinweist. Sie sollten Benachrichtigungen als möglichen Sicherheitsverstoß untersuchen.

Wie gelangen Benachrichtigungen zu Google Security Operations?

Google Security Operations greift auf verschiedene externe Quellen innerhalb der Sicherheitscommunity zurück und verwendet branchenweite Datenbanken, die kontinuierlich aktualisiert werden. Google Security Operations bietet außerdem eine funktionsreiche Programmiersprache, YARA-L, mit der Sie Ihre eigenen benutzerdefinierten Regeln erstellen können.

Weitere Informationen zu YARA-L finden Sie unter Übersicht über die Sprache YARA-L 2.0. Weitere Informationen zu Regeln finden Sie unter Regeln mit dem Regeleditor verwalten.

Hinweise

Sie können diese Schritte in der Google Security Operations-Instanz Ihres Unternehmens oder in der Google Security Operations-Demo-Umgebung ausführen.

Google Security Operations ist ausschließlich für die Browser Google Chrome oder Mozilla Firefox konzipiert.

Google empfiehlt, Ihren Browser auf die aktuelle Version zu aktualisieren. Die aktuelle Version von Chrome können Sie unter https://www.google.com/chrome/ herunterladen.

Google SecOps ist in Ihre Einmalanmeldungslösung (SSO) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google SecOps anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Sie müssen Zugriff auf Ihr Unternehmenskonto haben.

  3. Um auf die Google SecOps-Anwendung zuzugreifen, in der customer_subdomain Ihre kundenspezifische Kennung ist, rufen Sie folgende URL auf: https://customer_subdomain.backstory.chronicle.security.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

Wählen Sie in der Navigationsleiste Detection > Alerts and IOCs (Erkennung > Benachrichtigungen und IOCs) aus.

Die Tabs „Benachrichtigungen“ und „IOC-Übereinstimmungen“ werden angezeigt. Möglicherweise müssen Sie den Zeitraum über das Kalendersteuerelement oben rechts anpassen, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

Zur Asset-Ansicht wechseln

Als Nächstes können Sie die Suche auf ein bestimmtes Asset eingrenzen, das möglicherweise manipuliert wurde.

  1. Klicken Sie auf dem Tab „IOC-Übereinstimmungen“ auf eine Domain, um die Domainansicht zu öffnen.

  2. Wählen Sie den Tab „Zeitachse“ aus.

  3. Wenn Sie zur Asset-Ansicht wechseln möchten, wählen Sie ein Ereignis aus, indem Sie auf die zugehörige Zeit klicken. In der Asset-Ansicht werden Details des ausgewählten Assets im Zeitrahmen des Benachrichtigungsauslösers angezeigt, wie in der folgenden Abbildung dargestellt.

    Asset-Ansicht Asset-Ansicht

    Die Blasen im Hauptfenster stellen die Häufigkeit des Assets dar. Im Diagramm sind Ereignisse, die seltener auftreten, oben angeordnet. Diese Ereignisse mit geringer Häufigkeit gelten als verdächtig. Mit dem Zeitschieberegler oben rechts können Sie in Ereignisse hineinzoomen, die untersucht werden müssen.

  4. Wenn das Menü „Prozedurale Filterung“ nicht angezeigt wird, öffnen Sie es, indem Sie rechts oben auf das Symbol Filter Filtersymbol klicken.

  5. Passen Sie oben im Menü den Schieberegler Häufigkeit an, um häufige Ereignisse herauszufiltern. Mit den Schiebereglern „Zeit“ und „Häufigkeit“ können Sie verdächtige Ereignisse identifizieren.

  6. Öffnen Sie die Benachrichtigung über die Liste in der Seitenleiste „Zeitachse“. Wählen Sie im linken Bereich den Tab „Zeitachse“ aus, auf dem Ereignisse im Zusammenhang mit der Benachrichtigung angezeigt werden. Das auslösende Ereignis wird grün hervorgehoben.

Untersuchen, was die Benachrichtigung ausgelöst hat

Es gibt mehrere Möglichkeiten, mehr Informationen zum Auslöser zu erhalten.

  • Im mittleren Bereich wird möglicherweise ein orangefarbenes Dialogfeld über einem kleinen orangefarbenen Dreieck angezeigt, das die zeitliche Position der Benachrichtigung angibt. Wenn das Dialogfeld nicht angezeigt wird, bewegen Sie den Mauszeiger auf das Dreieck, damit es eingeblendet wird. Das Dialogfeld enthält das Datum, die Uhrzeit und die Beschreibung der Benachrichtigung.

  • Im linken Bereich der Asset-Ansicht wird der Tab „Zeitachse“ angezeigt. Wenn das Ereignis mit Regelbenachrichtigung gekennzeichnet ist, wird auch eine Beschreibung der Benachrichtigung angegeben.

  • Wenn Sie den Mauszeiger auf das Ereignis Rule Alert (Regelbenachrichtigung) bewegen, wird rechts neben dem Ereignis das Symbol Expand (Maximieren) Symbol zum Maximieren von Ereignissen angezeigt. Wenn Sie auf dieses Symbol klicken, wird ein neues Fenster mit weiteren Details zum Ereignis im UDM-Format geöffnet, wie in der folgenden Abbildung dargestellt.

    Ereignisdetails Veranstaltungsdetails

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten