Revisar una alerta con Google Security Operations

Disponible en:
En esta guía se explica cómo investigar una alerta con Google Security Operations.

¿Qué es una alerta?

Una alerta es un indicador de vulneración (IOC) que Google Security Operations ha marcado porque indica una anomalía en el flujo de trabajo normal del tráfico dentro de la empresa. Debes investigar las alertas como una posible brecha de seguridad.

¿Cómo llegan las alertas a Google Security Operations?

Google Security Operations aprovecha varias fuentes externas de la comunidad de seguridad mediante bases de datos de todo el sector que se actualizan continuamente. Google Security Operations también tiene un lenguaje de programación con muchas funciones, YARA-L, para que puedas crear tus propias reglas personalizadas.

Para obtener más información sobre YARA-L, consulta la descripción general del lenguaje YARA-L 2.0. Para obtener más información sobre las reglas, consulta Gestionar reglas con el editor de reglas.

Antes de empezar

Puedes seguir estos pasos desde la instancia de Google Security Operations de tu empresa o desde el entorno de demostración de Google Security Operations.

Google Security Operations se ha diseñado para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda actualizar el navegador a la versión más reciente. Puedes descargar la última versión de Chrome desde https://www.google.com/chrome/.

Google SecOps está integrado en tu solución de inicio de sesión único (SSO). Puedes iniciar sesión en Google SecOps con las credenciales proporcionadas por tu empresa.

  1. Abre Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta de empresa.

  3. Para acceder a la aplicación Google SecOps, donde customer_subdomain es tu identificador específico de cliente, ve a: https://customer_subdomain.backstory.chronicle.security.

Ver alertas y coincidencias de IOCs

En la barra de navegación, selecciona Detección > Alertas e IOCs.

Se muestran las pestañas Alertas y Coincidencias de IOCs. Es posible que tengas que ajustar el periodo con el control de calendario de la parte superior derecha para que aparezcan las coincidencias y las alertas.

Cambiar a la vista de recursos

A continuación, profundiza en un recurso concreto que pueda haberse visto comprometido.

  1. En la pestaña Coincidencias de IOCs, haz clic en un dominio para abrir la vista de dominio.

  2. Selecciona la pestaña Cronología.

  3. Para cambiar a la vista Recursos, seleccione un evento haciendo clic en su hora. La vista de recursos muestra los detalles del recurso seleccionado en la línea de tiempo del activador de la alerta, tal como se muestra en la siguiente figura.

    Vista de recursos Vista de recursos

    Las burbujas de la ventana principal representan la prevalencia del recurso. El gráfico está ordenado de forma que los eventos que ocurren con menos frecuencia se muestran en la parte superior. Estos eventos de baja prevalencia se consideran sospechosos. Usa el control deslizante de tiempo de la parte superior derecha para ampliar los eventos que requieran una investigación.

  4. Si no ves el menú Filtrado por procedimientos, ábrelo haciendo clic en el icono Filtro Icono de filtro (situado cerca de la esquina superior derecha).

  5. En la parte superior del menú, ajusta el control deslizante Frecuencia para filtrar los eventos comunes. Usa los controles deslizantes Tiempo y Prevalencia para identificar eventos sospechosos.

  6. Abre la alerta desde la lista de la barra lateral Cronología. En el panel de la izquierda, selecciona la pestaña Cronología, que muestra los eventos que se producen en torno a la alerta. El evento activador se resalta en verde.

Investigar qué ha activado la alerta

Hay varias formas de obtener más información sobre el evento que ha activado la alerta.

  • En el panel central, puede aparecer un cuadro de diálogo naranja sobre un pequeño triángulo naranja que indica la ubicación de la alerta en el tiempo. Si no se muestra el cuadro de diálogo, coloca el cursor sobre el triángulo para que aparezca. El cuadro de diálogo contiene la fecha, la hora y la descripción de la alerta.

  • En el panel de la izquierda de la vista de recursos se muestra la pestaña Cronología. Si el evento tiene la etiqueta Alerta de regla, también se incluirá una descripción de la alerta.

  • Al colocar el cursor sobre el evento Alerta de regla, aparece el icono Ampliar Icono de desplegar evento a la derecha del evento. Al hacer clic en este icono, se abrirá una ventana con más detalles sobre el evento en formato UDM, como se muestra en la siguiente imagen.

    Información del evento Detalles del evento

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.