Esaminare un avviso utilizzando Google Security Operations

Supportato in:
Questa guida mostra come esaminare un avviso utilizzando Google Security Operations.

Che cos'è un avviso?

Un avviso è un indicatore di compromissione (IOC) segnalato da Google Security Operations, che indica un'anomalia nel normale flusso di lavoro del traffico all'interno dell'azienda. Devi esaminare gli avvisi come una possibile violazione della sicurezza.

Come vengono inviati gli avvisi a Google Security Operations?

Google Security Operations attinge a varie fonti esterne all'interno della community della sicurezza utilizzando database a livello di settore aggiornati continuamente. Google Security Operations dispone anche di un linguaggio di programmazione ricco di funzionalità, YARA-L, che ti consente di creare regole personalizzate.

Per ulteriori informazioni su YARA-L, consulta la panoramica del linguaggio YARA-L 2.0. Per saperne di più sulle regole, vedi Gestire le regole utilizzando l'editor di regole.

Prima di iniziare

Puoi eseguire questi passaggi dall'istanza Google Security Operations della tua azienda o dall'ambiente demo di Google Security Operations.

Google Security Operations è progettato per funzionare esclusivamente con i browser Google Chrome o Mozilla Firefox.

Google consiglia di eseguire l'upgrade del browser alla versione più recente. Puoi scaricare l'ultima versione di Chrome da https://www.google.com/chrome/.

Google SecOps è integrato nella tua soluzione Single Sign-On (SSO). Puoi accedere a Google SecOps utilizzando le credenziali fornite dalla tua azienda.

  1. Avvia Chrome o Firefox.

  2. Assicurati di avere accesso al tuo account aziendale.

  3. Per accedere all'applicazione Google SecOps, dove customer_subdomain è l'identificatore specifico del cliente, vai a: https://customer_subdomain.backstory.chronicle.security.

Visualizzare avvisi e corrispondenze IOC

Nella barra di navigazione, seleziona Rilevamento > Avvisi e IOC.

Vengono visualizzate le schede Avvisi e Corrispondenze indicatori di compromissione. Potresti dover modificare l'intervallo di tempo utilizzando il controllo del calendario in alto a destra per visualizzare le corrispondenze e gli avvisi.

Passa alla visualizzazione Asset

Successivamente, vai in dettaglio a una risorsa specifica che potrebbe essere stata compromessa.

  1. Nella scheda IOC Matches (Corrispondenze IOC), fai clic su un dominio per aprire la visualizzazione del dominio.

  2. Seleziona la scheda Timeline.

  3. Per passare alla visualizzazione Asset, seleziona un evento facendo clic sull'ora. La visualizzazione Asset mostra i dettagli dell'asset selezionato intorno alla sequenza temporale dell'attivazione dell'avviso, come mostrato nella figura seguente.

    Visualizzazione degli asset Visualizzazione asset

    Le bolle nella finestra principale rappresentano la prevalenza dell'asset. Il grafico è organizzato in modo che gli eventi che si verificano meno spesso si trovino in alto. Questi eventi a bassa prevalenza sono considerati sospetti. Utilizza il cursore del tempo in alto a destra per ingrandire gli eventi che richiedono un'indagine.

  4. Se il menu Filtro procedurale non è visibile, aprilo facendo clic sull'icona Filtro Icona filtro (vicino all'angolo in alto a destra).

  5. Nella parte superiore del menu, regola il cursore Prevalenza per filtrare gli eventi comuni. Utilizzando i cursori Tempo e Prevalenza per identificare eventi sospetti.

  6. Apri l'avviso dall'elenco della barra laterale Timeline. Nel riquadro a sinistra, seleziona la scheda Timeline che mostra gli eventi che si verificano in prossimità dell'avviso. L'evento di trigger è evidenziato in verde.

Indaga su cosa ha attivato l'avviso

Esistono diversi modi per ottenere maggiori informazioni sull'evento di attivazione.

  • Nel riquadro centrale, sopra un piccolo triangolo arancione che indica la posizione nel tempo dell'avviso, potrebbe essere visualizzata una finestra di dialogo arancione. Se la finestra di dialogo non viene visualizzata, passa il mouse sopra il triangolo per farla apparire. La finestra di dialogo contiene la data, l'ora e la descrizione dell'avviso.

  • Il riquadro a sinistra nella visualizzazione Asset mostra la scheda Timeline. Se l'evento è etichettato come Avviso regola, verrà menzionata anche una descrizione dell'avviso.

  • Se passi il mouse sopra l'evento Avviso regola, a destra dell'evento viene visualizzata un'icona Espandi Icona Espandi evento. Se fai clic su questa icona, si aprirà una nuova finestra con ulteriori dettagli sull'evento in formato UDM, come mostrato nella figura seguente.

    Dettagli evento Dettagli dell'evento

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.