Reveja um alerta através do Google Security Operations

Compatível com:
Este guia mostra como investigar um alerta através do Google Security Operations.

O que é um alerta?

Um alerta é um indicador de comprometimento (IOC), sinalizado pelo Google Security Operations, que indica uma anomalia no fluxo de trabalho normal do tráfego na empresa. Deve investigar os alertas como uma possível violação de segurança.

Como é que os alertas chegam ao Google Security Operations?

O Google Security Operations acede a várias origens externas na comunidade de segurança através de bases de dados ao nível da indústria atualizadas continuamente. As operações de segurança da Google também têm uma linguagem de programação rica em funcionalidades, o YARA-L, para que possa criar as suas próprias regras personalizadas.

Para mais informações sobre o YARA-L, consulte a vista geral da linguagem YARA-L 2.0. Para mais informações sobre as regras, consulte o artigo Faça a gestão das regras através do editor de regras.

Antes de começar

Pode realizar estes passos a partir da instância do Google Security Operations da sua empresa ou do ambiente de demonstração do Google Security Operations.

O Google Security Operations foi concebido para funcionar exclusivamente com os navegadores Google Chrome ou Mozilla Firefox.

A Google recomenda que atualize o navegador para a versão mais recente. Pode transferir a versão mais recente do Chrome em https://www.google.com/chrome/.

O Google SecOps está integrado na sua solução de Início de sessão único (SSO). Pode iniciar sessão no Google SecOps através das credenciais fornecidas pela sua empresa.

  1. Inicie o Chrome ou o Firefox.

  2. Certifique-se de que tem acesso à sua conta corporativa.

  3. Para aceder à aplicação Google SecOps, onde customer_subdomain é o seu identificador específico do cliente, navegue para: https://customer_subdomain.backstory.chronicle.security.

Veja alertas e correspondências de IOCs

Na barra de navegação, selecione Deteção > Alertas e IOCs.

São apresentados os separadores Alertas e Correspondências de IOC. Pode ter de ajustar o intervalo de tempo através do controlo de calendário na parte superior direita para que as correspondências e os alertas sejam apresentados.

Rodar para a vista de recursos

Em seguida, detalhe um ativo específico que possa ter sido comprometido.

  1. No separador Correspondências de IOC, clique num domínio para abrir a vista de domínio.

  2. Selecione o separador Cronologia.

  3. Para mudar para a vista de recursos, selecione um evento clicando na respetiva hora. A vista de recursos mostra detalhes do recurso selecionado em torno da cronologia do acionador do alerta, conforme mostrado na figura seguinte.

    Vista de recursos Vista de recursos

    As bolhas na janela principal representam a prevalência do recurso. O gráfico está organizado de modo que os eventos que ocorrem com menos frequência estejam na parte superior. Estes eventos de baixa prevalência são considerados suspeitos. Use o controlo de deslize de tempo na parte superior direita para aumentar o zoom nos eventos que requerem investigação.

  4. Se o menu Filtragem processual não estiver visível, abra-o clicando no ícone Filtro Ícone de filtro (junto ao canto superior direito).

  5. Na parte superior do menu, ajuste o controlo de deslize Prevalência para filtrar eventos comuns. Usando os controlos de deslize Hora e Prevalência para identificar eventos suspeitos.

  6. Abra o alerta a partir da lista da barra lateral da cronologia. No painel do lado esquerdo, selecione o separador Linha cronológica, que apresenta os eventos que ocorrem em torno do alerta. O evento de acionamento é realçado a verde.

Investigue o que acionou o alerta

Existem várias formas de aceder a mais estatísticas sobre o evento de acionamento.

  • No painel central, pode ser apresentada uma caixa de diálogo laranja acima de um pequeno triângulo laranja que indica a localização, no tempo, do alerta. Se a caixa de diálogo não for apresentada, passar o cursor do rato sobre o triângulo faz com que apareça. A caixa de diálogo contém a data, a hora e a descrição do alerta.

  • O painel do lado esquerdo na vista de recursos mostra o separador Linha cronológica. Se o evento estiver etiquetado como Alerta de regra, também é mencionada uma descrição do alerta.

  • Passar o cursor do rato sobre o evento Alerta de regra faz com que seja apresentado um ícone Expandir Ícone Expandir evento no lado direito do evento. Se clicar neste ícone, é aberta uma nova janela com mais detalhes sobre o evento no formato UDM, conforme mostrado na figura seguinte.

    Detalhes do evento Detalhes do evento

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.