Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen

In diesem Dokument wird beschrieben, wie Sie mit Google Security Operations nachforschen, wenn Sie Warnungen und potenzielle Sicherheitsprobleme untersuchen.

Hinweise

Google Security Operations ist ausschließlich für die Browser Google Chrome oder Mozilla Firefox konzipiert.

Google empfiehlt, Ihren Browser auf die aktuelle Version zu aktualisieren. Die aktuelle Version von Chrome können Sie unter https://www.google.com/chrome/ herunterladen.

Google SecOps ist in Ihre Einmalanmeldungslösung (SSO) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google SecOps anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Sie müssen Zugriff auf Ihr Unternehmenskonto haben.

  3. Um auf die Google SecOps-Anwendung zuzugreifen, in der customer_subdomain Ihre kundenspezifische Kennung ist, rufen Sie folgende URL auf: https://customer_subdomain.backstory.chronicle.security.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs aus.

  2. Klicken Sie auf den Tab IOC-Übereinstimmungen.

Nach IOC-Übereinstimmungen in der Ansicht Domain suchen

Die Spalte Domain auf dem Tab IOC-Domain-Übereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe Abbildung unten). Sie enthält detaillierte Informationen zu dieser Domain.

Domainansicht Domain-Ansicht

Das Suchfeld von Google Security Operations verwenden

Sie können eine Suche direkt über die Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Google Security Operations-Feld Search (Suche)

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Hostname zeigt die Ansicht Domain an
 (z. B. plato.beispiel.de)
  • Domain-Anzeige Domain
 z. B. altostrat.com
  • IP-Adresse wird in der Ansicht IP-Adresse angezeigt
 Beispiel: 192.168.254.15
  • URL zeigt die Ansicht Domain an
 Beispiel: https://new.altostrat.com
  • Nutzername zeigt die Ansicht Asset an
 z. B. betty-decaro-pc
  • Datei-Hash wird in der Ansicht Hash angezeigt
 Beispiel: e0d123e5f316bef78bfdf5a888837577

Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Google Security Operations ermittelt das für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.

Unformatierte Logs durchsuchen

Sie haben die Möglichkeit, die indexierte Datenbank oder Rohlogs zu durchsuchen. Die Suche in Rohlogs ist umfassender, dauert aber länger als eine indexierte Suche.

Um die Suche weiter einzugrenzen, können Sie reguläre Ausdrücke verwenden, die Sucheingabe muss die Groß-/Kleinschreibung berücksichtigen oder Sie können Logquellen auswählen. Sie können auch die gewünschte Zeitachse über die Zeitfelder Start und Ende auswählen.

So führen Sie eine Rohlog-Suche durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü Rohlog-Scan aus, wie in der folgenden Abbildung dargestellt.

    Menü „Standard-Logscan“ Drop-down-Menü mit der Option Standard-Logscan

  2. Klicken Sie nach dem Festlegen der Rohsuchkriterien auf die Schaltfläche Suchen.

  3. In der Ansicht Rohlog-Scan können Sie Ihre Logdaten weiter analysieren.