Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen
In diesem Dokument wird beschrieben, wie Sie mit Google Security Operations nachforschen, wenn Sie Warnungen und potenzielle Sicherheitsprobleme untersuchen.
Hinweise
Google Security Operations ist ausschließlich für die Browser Google Chrome oder Mozilla Firefox konzipiert.
Google empfiehlt, Ihren Browser auf die aktuelle Version zu aktualisieren. Die aktuelle Version von Chrome können Sie unter https://www.google.com/chrome/ herunterladen.
Google SecOps ist in Ihre Einmalanmeldungslösung (SSO) eingebunden.
Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google SecOps anmelden.
Starten Sie Chrome oder Firefox.
Sie müssen Zugriff auf Ihr Unternehmenskonto haben.
Um auf die Google SecOps-Anwendung zuzugreifen, in der customer_subdomain Ihre kundenspezifische Kennung ist, rufen Sie folgende URL auf: https://customer_subdomain.backstory.chronicle.security.
Benachrichtigungen und IOC-Übereinstimmungen ansehen
Wählen Sie in der Navigationsleiste Erkennungen > Benachrichtigungen und IOCs aus.
Klicken Sie auf den Tab IOC-Übereinstimmungen.
Nach IOC-Übereinstimmungen in der Ansicht Domain suchen
Die Spalte Domain auf dem Tab IOC-Domain-Übereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet (siehe Abbildung unten). Sie enthält detaillierte Informationen zu dieser Domain.
Domain-Ansicht
Das Suchfeld von Google Security Operations verwenden
Sie können eine Suche direkt über die Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.
Google Security Operations-Feld Search (Suche)
Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:
Hostname zeigt die Ansicht Domain an
(z. B. plato.beispiel.de)
Domain-Anzeige Domain
z. B. altostrat.com
IP-Adresse wird in der Ansicht IP-Adresse angezeigt
Beispiel: 192.168.254.15
URL zeigt die Ansicht Domain an
Beispiel: https://new.altostrat.com
Nutzername zeigt die Ansicht Asset an
z. B. betty-decaro-pc
Datei-Hash wird in der Ansicht Hash angezeigt
Beispiel: e0d123e5f316bef78bfdf5a888837577
Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Google Security Operations ermittelt das für Sie. Die Ergebnisse werden in der entsprechenden Untersuchungsansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.
Unformatierte Logs durchsuchen
Sie haben die Möglichkeit, die indexierte Datenbank oder Rohlogs zu durchsuchen. Die Suche in Rohlogs ist umfassender, dauert aber länger als eine indexierte Suche.
Um die Suche weiter einzugrenzen, können Sie reguläre Ausdrücke verwenden, die Sucheingabe muss die Groß-/Kleinschreibung berücksichtigen oder Sie können Logquellen auswählen. Sie können auch die gewünschte Zeitachse über die Zeitfelder Start und Ende auswählen.
So führen Sie eine Rohlog-Suche durch:
Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü Rohlog-Scan aus, wie in der folgenden Abbildung dargestellt.
Drop-down-Menü mit der Option Standard-Logscan
Klicken Sie nach dem Festlegen der Rohsuchkriterien auf die Schaltfläche Suchen.
In der Ansicht Rohlog-Scan können Sie Ihre Logdaten weiter analysieren.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-21 (UTC)."],[[["\u003cp\u003eGoogle Security Operations helps investigate security issues using various views like Domain, User, and Asset, each providing specific insights into potential threats.\u003c/p\u003e\n"],["\u003cp\u003eUsers can access Google Security Operations through Chrome or Firefox using their enterprise single sign-on credentials, by navigating to a customer-specific URL.\u003c/p\u003e\n"],["\u003cp\u003eThe platform allows searching for IOC matches and viewing alerts, and you can use the built-in search bar with various terms like hostnames, domains, IP addresses, URLs, usernames, and file hashes, which automatically direct you to the appropriate view.\u003c/p\u003e\n"],["\u003cp\u003eIt offers both indexed database and raw log searches, with raw log searches being more comprehensive and allowing for further refinement using regular expressions, case sensitivity, log sources, and custom timelines.\u003c/p\u003e\n"],["\u003cp\u003eNavigating to a user or asset view can be done from the Enterprise insights page by clicking on the user or asset name from the recent alerts section, allowing for further investigation.\u003c/p\u003e\n"]]],[],null,["# Quickstart: Review potential security issues with Google Security Operations\n\nReview potential security issues with Google Security Operations\n================================================================\n\nThis document describes how to conduct searches when investigating alerts and\npotential security issues using Google Security Operations.\n\nBefore you begin\n----------------\n\nGoogle Security Operations is designed to work exclusively with the Google Chrome or Mozilla Firefox browsers.\n| **Note:** Google SecOps doesn't support multiple concurrent logins for the same profile.\n\nGoogle recommends upgrading your browser to the most current version. You can download the latest version of Chrome from \u003chttps://www.google.com/chrome/\u003e.\n\nGoogle SecOps is integrated into your single sign-on solution (SSO).\nYou can log in to Google SecOps using the credentials provided by your enterprise.\n\n1. Launch Chrome or Firefox.\n\n2. Ensure you have access to your corporate account.\n\n3. To access the Google SecOps application, where \u003cvar translate=\"no\"\u003ecustomer_subdomain\u003c/var\u003e\n is your customer-specific identifier, navigate to:\n https://\u003cvar translate=\"no\"\u003ecustomer_subdomain\u003c/var\u003e.backstory.chronicle.security.\n\nViewing Alerts and IOC Matches\n------------------------------\n\n1. In the navigation bar, select **Detections \\\u003e Alerts and IOCs**.\n\n2. Click the **IOC Matches** tab.\n\nSearching for IOC matches in **Domain** view\n--------------------------------------------\n\nThe **Domain** column in the **IOC Domain Matches** tab contains a list of\nsuspect domains. Clicking on a domain in this column opens **Domain** view, as shown\nin the following figure, providing detailed information about this domain.\n\n\n**Domain** view\n\nUsing the Google Security Operations Search field\n-------------------------------------------------\n\nInitiate a search directly from the Google Security Operations home page, as shown in the following figure.\n\n\nGoogle Security Operations **Search** field\n\nOn this page, you can enter the following search terms:\n\n\u003cbr /\u003e\n\nYou do not have to specify which type of search term you are entering,\nGoogle Security Operations determines it for you. The results are shown in the\nappropriate investigative view. For example, typing a username in the search field\ndisplays **Asset** view.\n\nSearching raw logs\n------------------\n\nYou have the option of searching the indexed database or searching raw\nlogs. Searching raw logs is a more comprehensive search, but takes\nlonger than an indexed search.\n\nTo further pinpoint your search, you can use regular expressions, make the\nsearch entry case sensitive, or select log sources. You can also select\nthe timeline you want using the **Start** and **End** time fields.\n\nTo conduct a raw log search, complete the following steps:\n\n1. Type in your search term, and then select **Raw Log Scan** in the dropdown menu,\n as shown in the following figure.\n\n\n Dropdown menu showing **Raw Log Scan** option\n2. After setting your raw search criteria, click the **Search** button.\n\n3. From **Raw Log Scan** view, you can further analyze your log data."]]
Domain-Ansicht
Google Security Operations-Feld Search (Suche)
Drop-down-Menü mit der Option Standard-Logscan