Potenzielle Sicherheitsprobleme mit Google Security Operations prüfen

In diesem Dokument wird beschrieben, wie Sie mit Google Security Operations Suchanfragen durchführen, um Benachrichtigungen und potenzielle Sicherheitsprobleme zu untersuchen.

Hinweise

Google Security Operations ist ausschließlich für die Browser Google Chrome oder Mozilla Firefox konzipiert.

Google empfiehlt, Ihren Browser auf die neueste Version zu aktualisieren. Sie können die neueste Version von Chrome unter https://www.google.com/chrome/ herunterladen.

Google Security Operations ist in Ihre SSO-Lösung (Einmalanmeldung) eingebunden. Sie können sich mit den von Ihrem Unternehmen bereitgestellten Anmeldedaten in Google Security Operations anmelden.

  1. Starten Sie Chrome oder Firefox.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

  3. Rufen Sie die Google Security Operations-Anwendung unter https://customer_subdomain.backstory.chronicle.security auf, wobei customer_subdomain Ihre kundenspezifische Kennung ist.

Benachrichtigungen und IOC-Übereinstimmungen ansehen

  1. Wählen Sie in der Navigationsleiste Erkenntnisse > Benachrichtigungen und IOCs aus.

  2. Klicken Sie auf den Tab IOC-Übereinstimmungen.

In der Ansicht Domain nach IOC-Übereinstimmungen suchen

Die Spalte Domain auf dem Tab IOC-Domainübereinstimmungen enthält eine Liste verdächtiger Domains. Wenn Sie in dieser Spalte auf eine Domain klicken, wird die Ansicht Domain geöffnet, die wie in der folgenden Abbildung dargestellt detaillierte Informationen zu dieser Domain enthält.

Domainansicht Domain-Ansicht

Suche in der Nutzeransicht

So rufen Sie die Ansicht Nutzer auf:

  1. In der Ansicht Enterprise Insights enthält der Bereich Letzte Benachrichtigungen eine Spalte mit Nutzern, die innerhalb des in der Überschrift Enterprise Insights angezeigten Zeitraums eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann mit dem Schieberegler für die Zeit angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.
  2. Wenn Sie in dieser Spalte auf den Nutzernamen klicken, werden Details zu den Aktivitäten des Nutzers angezeigt, die für die weitere Untersuchung der Bedrohung erforderlich sein können.

In der Ansicht Asset suchen

So rufen Sie die Ansicht Asset auf:

  1. In der Ansicht Enterprise Insights finden Sie im Bereich Letzte Benachrichtigungen eine Liste der Assets, die im angegebenen Zeitraum eine Benachrichtigung ausgelöst haben. Dieser Zeitraum kann mit dem Schieberegler für die Zeit angepasst werden. Möglicherweise müssen Sie den Zeitraum mit dem Schieberegler verlängern, damit Übereinstimmungen und Benachrichtigungen angezeigt werden.

  2. Klicken Sie auf das Asset, das Sie sich genauer ansehen möchten. In Google Security Operations wird die Ansicht Asset angezeigt (siehe folgende Abbildung).

    Asset-Ansicht

  3. Die Blasen im Hauptfenster geben Aufschluss über die Verbreitung des Assets. Die Ereignisse, die seltener auftreten, werden oben im Diagramm dargestellt. Diese Ereignisse mit geringer Prävalenz gelten mit höherer Wahrscheinlichkeit als verdächtig. Mit dem Schieberegler für den Zeitraum oben rechts können Sie heranzoomen, um sich die Ereignisse anzusehen, die einer weiteren Untersuchung bedürfen.

  4. Mithilfe des prozeduralen Filters lässt sich die Suche weiter eingrenzen. Wenn das Drop-down-Menü Procedural Filtering (Prozessorientierte Filterung) noch nicht geöffnet ist, klicken Sie oben rechts auf das Symbol Filtersymbol. Verwenden Sie oben im Drop-down-Menü den Schieberegler Häufigkeit, um normale Ereignisse herauszufiltern und sich auf verdächtigere Ereignisse zu konzentrieren.

Suchfeld in Google Security Operations verwenden

Sie können eine Suche direkt auf der Google Security Operations-Startseite starten, wie in der folgenden Abbildung dargestellt.

Suchfeld Google Security Operations-Feld Suchen

Auf dieser Seite können Sie die folgenden Suchbegriffe eingeben:

  • Im Hostnamen wird die Ansicht Domain angezeigt
 (z. B. plato.beispiel.de)
  • Für die Domain wird die Ansicht Domain angezeigt.
 (z. B. altostrat.com)
  • IP-Adresse zeigt die Ansicht IP-Adresse an
 (z. B. 192.168.254.15)
  • Die URL zeigt die Domainansicht an.
 (z. B. https://new.altostrat.com)
  • Der Nutzername zeigt die Asset-Ansicht an
 (z. B. betty-decaro-pc)
  • Für den Datei-Hash wird die Ansicht Hash angezeigt
 (z. B. e0d123e5f316bef78bfdf5a888837577)

Sie müssen nicht angeben, welche Art von Suchbegriff Sie eingeben. Das wird von Google Security Operations für Sie bestimmt. Die Ergebnisse werden in der entsprechenden explorativen Datenansicht angezeigt. Wenn Sie beispielsweise einen Nutzernamen in das Suchfeld eingeben, wird die Ansicht Asset angezeigt.

Rohlogs durchsuchen

Sie haben die Möglichkeit, in der indexierten Datenbank oder in Rohlogs zu suchen. Die Suche in Rohlogs ist umfassender, dauert aber länger als eine indexierte Suche.

Sie können reguläre Ausdrücke verwenden, die Groß- und Kleinschreibung bei der Suche berücksichtigen oder Logquellen auswählen, um die Suche weiter einzugrenzen. Sie können die gewünschte Zeitachse auch über die Zeitfelder Start und Ende auswählen.

So führen Sie eine Suche in Rohlogs durch:

  1. Geben Sie Ihren Suchbegriff ein und wählen Sie dann im Drop-down-Menü Raw Log Scan aus (siehe Abbildung unten).

    Menü „Standard-Logscan“ Drop-down-Menü mit der Option Standard-Logscan

  2. Klicken Sie nach dem Festlegen der Suchkriterien auf die Schaltfläche Suchen.

  3. In der Ansicht Raw Log Scan (Scan von Rohprotokollen) können Sie Ihre Protokolldaten weiter analysieren.