Revisa posibles problemas de seguridad con Google Security Operations

En este documento, se describe cómo realizar búsquedas cuando se investigan alertas y posibles problemas de seguridad con Google Security Operations.

Antes de comenzar

Las Operaciones de seguridad de Google están diseñadas para funcionar exclusivamente con los navegadores Google Chrome o Mozilla Firefox.

Google recomienda que actualices tu navegador a la versión más reciente. Puedes descargar la versión más reciente de Chrome desde https://www.google.com/chrome/.

Google SecOps está integrado en tu solución de inicio de sesión único (SSO). Puedes acceder a Google SecOps con las credenciales que te proporciona tu empresa.

  1. Inicia Chrome o Firefox.

  2. Asegúrate de tener acceso a tu cuenta corporativa.

  3. Para acceder a la aplicación de Google SecOps, donde customer_subdomain es tu identificador específico del cliente, navega a https://customer_subdomain.backstory.chronicle.security.

Cómo ver alertas y coincidencias de IOC

  1. En la barra de navegación, selecciona Detecciones > Alertas y IOC.

  2. Haz clic en la pestaña IOC Matches.

Cómo buscar coincidencias de IOC en la vista Dominio

La columna Domain de la pestaña IOC Domain Matches contiene una lista de dominios sospechosos. Si haces clic en un dominio de esta columna, se abrirá la vista Dominio, como se muestra en la siguiente figura, que proporciona información detallada sobre este dominio.

Vista de dominio Vista de dominio

Cómo usar el campo de búsqueda de Google Security Operations

Inicia una búsqueda directamente desde la página principal de Google Security Operations, como se muestra en la siguiente figura.

Campo de búsqueda Campo de búsqueda de Google Security Operations

En esta página, puedes ingresar los siguientes términos de búsqueda:

  • El nombre de host muestra la vista Dominio
 (por ejemplo, plato.example.com)
  • La vista Dominio de la pantalla de dominio
 (por ejemplo, altostrat.com)
  • La dirección IP muestra la vista Dirección IP
 (por ejemplo, 192.168.254.15)
  • La URL muestra la vista Dominio
 (por ejemplo, https://new.altostrat.com)
  • El nombre de usuario muestra la vista de recurso
 (por ejemplo, betty-decaro-pc)
  • La vista Hash muestra el hash del archivo
 (por ejemplo, e0d123e5f316bef78bfdf5a888837577)

No es necesario que especifiques qué tipo de término de búsqueda ingresas, ya que Google Security Operations lo determina por ti. Los resultados se muestran en la vista de investigación correspondiente. Por ejemplo, si escribes un nombre de usuario en el campo de búsqueda, se mostrará la vista Activo.

Cómo buscar registros sin procesar

Puedes buscar en la base de datos indexada o en los registros sin procesar. La búsqueda en registros sin procesar es más exhaustiva, pero lleva más tiempo que una búsqueda indexada.

Para definir mejor tu búsqueda, puedes usar expresiones regulares, hacer que la entrada de búsqueda distinga mayúsculas de minúsculas o seleccionar fuentes de registro. También puedes seleccionar el cronograma que desees con los campos de hora de Inicio y Finalización.

Para realizar una búsqueda de registros sin procesar, completa los siguientes pasos:

  1. Escribe tu término de búsqueda y, luego, selecciona Raw Log Scan en el menú desplegable, como se muestra en la siguiente figura.

    Menú de Raw Log Scan Menú desplegable que muestra la opción Raw Log Scan

  2. Después de establecer los criterios de búsqueda sin procesar, haz clic en el botón Buscar.

  3. En la vista Análisis de registros sin procesar, puedes analizar aún más tus datos de registros.